Gevoelige medische dossiers worden vaak illegaal onbeveiligd rondgemaild
Medische dossiers moeten volgens de wet beveiligd opgeslagen en versleuteld verstuurd worden. Toch gebeurt dat vaak niet: zorgverleners versturen dossiers gewoon naar Hotmail- en Yahoo!-accounts. Ik ontdekte hoe laks sommige zorgverleners omgaan met een belangrijk, maar onveilig communicatiemiddel: e-mail.
Anine van Garderen had ruzie met Jeugdzorg. Van Garderen is psycholoog en houdt haar cliëntgegevens graag geheim; er wordt haar immers nogal wat toevertrouwd. In het dossier staat de hele behandelgeschiedenis van de cliënt, van intakegesprek en tussentijdse evaluaties tot het ontslag. Jeugdzorg wilde haar een cliëntdossier per e-mail toesturen. Niet naar haar beveiligde werkadres, maar naar haar Hotmail-account. Ondanks haar verzet kwam het dossier uiteindelijk toch in haar Hotmail-inbox terecht.
Van Garderen is niet de enige hulpverlener die zich zorgen maakt om de gegevens van haar cliënten. Het komt binnen de Geestelijke Gezondheidszorg (GGZ) veel vaker voor dat gevoelige informatie van medische of psychologische aard via e-mail wordt verstuurd.
Het is makkelijk en snel - en ook niet verboden. Maar er kleven wel risico’s aan. Een kopie van het medisch dossier staat, als hij naar een onbeveiligd account wordt verstuurd, ook op een server van bijvoorbeeld Google, Yahoo! of Microsoft, ergens in een groot datacentrum in Nederland, Ierland of de Verenigde Staten.
Naast de werkcomputer is het medisch dossier dan ook toegankelijk via privélaptop en smartphones van de zorgverlener. Wat als de laptop gestolen wordt, of de smartphone zoekraakt? Alle gegevens over depressies, bipolaire stoornissen, verslavingen en gespreksverslagen liggen dan potentieel op straat.
Een e-mail is een ansichtkaart
Hoewel er richtlijnen bestaan voor het opslaan van medische gegevens, is er verbazingwekkend weinig geregeld voor de verzending ervan. Op papier zijn er harde normen vastgelegd, maar die worden in de praktijk niet afgedwongen. En nieuwe regels over de bescherming van medische gegevens, die binnenkort van kracht worden, gaan nog steeds onvoldoende in op de beveiliging van de verzending.
Wellicht ligt de persoon die je mailt nog wel in zijn bed, aan de andere kant van de wereld
Het begint ermee dat er te veel vertrouwen heerst in de veiligheid van e-mail. In 1995 publiceerde Sally Habridge, werkzaam bij computerbedrijf Intel, op de website van de Internet Engineering Taskforce een richtlijn voor bedrijven over hoe ze met e-mail moesten omgaan. Daar zaten, achteraf, schattige tips tussen als ‘Verwacht niet meteen een antwoord. Wellicht ligt de persoon die je mailt nog wel in zijn bed, aan de andere kant van de wereld.’ Maar ze had ook een dringende boodschap. ‘Als je geen encryptie gebruikt, ga er dan vanuit dat de e-mail onveilig is. Zet er niets in wat je ook niet op een ansichtkaart zou zetten.’
Onversleuteld versturen is illegaal
De overheid weet dit ook. Daarom stelde toenmalig minister van Volksgezondheid Ab Klink (CDA) in 2008 in samenwerking met het College Bescherming Persoonsgegevens (CBP) vast dat zorginstellingen voldoende maatregelen moeten treffen om hun informatie te beveiligen. Daarvoor is een norm opgesteld: NEN 7512. In het bijbehorende praktijkboek voor zorgverleners staat dat het verzenden van e-mail van patiëntinformatie tussen zorgverleners altijd met encryptie moet gebeuren, dus versleuteld. Ook moet die end-to-end zijn, dus helemaal versleuteld vanaf zender tot ontvanger.
Serge Metselaar werkt al 25 jaar in de gezondheidszorg, waarvan tien in de GGZ. Volgens haar hebben haar collega’s weinig kaas gegeten van versleuteling. ‘Als je de gegevens onversleuteld verstuurt, is dat officieel tegen de wet, maar het is wel begrijpelijk. Hulpverleners willen hun cliënten tegemoet komen en steeds meer cliënten willen mailen met hun hulpverlener.’
Er zijn geen landelijke afspraken voor GGZ-instellingen om zich aan de norm te houden
Metselaars verhaal wordt onderschreven door Winfried Tilanus, die ook ict’er is in de zorg. Hij waarschuwt zorginstellingen geregeld dat het onversleuteld versturen van medische gegevens illegaal is. Maar zijn waarschuwingen vinden weinig gehoor, ervaart hij.
Psycholoog Van Garderen gebruikt ZorgMail, een ict-platform waarmee zorgverleners versleuteld berichten en dossiers kunnen versturen. Als ict-bedrijf Enovation zegt dat bijna alle GGZ-instellingen zijn aangesloten, merkt Van Garderen dat haar collega’s binnen de geestelijke gezondheidszorg er nog nooit van gehoord hebben. Het nadeel van ZorgMail is dat een jaaraansluiting zeshonderd euro kost.
Welmoed van Rijs, woordvoerder van brancheorganisatie GGZ Nederland, laat weten dat informatiebeveiliging inderdaad weleens misgaat, maar dat zorgverleners doorgaans naar eer en geweten handelen. De woordvoerder is duidelijk: ‘Er zijn geen landelijke afspraken voor GGZ-instellingen om zich aan de norm te houden.’
Communiceer gewoon per post
Nu wordt de NEN-norm aangepast, maar in de beoogde nieuwe versie ontbreekt end-to-end encryptie. In plaats van naleving van de regels, worden ze juist versoepeld, zo blijkt uit de conceptversie. Claudia Zwaan, werkzaam bij NEN, de organisatie die de normen ontwikkelt, laat weten dat de commissie die de norm herziet nog open staat voor kritiek.
Het is wel wrang dat het nog steeds niet lukt om een veilig uitwisselingssysteem te maken. Sinds 2008 is er het Elektronisch Patiënten Dossier (EPD), waarmee medische informatie tussen zorgverleners uitgewisseld kan worden. Het EPD is echter twee jaar geleden afgeschoten door de Eerste Kamer, omdat het te onveilig was.
Zorgverzekeraars werken sindsdien, met goedkeuring van de minister van Volksgezondheid, aan een doorstart: het Landelijk Schakel Punt (LSP). Patiënten moeten expliciet toestemming geven voor opname in het LSP. Veel zorgverleners doen er niet aan mee, omdat ze het nog steeds niet veilig vinden.
Privacy en beveiligingsexpert Guido van ‘t Noordende van de Universiteit van Amsterdam is dan ook sceptisch over het LSP. Want ook dit systeem maakt geen gebruik van end-to-end-encryptie. Volgens hem is er wel een veilige manier om medische gegevens te versturen, de zogenoemde UZI-pas, een soort identiteitsbewijs voor de hulpverlener. De pas kan ook gebruikt worden voor end-to-end encryptie. Van ‘t Noordende: ‘De pas wordt alleen vergoed als de zorgverlener zich abonneert op het Landelijk Schakel Punt.’
Misschien dat de privacylekken bij de NZa en de Inspectie voor de Gezondheidszorg de beveiliging van medische gegevens uiteindelijk zullen stimuleren. Vraag tot die tijd uw zorgverlener uw dossier gewoon per ouderwetse post te versturen.