Doe het veilig of doe het niet: e-mailen in de zorg

4 min lezen - gepubliceerd op 8 februari 2017

Beste professional,

Afgelopen maand mailden en belden medewerkers van vier toonaangevende zorginstellingen in Nederland mij vol verbazing. Waarom? Vanwege de ‘oplossing’ die hun instelling heeft gekozen voor veilige e-mail of chat. Zij vroegen mij om naar deze oplossing te kijken en uit te leggen hoe dit helpt bij veilig communiceren. 

Ik moet eerlijk zeggen dat ik die vraag niet kan beantwoorden; er komen bij mij alleen maar meer vragen op....

Waar staan we nu?

Om te snappen of iets een goede oplossing voor een probleem is, moeten we eerst kijken naar de huidige situatie op het gebied van datalekken.

 Inmiddels moet het fenomeen datalekken een bekend begrip zijn, zeker in de zorg. Een jaar na de introductie van de Wet meldplicht datalekken weten we dat zorginstellingen en gemeentes in 2016 ‘hofleverancier’ waren van datalekken (elke dag veroorzaakt een ziekenhuis een datalek). 

We weten dat menselijke fouten bij de gerapporteerde datalekken de belangrijkste oorzaak waren. Een goede oplossing helpt je bij het voorkomen van deze fouten. Grote kans dat jij afgelopen jaar ook zo’n menselijke fout hebt gemaakt, zoals de verkeerde persoon mailen of een verkeerde bijlage toevoegen. In een onderzoek waar wij binnenkort over publiceren geeft ruim een derde van de mensen aan dat zij in het afgelopen jaar een datalek hebben veroorzaakt. Herkenbaar? 

Naast bescherming tegen menselijke fouten wil je graag een oplossing die checkt of alleen de juiste ontvanger de privacygevoelige informatie kan lezen. Stuur jij bijvoorbeeld wel eens een bericht waarbij de ontvanger zich moet authenticeren voordat hij het bericht kan zien? Bijvoorbeeld via een sms-code (zoals bij je bank of bij gebruik van DigiD)? Uiteraard niet, zou ik bijna zeggen, want heb jij de tools waarmee je dit makkelijk kunt doen? Het leven is druk, vol met verantwoordelijkheden en heeft weinig ruimte voor ingewikkelde extra procedures. 

Schijn bedriegt

Voor zover de context waarin de aangeboden oplossing moet werken. Laten we nu samen kijken naar één van de oplossingen waarover professionals mij mailden: 

Veilig mailen met Oplossing X

……..
Deze nieuwe functionaliteit wordt automatisch toegevoegd aan je Outlook-account, maar is voor jou als gebruiker niet zichtbaar aan de 'voorkant' (in jouw mailprogramma).

Wanneer gebruik ik Oplossing X?
Wil je patiëntgegevens of medisch inhoudelijke informatie versturen aan een ontvanger buiten? Kijk dan of de ontvanger in de lijst met bij <y> aangesloten zorginstellingen voorkomt.

 

Staat de ontvanger in de lijst? Dan kun je de e-mail versturen. 

Staat de ontvanger niet in de lijst? Dan mag je de e-mail met patiëntgegevens of medisch inhoudelijke informatie niet versturen.

 

De heel korte samenvatting: als medewerker van deze instelling moet jij zoeken in een lijst met meer dan 1000 mailadressen of jouw afzender in de lijst staat. Zo ja, dan mag je op ‘Verzenden’ drukken, anders niet…

 

Het goede nieuws is dat instellingen een oplossing voor veilig mailen proberen te implementeren! Het slechts nieuws is dat hopelijk iedereen ziet dat dit een schijnoplossing is.

 

Vragenvuurtje

Wat is het eerste dat jij denkt nu je dit leest? Is deze werkwijze echt veilig? Ben jij je er altijd bewust van als je iets gevoeligs verstuurt? Zou je echt in de lijst met mailadressen kijken? En wat zou je doen als iemand niet in de lijst staat? Weer je ‘normale’ mailprogramma erbij pakken? Of dan toch maar kiezen voor een telefoontje, een DVD of een brief of fax? Maar dat is ook niet veilig...toch?

 

Als menselijke fouten de belangrijkste oorzaken zijn van datalekken, draagt deze werkwijze er dan aan bij om deze fouten te voorkomen? Jij wilt bijvoorbeeld mailen naar henk@zorginstellingA.nl. Die staat op de lijst. Maar omdat Outlook het e-mail adres automatisch voor je afmaakt, mail je per ongeluk naar henk@ictpartijB.nl. Wat dan? Is er iets van een waarschuwing, of een mogelijkheid om je fout te herstellen?

 

Tot slot, helpt deze oplossing door de bedoelde ontvanger toegang te geven tot het bericht? Hoeveel mensen kennen het wachtwoord van jouw computer of inbox? En weet je hoeveel mailboxen je kunt lezen door gewoon een wachtwoord als ‘123456, ‘qwerty’ of ‘naamkind’ te proberen? Is de hostingprovider wel te vertrouwen?

 

Bij bovenstaande oplossing X vraag ik me af: Is er echt goed nagedacht over het voorkomen van een datalek? Of is het gewoon een vinkje van de ICT-afdeling achter ‘veilig mailen’? De antwoorden op deze twee vragen bepalen hoe jij met het medisch beroepsgeheim omgaat.

 

Pleiten voor eigen parochie

Ja, ik maak een oplossing voor veilig mailen. Dus ja, je mag tegen mij zeggen dat ik pleit voor eigen parochie. Maar dat maakt de interesse in jouw gedachtenpatroon, in jouw keuze en in jouw gevoel van verantwoordelijkheid niet minder. Ik wil begrijpen hoe ik jou nog beter kan helpen. Hoe kan ik de zorgsector als het gaat om het communiceren van privacygevoelige informatie naar een hoger niveau tillen?

 

Alvast bedankt voor jouw antwoord!

 

Met vriendelijke groet,

Rick Goud, rick.goud@zivver.com

Director & Co-founder

ZIVVER B.V. – Secure communication just got simple

lees Alles over veilig mailen en bestanden delen 

 

Picture of Rick Goud

Rick Goud

Rick heeft ruim 6 jaar gewerkt als strategieconsultant in de gezondheidszorg bij Gupta Strategists. Hij studeerde medische informatiekunde aan de UvA en Zorgmanagement aan de Erasmus Universiteit. Daarnaast is hij gepromoveerd in de Geneeskunde aan de UVA op de ontwikkeling, implementatie en evaluatie van beslissingsondersteunende systemen in de zorg. Tijdens zijn studie heeft Rick een aantal jaar als programmeur gewerkt. Het idee achter ZIVVER ontstond tijdens zijn werk als strategieconsultant. Overal waar hij kwam werd veel met gevoelige data gewerkt zoals patiëntgegevens, prijsafspraken, marktprestaties, contracten etc. Bij elke klant speelden vragen over veiligheid van de data, hergebruik van de data, etc. Regelmatig zag hij dat gebruik gemaakt werd van oplossingen waarbij de veiligheid en beheersbaarheid onduidelijk was. Op basis hiervan zag hij dat er een duidelijke behoefte was aan een oplossing zoals ZIVVER die biedt.