In elke organisatie wordt vandaag de dag veel gebruik gemaakt van e-mail, en het beveiligen hiervan kan complex zijn. De zorgsector is daar geen uitzondering op. De communicatie in de zorg is, ondanks alle goede bedoelingen, niet altijd even gestructureerd. Er wordt veel van de zorg verwacht, en zeker in deze tijd waar er om een extreme mate van flexibiliteit en aanpassingsvermogen gevraagd wordt. Er kunnen zich situaties voordoen waarbij de richtlijnen van de AVG-wetgeving geschonden worden en patiënt- en cliëntgegevens in de verkeerde handen vallen. E-mailen en chatten veilig houden blijkt in de praktijk best uitdagend te zijn.
NTA 7516, wat was het ook alweer?
Op initiatief van het Ministerie van Volksgezondheid, Welzijn en Sport zijn samen met het NEN een aantal afspraken gemaakt waarmee leveranciers en zorgorganisaties zich kunnen certificeren. Deze zijn vastgelegd in NTA 7516, Nederlands Technische Afspraken. Deze nieuwe norm is per 1 juli 2020 van kracht. Een korte samenvatting:
Als zorgorganisatie moet je voldoen aan maar liefst 29 eisen (waarvan 24 technisch);
Een organisatie verklaart zichzelf compliant zodra aan alle eisen voldaan is;
Leveranciers van communicatie oplossingen, zoals email en chat, moeten gecertificeerd zijn volgens het NCS 7516 certificatieschema.
De communicatieoplossingen moeten zowel veilig als gebruiksvriendelijk zijn, twee voorwaarden die niet altijd makkelijk te combineren zijn. Gebruiksgemak betekent namelijk dat er uitwisseling mogelijk moet zijn naar andere veilige systemen. En hoe beoordeel je dat totale beeld?
Twee voorbeelden van zo’n technische afspraak
We zullen ze niet alle 29 noemen maar concentreren ons in deze blog op twee voorbeelden die zeer herkenbaar zullen zijn:
Voorbeeld 1: Toegangsvertrouwelijkheid
In de NTA 7516 is bijvoorbeeld vastgelegd dat de ontvanger van een e-mailbericht dit bericht uitsluitend kan lezen nadat een passende authenticatie van zijn of haar identiteit heeft plaatsgevonden. Hierbij gaat het dus eerst om zeker weten of de juiste geadresseerde persoon het bericht opent. Daarnaast moeten er minimaal twee verificatiemethoden gebruikt worden, wat ook wel 2FA, two -factor-authentication, genoemd wordt. Dat helpt te voorkomen dat onbevoegden er met het bericht vandoor gaan. Na het intypen van het wachtwoord moet je dan opnieuw een code invoeren die bijvoorbeeld per sms naar je is toegezonden. Net zoals je ook gewend bent van je bankinstelling. Tot slot moet de smartphone beveiligd zijn met een pincode en mag de sms-code alleen toegezonden worden als het apparaat dat dit bericht ontvangt vergrendeld is.
Voorbeeld 2: Multikanaal communicatie
De zorg kan niet zonder het onderlinge uitwisselen van zeer privacygevoelige gegevens. Daarom is vastgelegd dat verzendende servers eerst controleren of de beoogde ontvanger ook de juiste is. Dat gebeurt op basis van technische protocollen, waarbij van tevoren is vastgelegd hoe zij elkaar herkennen. Pas als dit correct is en er een ‘digitale handshake’ heeft plaatsgevonden wordt het bericht naar de gespecificeerde server verzonden.
Is NTA 7516 voldoende duidelijk om veilig e-mail en chatverkeer te realiseren?
Zijn al die afspraken afdoende om de veiligheid van gegevens te waarborgen? Het lijkt er niet op. Helaas kent de zorgsector een hoge notering op de lijst van datalekken bij de Autoriteit Persoonsgegevens. Wij kunnen ons voorstellen dat het grote aantal aanbieders van e-mailoplossingen gecombineerd met alle technische afspraken binnen NTA 7516 een flink hoofdpijndossier kan opleveren. Laten we voorop stellen dat we het toejuichen dat deze vorm van informatiebeveiliging over de dimensies beschikbaarheid, integriteit en vertrouwelijkheid gaat. Alleen vinden wij dat de zorgsector vooral haar tijd in de zorg moet steken en niet in technische eisen. Ieder z’n vak.
Een second opinion nodig?
Wij kennen de verschillende e-mailoplossingen en precies de status betreft wie wel en niet voldoet aan alle 29 eisen. Zullen wij ze vrijblijvend eens toelichten of samen onderzoeken of er door zorgmedewerkers nog veiliger gewerkt kan worden? Want, naast e-mail en chat zijn er nog veel meer digitale aandachtspunten om zowel de privacy van mensen, als de veiligheid van informatie te garanderen. Neem gerust eens contact met ons op!
