Veilig e-mailen

 
U bent als huisarts verantwoordelijk voor het veilig versturen van gevoelige persoonsgegevens. ‘Veilig’ wil zeggen via een besloten en beveiligd netwerk en niet via het openbare internet. Dit wordt ook wel secure e-mail genoemd. Bij het gebruik van secure e-mail worden berichten versleuteld. De versleuteling zorgt er dan voor dat derden (mochten zij de berichten onderscheppen) de gegevens niet kunnen lezen.

Meer lezen: Voor een uitgebreidere technische toelichting, zie het rapport Veilig communiceren in de zorg van Nictiz.

Hoe kan ik veilig e-mailen?

Bij het versturen van privacygevoelige gegevens via e-mail, dient u volgens de Autoriteit Persoonsgegevens passende maatregelen te treffen om de kans te minimaliseren dat de gegevens in verkeerde handen belanden. Twee voorbeelden van passende maatregelen zijn:

  1. Het versleutelen van de persoonsgegevens in een e-mailbijlage.
  2. Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaarden. Er zijn verschillende aanbieders die dit mogelijk maken, zoals VANAD/ Enovation, KPN en Zivver.

Wilt u weten of uw e-mailvoorziening de moderne internetstandaarden ondersteunt? Doe dan de e-mailtest.

NTA7516: richtlijn voor veilig e-mailen

Er bestaat nog geen wettelijke bepaling die het gebruik van e-mail bij het uitwisselen van medische gegevens reguleert. Wel is op basis van de meer algemeen geformuleerde regels (WGBO en AVG) over de omgang met medische gegevens in 2019 een NTA (Nederlands Technische Afspraak) gemaakt, genaamd de NTA7516. Dit is een praktijkrichtlijn die omschrijft wat u moet regelen om conform wet- en regelgeving beveiligd te kunnen e-mailen. Kortgezegd komt het er op neer dat de zorgverlener bij het e-mailen op een verantwoorde wijze met de medische gegevens van zijn patiënten moet omgaan door passende maatregelen te nemen.

Een NTA is vergelijkbaar opgebouwd als een NEN-norm en bevat afspraken met betrekking tot techniek, inrichting en proces. Het verschil tussen een NTA en een NEN-norm is dat de NEN-norm geldt voor heel Nederland en kan worden toegevoegd aan als wet- en regelgeving, en de NTA (nog) niet. Een NTA kan na enkele jaren alsnog omgevormd worden tot NEN-norm. Een NTA geeft het veld alvast de handvatten om verbeteringen door te voeren.

Een leverancier kan zich laten certificeren voor NTA7516, waarbij middels audit wordt vastgesteld dat de leverancier aan de technische eisen voldoet. Bijzonder en vooralsnog omstreden is dat de leverancier in het certificeringstraject verplicht wordt om zelfverklaringen op te halen bij haar gebruikers, om aan te kunnen tonen dat het product ook veilig gebruikt wordt.

Op zich is certificering ook voor u als zorgaanbieder en klant van zo’n leverancier handig: wanneer u kiest voor een volledig gecertificeerde leverancier weet u dat u automatisch aan een aantal van de gestelde veiligheidseisen voldoet. Wat overblijft om te regelen zijn eisen die niet door de leverancier worden overgenomen. Denk hierbij bijvoorbeeld aan zaken als gebruikersbeheer, en afspraken binnen de praktijk over het gebruik.
Later dit jaar komen LHV, NHG en InEen met een vernieuwde Praktijkwijzer Informatiebeveiliging, waarin we uitleggen hoe u als huisarts(enpraktijk) kunt voldoen aan de NTA. Wilt u er tot die tijd meer over lezen, dan is er een technische handreiking beschikbaar (die is nog niet vertaald naar ons werkveld).

Omgaan met e-mail

Voordat de gegevens per e-mail naar een ander worden verzonden, moet duidelijk zijn dat de ontvanger deze gegevens mag ontvangen. Het beroepsgeheim van de arts verhindert in beginsel immers dat een arts medische gegevens aan derden verstrekt. De gegevensuitwisseling moet dus passen binnen (de uitzonderingen voor) het beroepsgeheim.

Als u heeft vastgesteld dat u de gegevens mag verstrekken, blijft de vraag over of en hoe dat via e-mail kan. Bij verzending via e-mail bestaat het risico dat de gegevens bij onbevoegden terechtkomen. De arts moet daarom vooraf proberen de risico’s zoveel mogelijk te beperken. Daarom heeft het de voorkeur om de gegevens te versturen met behulp van veilige e-mail (zie uitleg hierboven). Hiermee kan worden voorkomen dat onbevoegden de gegevens ontvangen.

Meer informatie over omgaan met medische gegevens, vindt u in de richtlijn van de KNMG.