Hoe ga je om met veilig e-mailen in de zorg?

“Mag ik met mijn patiënten gewoon e-mailen als zij dit zelf graag willen?” “Moet ik altijd beveiligd mailen naar mijn patiënten of mag de bevestiging van een afspraak ook per gewone mail?” “Is het op grond van de AVG nu verboden om gewoon te e-mailen met patiënten of andere zorgverleners?”

Zo maar een paar vragen die wij in de praktijk tegenkomen als het gaat om veilig communiceren tussen behandelaar en patiënt.

Wanneer mag de zorgverlener nog wel gebruik maken van gewone e-mail en wanneer móet er echt gebruik gemaakt worden van beveiligde e-mail? De nieuwe norm NTA7516, die in aanvulling op de norm voor informatiebeveiliging in de zorg NEN7510 is opgesteld, biedt hiervoor het kader. Wat betekent dit nu voor de praktijk van de zorgaanbieder?

Waarom veilig e-mailen?

Het bewustzijn rondom privacy is enorm toegenomen.

De nodige aandacht vanuit de AP, de politiek en de media over de verplichtingen en gevaren rondom uitwisseling van medische gegevens, draagt bij aan een verbeterde awareness en verantwoordelijkheidsgevoel bij de zorgverlener. Er wordt nu gelukkig bewuster omgegaan met het verwerken en versturen van persoonsgegevens.

Toch wordt er niet altijd voldoende stilgestaan bij het feit dat de zorgverlener vanuit de AVG voor voldoende beveiligingsmaatregelen moet zorgen in verband met de verwerking, en dus ook het versturen van persoonsgegevens. Maar wat valt er precies onder een ‘voldoende beveiligd communicatiemiddel’? Een ding is intussen duidelijk; gewoon e-mailen is niet veilig.

Een ding is duidelijk; gewoon e-mailen is niet veilig!

Inmiddels worden diverse oplossingen voor een veilige uitwisseling van medische gegevens aangeboden. Ten opzichte van de gewone e-mail zijn deze oplossingen helaas niet altijd even gebruiksvriendelijk en stuit het gebruik hiervan op weerstand. Het is waar dat extra handelingen moeten worden verricht zoals het versturen van een wachtwoord per sms of het inloggen via two-factor authentication. Ondanks het feit dat het niet altijd even gebruiksvriendelijk is, zorgt het wel voor een veilige(r) uitwisseling van medische gegevens.

Het nieuwe kader van de NTA 7516

NTA 7516 sinds mei 2019

De NTA 7516 biedt nu sinds mei 2019 een nieuw kader en geeft relevante voorwaarden voor veilig e-mailen. Deze norm is bedoeld voor communicatiedienstaanbieders, zorgprofessionals en de organisaties waarin ze werken. NTA staat voor Nederlands Technische Afspraak, wat inhoudt dat elke partij met een belang of expertise over de invulling van deze norm heeft kunnen meepraten. Hiermee wordt deze norm breed gedragen door het veld, waarmee het als standaard voor veilig mailen een brede basis heeft. Het niet in acht nemen van deze norm is hiermee voor de praktijk van de zorgverlener niet langer een optie.

Aansluiting bij NEN 7510

De norm sluit aan bij NEN 7510 met het normenkader rondom informatiebeveiliging en de invulling van de eisen ten aanzien van de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens. Hier voegt de NTA 7516 een norm in verband de eisen voor e-mail en chatapplicaties aan toe. Uit de uitspraak van de AP met betrekking tot de boete van het HagaZiekenhuis blijkt opnieuw dat zij de NEN 7510 norm als meetlat gebruiken voor de veiligheidseisen in de zorg. Dit zal dus ook voor de NTA 7516 gelden. De bedoeling is dat zorgprofessionals en patiënten het medium van veilig mailen gaan gebruiken. Dat zal alleen gebeuren wanneer gebruiksvriendelijke oplossingen worden ingezet.

Het draait om de balans tussen ‘veilig’ en ‘gemakkelijk’.

Waar moet het volgens NTA7516 het gebruik van veilig e-mailen aan voldoen?

De nieuwe norm schrijft onder meer voor dat de zorgorganisatie een duidelijk beleid opstelt in verband met het gebruik van e-mail. Hierin legt de zorgorganisatie vast hoe er wordt omgegaan met e-mail en in welke gevallen er gebruik móet worden gemaakt van een beveiligde vorm van e-mail. Ook moet worden nagedacht over waarneming van de e-mailbox tijdens afwezigheid van zorgverleners, de toegang tot informatie voor mensen die niet direct bij de behandeling zijn betrokken, bewaartermijnen en het gebruik van het adresboek.

Periodieke beoordeling van gebruiksregels.

Elke twee jaar zullen deze gebruiksregels opnieuw moeten worden beoordeeld op geschiktheid en passendheid. Bijkomend voordeel hiervan is, dat de zorgaanbieder steeds op de hoogte moet blijven van nieuwe (technologische) ontwikkelingen op dit gebied en dit in haar beleid en maatregelen ook zal moeten verwerken.

