Een lezer vroeg me:
Verschillende organisaties in mijn omgeving, waaronder mijn zorgverlener, maken gebruik van een platform voor het versturen van “beveiligde e-mail”. Zodra de zorgverlener een bericht via dit platform verstuurt ontvang ik een e-mail van het platform met daarin een link. Deze link wijst naar een beveiligde webpagina om het bericht te lezen. Nu bevat de e-mail die het platform verstuurt ook het onderwerp van het bericht, en dat is dan medische informatie (herinnering afspraak voor uw wortelkanaalbehandeling). Ik vraag me af of dat wel mag, immers het platform kan zo die medische informatie inzien.Dergelijke platforms worden zeker in de zorg veel gebruikt, omdat het daarmee eenvoudiger mogelijk is om aan de AVG te voldoen in de communicatie met patiënten of cliënten. De dienstverleners hebben certificeringen, worden contractueel aan van alles gebonden en zijn aan te spreken op fouten. Een e-mail is misschien sneller verstuurd, maar kan al die eisen niet halen.
Lang niet alle platforms gebruiken volledige end-to-end encryptie waarbij alleen afzender en ontvanger het bericht kunnen lezen. Dit betekent dat de dienstverlener in het midden in theorie in staat is om die berichten te lezen. En als daar dan medische of andere gevoelige informatie in staat, dan zie ik hoe dat op zijn minst onprettig kan voelen.
Tegelijkertijd: de AVG eist niet dat alle persoonsgegevens volledig afgeschermd worden voor allen anders dan de ontvanger. Je moet gepaste en adequate maatregelen nemen, maar in een situatie als deze kun je prima volstaan met een contractuele afspraak dat er niet naar berichten (of onderwerpregels) wordt gekeken. De dienstverlener zit al zodanig ingekaderd dat het echt niet nodig is om te eisen dat onderwerpregels neutraal worden ingesteld (“Nieuw bericht van uw zorgverlener”).
Arnoud
Welk probleem lossen deze service providers eigenlijk op? Het maakt communicatie allemaal veel ingewikkelder en voegt namelijk wel extra risico’s toe (er zit een extra partij in de loop).
Om een bericht van mijn huisarts te lezen moet ik nu een code intypen die ik ook via de mail krijg. Ze noemen dat zelf two-factor, maar zowel de link naar de portal als de code krijg ik via hetzelfde kanaal.
Ik snap niet helemaal waarom we medische informatie wel per post versturen (geen enkele controle of de postbode niet meeleest, je huisgenoten de envelop niet opmaken, of jij die brief niet thuis laat slingeren) maar zodra het digitaal gaat, mag ik informatie niet meer in mijn eigen mailbox krijgen omdat de huisarts niet zeker weet of ik mijn mailbox wel goed beveilig.
Sommige email providers (xs4all) geven expliciet aan dat ze niet meelezen. [*] Andere email providers (gmail) analyseren en indexeren de emails voor jou en/of gebruiken het als AI trainingsmateriaal. Welk van deze “beveiligingsniveaus” moet je kiezen als grondslag voor jouw evaluatie van het adequaat zijn van email?
[*] Behalve virus- en spamfilters.
Het probleem is zoals altijd de ict-kennis niet in huis hebben en die dan maar inkopen. Dat vind ik niet raar, als huisarts maak je ook niet je eigen tekstverwerker of dossierbeheersoftware, die koop je. Inderdaad is uitbesteden altijd een risico, maar aan zelf klussen (het zoontje van de receptioniste doet iets met computers en vibecodet een mailsysteem) zitten ook weer risico’s.
Ik betwijfel serieus of het per post versturen van medische informatie toegestaan is onder de AVG.
Ik snap dat je dossier-software inkoopt en dat daar zeer hoge eisen aan zitten. Maar waarom die software mij niet rechtstreeks de informatie mailt, snap ik niet.
Ik krijg nu een bericht van mijn arts (notificatie via mail van Zivver) en vervolgens kan ik dat bericht inzien door een code die ik via datzelfde kanaal ontvang. Als er dan toch geen echte two factor is, dan kan die informatie toch ook direct via de mail?
Het risico dat wordt gemanaged is het transport van het bericht via e-mail. Mailservers en -backups kunnen worden gehackt. Het risico dat de verkeerde persoon het bericht ontvangt, staat daar los van. Als het goed is, wordt bij inschrijving bij de zorgverlener gecheckt dat jij eigenaar bent van stephan@example.com. Dus notificaties daarheen gaan goed, authenticatie-wise. Het bericht zelf komt via een beveiligde TLS verbinding naar jouw computer.
