Veilig e-mailen
Je bent als huisarts verantwoordelijk voor het veilig versturen van gevoelige persoonsgegevens. We leggen uit hoe je dat doet met behulp van secure e-mail.
‘Veilig’ wil zeggen via een besloten en beveiligd netwerk en niet via het openbare internet. Dit wordt ook wel secure e-mail genoemd. Bij het gebruik van secure e-mail worden berichten versleuteld. De versleuteling zorgt er dan voor dat derden (mochten zij de berichten onderscheppen) de gegevens niet kunnen lezen.
Een uitgebreidere technische toelichting vind je in het rapport Veilig communiceren in de zorg van Nictiz.
Hoe kun je veilig e-mailen?
Bij het versturen van privacygevoelige gegevens via e-mail, moet je volgens de Autoriteit Persoonsgegevens passende maatregelen treffen. Daarmee verminder je de kans dat gegevens in verkeerde handen belanden. Twee voorbeelden van passende maatregelen zijn:
- Het versleutelen van de persoonsgegevens in een e-mailbijlage.
- Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaarden. Er zijn verschillende aanbieders die dit mogelijk maken, zoals VANAD/ Enovation, KPN en Zivver.
Wil je weten of jouw e-mailvoorziening de moderne internetstandaarden ondersteunt? Doe dan de e-mailtest.
Er bestaat nog geen wettelijke bepaling die het gebruik van e-mail bij het uitwisselen van medische gegevens reguleert. Wel is op basis van de meer algemeen geformuleerde regels (WGBO en AVG) over de omgang met medische gegevens in 2019 een NTA (Nederlands Technische Afspraak) gemaakt, genaamd de NTA7516. Dit is een praktijkrichtlijn die omschrijft wat je moet regelen om conform wet- en regelgeving beveiligd te kunnen e-mailen. Kortgezegd komt het er op neer dat de zorgverlener bij het e-mailen op een verantwoorde wijze met de medische gegevens van zijn patiënten moet omgaan door passende maatregelen te nemen.
Een NTA is vergelijkbaar opgebouwd als een NEN-norm en bevat afspraken met betrekking tot techniek, inrichting en proces. Het verschil tussen een NTA en een NEN-norm is dat de NEN-norm geldt voor heel Nederland en kan worden toegevoegd aan als wet- en regelgeving, en de NTA (nog) niet. Een NTA kan na enkele jaren alsnog omgevormd worden tot NEN-norm. Een NTA geeft het veld alvast de handvatten om verbeteringen door te voeren.
Een leverancier kan zich laten certificeren voor NTA7516, waarbij middels audit wordt vastgesteld dat de leverancier aan de technische eisen voldoet. Bijzonder en vooralsnog omstreden is dat de leverancier in het certificeringstraject verplicht wordt om zelfverklaringen op te halen bij haar gebruikers, om aan te kunnen tonen dat het product ook veilig gebruikt wordt.
Op zich is certificering ook voor u als zorgaanbieder en klant van zo’n leverancier handig: wanneer je kiest voor een volledig gecertificeerde leverancier weet je dat u automatisch aan een aantal van de gestelde veiligheidseisen voldoet. Wat overblijft om te regelen zijn eisen die niet door de leverancier worden overgenomen. Denk hierbij bijvoorbeeld aan zaken als gebruikersbeheer, en afspraken binnen de praktijk over het gebruik.
Later dit jaar komen LHV, NHG en InEen met een vernieuwde Praktijkwijzer Informatiebeveiliging, waarin we uitleggen hoe je als huisarts(enpraktijk) kunt voldoen aan de NTA. Wilt u er tot die tijd meer over lezen, dan is er een technische handreiking beschikbaar (die is nog niet vertaald naar ons werkveld).
Omgaan met e-mail
Voordat de gegevens per e-mail naar een ander worden verzonden, moet duidelijk zijn dat de ontvanger deze gegevens mag ontvangen. Jouw beroepsgeheim verhindert in beginsel immers dat je medische gegevens aan derden verstrekt. De gegevensuitwisseling moet dus passen binnen (de uitzonderingen voor) het beroepsgeheim.
Als je hebt vastgesteld dat je de gegevens mag verstrekken, blijft de vraag over of en hoe dat via e-mail kan. Bij verzending via e-mail bestaat het risico dat de gegevens bij onbevoegden terechtkomen. Je moet daarom vooraf proberen de risico’s zoveel mogelijk te beperken. Daarom heeft het de voorkeur om de gegevens te versturen met behulp van veilige e-mail (zie uitleg hierboven). Hiermee kun je voorkomen dat onbevoegden de gegevens ontvangen.
Meer informatie over omgaan met medische gegevens, vindt u in de richtlijn van de KNMG.
Meer weten?
Heb je meer vragen over veilig e-mailen? Johan Snijders, LHV-beleidsadviseur, staat jou graag te woord.