Skip to main content

Hoe kan je veilig en eenvoudig informatie delen?

Door 15 maart 2021 maart 28th, 2021 Blog, Netwerk beveiliging
veilig informatie delen

Onlangs werd ik getriggerd door het lezen van een column in de Volkrant. In deze column wordt een betoog uiteengezet dat het verplaatsen van patiënten tijdens de coronapandemie leidt tot verspilling van tijd bij artsen en verpleegkundigen. Het ontbreken van een landelijk elektronisch patiëntendossier en het bovenregionaal verplaatsen van patiënten heeft ertoe geleid dat gezondheidsinformatie (bijv. röntgenfoto’s) op dvd’s gebrand worden en aanvullende informatie gefaxt wordt na een telefonisch verzoek. Totaal overbodig en tijdrovend werk, want het kan ook anders.

Vandaag de dag zijn er voldoende technische mogelijkheden om snel en ad-hoc gezondheidsinformatie te delen zonder dat de AVG in de weg zit. Ook het ontwikkelen van complexe portalen en ingewikkelde interfaces is overbodig. Hiervoor is juist een norm ontwikkeld: de NTA 7516. Een norm voor de gezondheidszorg die handvatten biedt bij het veilig delen van gezondheidsinformatie.

Waar voorheen de ziekenhuizen werden geconfronteerd met problemen op het gebied van de AVG, is dit probleem tegenwoordig relatief eenvoudig op te lossen. Dit geldt overigens niet alleen voor ziekenhuizen, maar ook voor huisartsen, huisartsenposten, verpleeghuizen en zelfs gemeentes. In deze blog geven we een korte toelichting.

Waarom een oplossing voor het veilig delen van gezondheidsinformatie?

Om heel kort en krachtig antwoord te geven op deze vraag: Er is sinds mei 2018  regelgeving in de vorm van de AVG (Algemene Verordening Gegevensbescherming) en gewone e-mail voldoet daar niet meer aan.

De AVG stelt eisen waarmee privacybescherming nog belangrijker is geworden. Traditionele e-mailoplossingen voldoen niet aan deze eisen wanneer er geen aanvullende technische en organisatorische maatregelen worden ingericht.

Belangrijk om te weten is dat de AVG geldt voor alle organisaties, verenigingen en stichtingen. Elke organisatie die persoonsgegevens verwerkt moet voldoen aan de wet- en regelgeving. Daarnaast moet elke organisatie kunnen aantonen dat zij zich aan de wet houdt.

Een simpel voorbeeld hiervan is het delen van grote bestanden via e-mailoplossingen. Dit is meestal beperkt door de IT-administrators tot 20/50MB om het vollopen van mailservers te voorkomen. Omdat de huidige middelen niet voldoen wordt er snel gekeken naar een alternatief om toch de informatie te kunnen delen. Dit zie je terug in het voorbeeld die ik net noemde over het branden van dvd’s met gezondheidsinformatie.

Veel datalekken komen voort uit gewoon e-mail verkeer

Conventionele e-mail toepassingen dragen bij aan datalekken. Uit onderzoek blijkt dat 40% van de datalekken ontstaat door te mailen naar een verkeerd e-mailadres. Stel dat dit gezondheidsinformatie betreft die in verkeerde handen terechtkomt, dan wil je dit bericht terug kunnen roepen. De conventionele mailoplossingen beschikken over het algemeen wel over een terugroepmogelijkheid, alleen daar zitten beperkingen aan:  de mail moet nog op de server staan of een e-mail moet nog ongelezen zijn. Kortom geen garantie dat een terugroepactie lukt.

De NTA 7516 als verduidelijking op de AVG

Als je gezondheidsinformatie veilig wilt delen dan moet het overal werken EN te vertrouwen zijn. Op verzoek van het ministerie van VWS en Informatieberaad Zorg is daarom een project “Veilige e-mail” opgestart. Binnen dit project zijn drie onderdelen uitgewerkt:

  1. Opstellen van een normenkader
  2. Interoperabiliteit tussen producten
  3. Opstellen van een implementatie handboek

Het normenkader heet de NTA 7516. NTA staat voor Nederlandse Technische Afspraken en is een snelle route voor het opstellen van specificaties binnen een beperkte kring.

De NTA 7516 is mede bedoeld als een verduidelijking op de AVG. De NTA 7516 beschrijft in (techniek) neutrale termen de eisen waaraan communicatie van gezondheidsinformatie moet voldoen om veilig te zijn.

De norm helpt iedereen die soepel met gezondheidsinformatie wil omgaan

Deze norm geldt voor alle zorgprofessionals, inclusief de organisaties waarin ze werken, waar gezondheidsinformatie wordt gedeeld. Daarbij is de norm onafhankelijk van de techniek of de organisatieprocessen van de verzender of ontvanger.

Daarnaast is de norm ook bedoeld voor de leveranciers die technische oplossingen bieden. In de norm staan eisen waaraan de technische oplossing moet voldoen. Interoperabiliteit is hierin een zeer belangrijk punt. Dit betekent dat de oplossingen van verschillende leveranciers onderling met elkaar moeten samenwerken zonder allerlei aanvullende en ingewikkelde koppelingen te implementeren

NTA 7516 gaat vooral over beter organiseren en een beetje techniek

De NTA 7516 beschrijft 21 eisen waar een organisatie aan moet voldoen. Hiervan gaan 19 eisen gaan over beleid, gebruik en loggingseisen die een organisatie kan invullen. De overige 2 eisen moeten ingevuld worden door de leverancier van de technische oplossing.

De gestelde eisen zijn opgedeeld in een vijftal categorieën:

  1. Beschikbaarheid
  2. Integriteit
  3. Vertrouwelijkheid
  4. Gebruikersvriendelijkheid
  5. Interoperabiliteit

Is het verplicht en moet ik eraan voldoen?

Het voldoen aan de NTA is (nog) niet verplicht, maar je moet wel voldoen aan de AVG. In de AVG staat dat mailen van gezondheidsinformatie mag, maar dat dit veilig moet plaatsvinden. Dus wil je ad-hoc gezondheidsinformatie delen, dan moet dat je dat doen op een andere manier dan standaard e-mail. Standaard e-mail alleen is niet toereikend. Dit geldt uiteraard ook voor chatten, appen, dvd’s en faxen.

Een oplossing voor veilig e-mailen en delen van grote bestanden

Vandaag de dag zijn er diverse technische oplossingen op de markt die het veilig delen van gezondheidsinformatie mogelijk maken. De verschillen bestaan hoofdzakelijk uit een ander evenwicht tussen gebruikersgemak en veiligheid. De technische oplossing relatief eenvoudig te implementeren. Belangrijk is dat de technische oplossing een NTA-7516 certificering heeft voor het veilig delen van gezondheidsinformatie via mail of het delen van grote bestanden.

Het organiseren voor NTA7516 kost “slechts” tijd. Met de keuze en implementatie van een technische oplossing is een beperkt aantal eisen ingevuld. Er zijn ook een aantal organisatorische criteria die moeten worden ingeregeld. Denk bijvoorbeeld aan autorisatie van de verzender, verzendingsgrond of gebruik van de technische oplossing.

Tot slot

Een technische oplossing maakt het mogelijk om ad-hoc, snel en veilig gezondheidsinformatie te delen in overeenstemming met de AVG. De technische en organisatorische aspecten zijn niet zeer ingewikkeld om te implementeren en te onderhouden, maar vragen wel aandacht en tijd.

werking crypsthare uitgelegd
Hoe kan jouw e-mail optimaal beveiligd worden? Leer direct meer
Close Menu