Wacht even, ben je hier serieus? Dat vind ik verontrustend; waarom zou dat niet toegestaan zijn? Ik heb juist bij mijn ziekenhuis het account in hun UwMijnJouw portal (dat ze ongevraagd hadden gemaakt; ik kreeg een brief of ik alles via die portal wilde gaan doen) laten verwijderen. Ik ontvang liever alles via post; ik denk dat de kans op een datalek dan veel kleiner is. Ik ontvang dus ook bevestigingen van afspraken e.d. via de post. Waarom zou dat onder de AVG niet toegestaan zijn, en is mijn ziekenhuis dan in overtreding? De bedoeling van de AVG kan toch niet zijn om een niet-digitaal alternatief te verbieden, daarmee forceer je dan mensen naar de digitale opties of ze dat nu willen en/of kunnen of niet.
Mijn twijfel zit hem in het gegeven dat veel van de risico’s bij e-mail ook opgaan bij post. Post kan kwijtraken, in de verkeerde bus terecht komen, opengemaakt worden door een huisgenoot. De buurman kan aan het logo zien dat jij post krijgt van de haarkliniek. Ik weet dat we met z’n allen doen of dat vergezochte incidenten zijn maar het fundamentele verschil met “je e-mailprovider kan meelezen” of “de hacker in het internetcafé kan het netwerkverkeer wiresharken” zie ik niet.
Waarom is “de postbode doet de factuur van de orthodontist bij de buren in de bus” iets anders dan “de mail met je factuur van de orthodontist ging naar Gregoria ipv Gregorius at example punt com”?
Dat snap ik, bepaalde risico’s bestaan bij beide systemen. Daarom begrijp ik niet goed waarom onder de AVG dan die e-mail wel is toegestaan, maar de papieren brief niet. Als bij beide die risico’s bestaan dan zou ik denken beide wel, of beide niet.
Voor mij persoonlijk is de overweging hierin (maar dit staat los van de vraag) dat ik eigenlijk alleen medische post krijg die ik verwacht te krijgen. Als ik de brief niet ontvang, of deze vertoont tekenen van manipulatie, dan kan ik aan de bel trekken. De papieren brief kan eigenlijk maar op een plek verloren raken of verkeerd bezorgd worden en is dan fysiek daar. Er is ook herstel mogelijk; mijn buurman kan hem bijvoorbeeld alsnog bij mij langs brengen. Een email die lekt als gevolg van een datalek of hack kan en wordt gedeeld en verkocht en kan zo lange tijd door tientallen partijen worden misbruikt. Om dat te laten gebeuren bij een papieren brief moet een kwaadwillende die onderscheppen en dan die informatie gaan misbruiken (per post, want in die brief staat geen emailadres, en dat kost dus postzegels).
Ik zie om diezelfde reden e-mail ook als niet toegestaan. Vandaar de opkomst van al die veiligmailendiensten, die zijn wél AVG-conform. Het ‘zwakke’ punt daar is de onderwerpregel in de notificatiemail. Ik zie hoe dat gegevens kan lekken, want dat is gewoon e-mail. Maar dat is het equivalent van het logo op de brief die bij de buurman uit de bus steekt. Ik denk dat dat acceptabel restrisico is.
Ja oke, fair enough. Blijft voor mij wel als punt openstaan dat de wetgever dan mensen naar een digitale oplossing dwingt; dat is dan eigenlijk de enige overgebleven mogelijkheid. Is dat toegestaan? Kan je eigendom van een computer zo afdwingen? Was dat bekend en de bedoeling? Ik heb er ernstige moeite mee dat een bestaand en vertrouwd systeem (papieren brieven) zomaar verboden kan worden terwijl er nog legio mensen gebruik van maken of afhankelijk van zijn. Moet je als gebruiker het risico op een datalek dan ook maar accepteren, in de wetenschap dat die digitale systemen 24/7 onder aanval liggen vanuit kwaadwillenden van over de hele wereld, terwijl het risico bij een papieren brief is dat die wellicht per abuis bij je buurman terecht komt? Ik formuleer het bewust een beetje scherp om de essentie weer te geven; ik heb gewoon weinig vertrouwen in de mate waarin zo’n systeem langere tijd veilig kan blijven, en dat gevoel wordt versterkt door de niet aflatende dagelijkse stroom van berichten over datalekken met tienduizenden of zelfs miljoenen slachtoffers. Het klinkt alsof de wetgever heeft gedacht “we leggen in de wet vast dat aanbieders adequate beveiligingsmaatregelen moeten treffen, dus dat gaan ze allemaal netjes doen, en dan is het veilig want anders was de beveiliging niet adequaat, en we hebben reeds vastgesteld dat die adequaat moet zijn, ergo de kans op een datalek is absoluut nul”.
Ik snap iets niet:
Men stelt dat een “gewone e-mail” niet mag voor medische gegevens. Ik kan dat volgen.