Omdat de technologische ontwikkelingen op dit gebied snel gaan (bijvoorbeeld van (chat)apps), zal ook de norm zelf binnen drie jaar weer worden geactualiseerd. Zo zijn er op dit moment nog geen specifieke implementatiecriteria opgenomen en zullen er betere authenticatiemiddelen beschikbaar komen. Zo biedt de NTA 7516 nog geen allesomvattende kant-en-klaar-oplossing, maar het biedt houvast en is een stap in de goede richting.

Wat moet de zorginstelling zelf doen om te voldoen aan NTA7516?

Allereerst zal de zorginstelling een informatiebeveiligingsbeleid moeten hebben opgesteld waarin de volgende normen zijn geborgd. Dit beleid neemt in het kader van veilig e-mailen de volgende criteria mee:

1. Beschikbaarheid

Het ad-hoc berichtenverkeer moet minimaal 99.8% per jaar beschikbaar zijn. Concreet betekent dit dat de software en de technische infrastructuur niet meer dan 17,5 uur per jaar ongepland niet beschikbaar mag zijn. Bij uitval mag niet worden overgegaan op een onveilig alternatief, zoals reguliere (onveilige) e-mail. Uitval mag in geen geval leiden tot verlies van gegevens.

2. Integriteit

De juistheid en volledigheid van de gegevens die worden verstuurd, moet kunnen worden gegarandeerd.

3. Vertrouwelijkheid

De zorginstelling moet ervoor zorgen dat de verzonden informatie ook echt alleen wordt gelezen door degene voor wie het is bedoeld. Het bericht mag niet ergens in de communicatieketen in handen van onbevoegden komen. Gebeurt dit toch, dan moet het bericht in ieder geval versleuteld of onleesbaar zijn voor deze onbevoegde ontvanger. Dit kan bijvoorbeeld worden uitgewerkt door het instellen van een one time password, het gebruik van DigiD of het gebruik van een cliëntportaal met een uniek uitgegeven wachtwoord en two-factor authentication, Daarnaast moet de verzender weten of ontvanger voldoende gerechtigd is het bericht te ontvangen.

Gebruiksvriendelijkheid

Om het gebruik van veilig e-mailen ook gebruiksvriendelijk te houden, stelt de NTA7516 in ieder geval de volgende criteria:

  • Berichten van de zorgverlener moeten door de ontvangende patiënt of hulpverlener eenvoudig kunnen worden beantwoord (via een reply) of kunnen worden doorgestuurd;
  • Wanneer er bij het gebruik van e-mail meerdere keuzemogelijkheden zijn, moet als standaard instelling (default) de meest veilige instelling worden gebruikt;
  • De ontvangende patiënt of hulpverlener moet het bericht met behulp van reguliere clientsoftware kunnen lezen. Hiervoor moet niet een extra account of additionele viewer worden ingesteld;
  • De ontvangende patiënt of hulpverlener moet op een veilige manier een eigen kopie van het bericht kunnen opslaan (downloaden).

TIPS!

  • Regel dat e-mails ook bij afwezigheid door bevoegde personen worden afgehandeld;
  • Maak beleid, zorg dat de organisatie dit kent en dat het wordt uitgevoerd;
  • Check beschikbaarheid bij de leverancier van de software;
  • Zorg voor een duidelijke autorisatiestructuur en maak helder voor de patiënt van wie hij informatie kan ontvangen;
  • Stel gebruiksvriendelijkheid hoog op het eisenlijstje voor een mogelijke leverancier van een elektronisch communicatiemiddel.

Tot slot

Veilig e-mailen is de norm! NTA7516 geeft hiervoor het kader. De manier waarop dit wordt ingevuld, is aan de zorgaanbieder zelf. Duidelijk is er meer moet gebeuren dan alleen het in gebruik nemen een tool. Over het gebruik van e-mail en veilige e-mail zal echt moeten worden nagedacht. Leveranciers van veilige e-mailtools zullen de functionele eisen van de NTA7516 mee moeten nemen in hun product en de zorgaanbieder zal dus kritisch moeten kijken of en hoe dit gebeurt.

Belangrijk is dat de zorgaanbieder de keuzes die zij maakt en de manier waarop zij de inzet van communicatiemiddelen in haar organisatie organiseert kan verantwoorden. Alleen zo kan de zorgaanbieder aantoonbaar voldoen aan de AVG en de NTA7516.

Loopt u zelf tegen vragen aan bij het gebruik van communicatiemiddelen aan of wilt u graag toetsen of u op de goede weg bent? Onze legal consultants zijn u graag van dienst.

Contact

Tinka Versteeg

Legal Consultant

Tinka Versteeg

Legal Consultant

©2019 Cure4 |

Cure4 is onderdeel van Tenzinger B.V. | Disclaimer
Contact