Daarna verstuurd een derde partij alsnog medische gegevens (het onderwerp) via “gewone e-mail”.
Dit is toch te gek voor woorden.
Artsenfederatie KNMG heeft wel een interessante uitleg: https://www.knmg.nl/ik-ben-arts/praktijkdilemmas-1/praktijkdilemma/mag-ik-medische-gegevens-verstrekken-per-e-mail
“Er bestaat geen wettelijke bepaling voor het uitwisselen van medische gegevens per e-mail, ook niet in de Algemene verordening gegevensbescherming (AVG). Uit de algemeen geformuleerde regels over de omgang met medische gegevens volgt dat een hulpverlener medische gegevens die tot patiënten herleidbaar zijn, alleen per e-mail mag versturen als deze voldoende beveiligd zijn. (..) Als je hebt vastgesteld dat je de medische gegevens aan de betreffende persoon mag verstrekken, is de volgende stap om te bekijken of dat via e-mail kan. Bij verzending via e-mail bestaat het risico dat de gegevens bij onbevoegden terechtkomen. Gebruik je bijvoorbeeld Gmail, dan heeft Google toegang tot de vertrouwelijke patiëntinformatie in je e-mailberichten. Ook kan medisch-inhoudelijke informatie worden afgeleid uit het feit dat ervan uit of naar een bepaald e-mailadres is gecommuniceerd (denk aan psychiater@psychiater.nl).
Je moet daarom vooraf een risico-inschatting maken. Daarbij verdient het de voorkeur om de gegevens versleuteld te versturen. Om veilig te kunnen e-mailen zijn systemen beschikbaar zoals Zivver en ZorgMail.”
Ik krijg dus nu een mail met “Nieuw beveiligd bericht van [naam arts] ([naam zorgorganisatie]) met het onderwerp: [behandeling].
Dat ‘veilig mailen’ (in dit geval van Zivver) is dus helemaal geen oplossing voor bovenstaande probleem. De hypothetische bad guy in the middle heeft dan toch al gelezen dat ik bij een psychiater in behandeling ben of dat ik een SOA heb. In die afweging tussen privacy en gebruiksgemak, stuur dan maar gelijk mee welke SOA ik heb. Dat argument dat Gmail kan meelezen of dat de metadata informatie prijsgeeft, is m.i. een gezocht argument om deze ingewikkelde software te verkopen, want heeft nu toch al die medisch-inhoudelijke informatie in handen.
Overigens stelt de AVG geen eisen aan verzending per post (https://www.avghelpdeskzorg.nl/onderwerpen/g/gegevens-delen-per-mail-of-post/gegevens-delen-per-post). Dat betekent dat we een trage en best wel onveilige route (de postbode en huisgenoten kunnen het eenvoudig onderscheppen) prima vinden, maar we hebben de veiligere route (vrijwel iedereen heeft z’n telefoon adequaat beveiligd met pincode/vingerafdruk, versturen van mail gaat tegenwoordig vrijwel altijd met beveiligde verbindingen) een stuk ingewikkelder gemaakt met een extra stap die vrijwel niets toevoegt (behalve complexiteit).
Die veiligmailenplatforms hebben een niet of nauwelijks bestaand probleem groot gemaakt (en dat probleem ironisch genoeg niet eens opgelost), maar wel complexiteit en extra (maatschappelijke) kosten toegevoegd.
Niet alle communicatie tussen arts en patient hoeft hetzelfde niveau van beveiliging te hebben. De uitnodiging van de tandarts voor de reguliere controle is minder privacy-gevoelig dan de diagnose van een SOA. Ik zie geen reden om uitnodigingen (zonder ziekte-details) niet per email of post te versturen. Details van behandeling of zieke zouden op een veiliger manier behandeld moeten worden, bijvoorbeeld door ze direct aan de patient te overhandigen.
Email wordt (bij de meeste providers) onversleuteld opgeslagen op de mailserver. En dankzij IMAP blijft het daar jaren staan, tenzij de gebruiker de berichten expliciet wist. Een datalek bij een grote email provider en de berichten van miljoenen personen liggen (potentieel) op straat. (Dat lek kan trouwens ook de Amerikaanse overheid zijn die berichten bij Hotmail opvraagt.)
Jij kunt jouw telefoon wel optimaal beveiligd hebben, maar daarmee heb je het potentiële lek aan de ISP kant nog niet gedicht.
Dit raakt de kern van mijn bezwaar tegen dit doorgeschoten denken rondom de AVG. Met de AVG is niets mis, maar we hebben ons door consultants allemaal laten aanpraten dat het ingewikkeld is. En diezelfde consultants verkopen allemaal spulletjes die ons daar zogenaamd tegen beschermen.
Als mijn e-mailprovider wordt gehackt is dat MIJN verantwoordelijkheid, niet die van mijn arts. Niet mijn schuld (tenzij ik zelf zo’n mailservertje host), maar het is wel mijn keuze geweest die provider te kiezen. De arts heeft de verantwoordelijkheid om het bericht fatsoenlijk te versturen (met SSL/TLS/DKIM/SPF/whatever de huidige stand van de techniek voorschrijft, of aangetekende post) en mag desnoods een bericht weigeren te verzenden als mijn e-mailprovider geen beveiligde verbinding toestaat, maar zodra het bericht (email, brief, postduif, pakketje) over de voordeur is getild, is het de verantwoordelijkheid van de ontvanger om dat bericht goed te bewaren (of juist niet te bewaren).
Ik ben het slechts deels met je eens. Als een consument een geïnformeerde keus voor een email provider zou kunnen maken, dan zou versturen per email geen probleem zijn. Maar wat weet de gemiddelde consument over de privacy policy van zijn email provider? Ik denk dat zhij dat niet overziet. (Als iemand die geïnteresseerd is in privacy denk ik dat alleen een email provider als Protonmail een beveiligingsniveau biedt dat geschikt is voor de opslag van medische gegevens.)
Ik weet niet of hij de uitzondering is, maar mijn tandarts stuurt uitnodigingen en afspraakbevestigingen met gewone mail (Dat je een afspraak hebt bij de tandarts is moeilijk gevoelige informatie te noemen).
De factuur daarintegen gaat via een beveiligd platform, daar staat op wat je voor behandeling gehad hebt. Lijkt me een prima praktische oplossing.
Zoals ik een stukje hierboven ook al zei ben ik het niet eens met de kwalificatie van post als onveilig. Natuurlijk kleven er bepaalde risico’s aan zoals diefstal of verlies door de postbode maar het heeft ook duidelijke voordelen. Mensen ontvangen niet zomaar willekeurig en onverwachts medische post; als je een brief niet krijgt dan weet je dat er was mis is en kan je gericht actie ondernemen. De postbode weet dit ook, ik geloof dan ook niet dat diefstal door de postbode echt daadwerkelijk een probleem is. Verder is replicatie en verspreiding moeilijker; dat gaat met een vel papier nu eenmaal minder makkelijk dan met digitale informatie. Hackersgroepen uit Rusland of China gaan mijn papieren brief niet misbruiken en mijn brievenbus kan niet leeggehendeld worden vanaf de andere kant van de wereld. Als mijn papieren brief verloren raakt of gestolen wordt kan ik ergens verhaal halen, als er een datalek is kunnen die gegevens nog tot in lengte van jaren misbruikt worden door allerlei verschillende kwaadwillenden waarmee die informatie gedeeld is. Als de online UwMijnJouw portal gehackt wordt dan zijn in een keer alle gegevens die er in staan gelekt, ook eerdere berichten of berichten van andere artsen. De brief is maar een enkel bericht. De fysieke aard ervan geeft ook bescherming; kwaadwillenden zullen niet masaal papieren post gaan sturen om te proberen mij te phishen. Dus wellicht is de kans op verlies van de data groter (alhoewel ik daar ook aan twijfel gezien de regelmaat van grote datalekken) maar de gevolgen zijn aanmerkelijk kleiner.
Een ander probleem is natuurlijk dat mails met ‘Er staat een bericht voor u klaar’ véél minder goed gelezen worden dan mails waar de boodschap gewoon in de mail staat. Tenzij ik echt in afwachting ben ergens van lees ik dat soort generieke mails vaak niet eens. Voor deze blog kende ik de afzender ‘Zivver’ niet eens. Die mail was bij mij linea recta in de prullenbak beland.
Met je huisarts hoor je een enigszins persoonlijke relatie te hebben, anders werkt het niet. Dat je een bericht krijgt dat ergens iets staat wat je moet gaan bekijken is een ernstige inbreuk op het persoonlijke karakter. Zeker als je ook verplicht bent om in zo’n portaal te reageren, vaak zonder dat het bericht waarop je reageert nog zichtbaar is. Dat verwijzingen, afspraken voor onderzoek, en de uitslagen daarvan via een portaal gaan vind ik prima. Al het andere zou per gewone mail moeten. Een en ander leidt er toe dat ik eerder de telefoon gebruik. Ook niet heel veilig.
Die hele AVG is ambtelijke werkverschaffing die niets werkelijk oplost. Privacy is in het voordeel van kwaadaardigen.
Het verplaatst het probleem van de bestrijding van misdaad naar de potentiële slachtoffers. Dit in plaats van de daders op te sporen en (liefst heel streng) te veroordelen. Privacywetten vormen een belemmering bij opsporing en effectief veroordelen. Helemaal als dat wordt overgelaten aan deurwaarders.