Bravis Ziekenhuis mailt veilig met KPN Zorg Messenger

 

“Achter de meldplicht datalekken kun je je niet meer verbergen”

 

Zorgaanbieders dienen zich te houden aan de Wet Bescherming Persoonsgegevens. Sinds 2016 zijn de regels voor het melden van datalekken hieraan toegevoegd en zijn de boetes op overtredingen aanzienlijk hoger. Vanaf volgend jaar mei is de Algemene verordening gegevensbescherming (AVG) van kracht in de gehele Europese Unie. Veilig e-mailen levert een belangrijke bijdrage aan het waarborgen van privacy en houdt datalekken buiten de deur. Het Bravis Ziekenhuis is in april ‘live’ gegaan met KPN Zorg Messenger, een oplossing waarvoor de regio West-Brabant in nauwe samenwerking met REN heeft gekozen.

Ed Koevoets, Functionaris Gegevensbescherming, heeft bij Bravis Ziekenhuis (2.000 fte medewerkers) het gehele traject van marktverkenning, testen en implementeren begeleid. Hij is tevreden over de gekozen oplossing en de ervaringen ermee in de eerste weken. De uitgaande mail wordt via KPN Zorg Messenger afgehandeld. Medewerkers verzenden nu automatisch hun e-mails op een veilige manier en vrijwel alle ontvangers zien ze zonder enige moeite in hun mailbox verschijnen. Tegelijk met Bravis zijn ook het Amphia Ziekenhuis en de SHL Groep overgegaan op deze oplossing.

Risico’s niet goed in beeld

Koevoets: “De wet laat ons geen andere keus dan het nemen van technische en organisatorische maatregelen om persoonsgegevens te beschermen, niet alleen basisgegevens, maar vooral ook de bijzondere persoonsinformatie, zoals Burgerservicenummer en medische vermeldingen. De eisen zijn strenger, dus moet ook de beveiliging daarop aansluiten. Helaas zie je in de zorg dat veel medewerkers en instellingen zich er niet van bewust zijn dat zij onbeveiligd mailen.” Koevoets benadrukt dat deze instellingen hun risico’s niet goed in beeld hebben. E-mail kan immers op verschillende plaatsen in het traject worden onderschept. Daarbij kan de integriteit van de informatie worden aangepast of verwijderd. De ontvanger ziet dat niet, evenmin als de verzender.

Het reguliere beveiligingssysteem in een zorginstelling is daar volgens Koevoets niet volledig tegen opgewassen. “Veel mailservers zijn goed beveiligd, tot zo’n 95%. Dat gebeurt op basis van zogenaamde zelf-ondertekende certificaten, maar voor echt veilig mailen zijn die niet toereikend. Het mechanisme dat nu met KPN is afgesproken, biedt een hogere betrouwbaarheid.” In het Bravis Ziekenhuis blijft de primaire uitwisseling van zorginformatie, zoals verslaggevingen aan huisartsen, via het EPD lopen. Bij uitzondering mag mail worden gebruikt. Secretariaten en verpleegkundigen zullen dat kanaal vooral blijven gebruiken in hun contacten met patiënten.

Strikt beleid

Koevoets ziet als belangrijk voordeel van KPN Zorg Messenger dat medewerkers niet individueel iets behoeven in te richten op hun computer. Dat is al geregeld. Het is alleen een kwestie van verzenden.

Hij zegt dat er geen vervelende ervaringen waren in de periode voorafgaand aan Zorg Messenger. “Wel meldingen, maar die hebben niet geleid tot datalekken. Ons beleid was natuurlijk al strikt: stuur geen vertrouwelijke informatie via mail of een ander communicatiemiddel, laat staan WhatsApp. Ik zeg altijd: een gratis product kan nooit veilig zijn. Kies je een gratis communicatiemiddel, dan lever je veel van je privacy en veiligheid in. Organisaties die een overeenkomst aangaan met een softwareleverancier kunnen afspraken maken over hun aansprakelijkheid en beveiliging.”

Koevoets waardeert de ondersteuning van REN in het voortraject en ook nu in de fase waarin de software zich bij Bravis bewijst. “De lijnen met REN zijn altijd kort en ook over de administratieve ondersteuning zijn we heel tevreden. REN levert ook een Service Desk voor met name de ontvanger, als de mail niet goed aankomt. Daarmee worden wij ontzorgd. Dat geeft rust. Het is daardoor niet nodig dat wij bij iedere foutmelding zelf in actie moeten komen.”

De beveiliger persoonsgegevens van het Bravis Ziekenhuis kan zich enige twijfel bij andere zorgverleners, met name kleinere organisaties als praktijkhouders, wel voorstellen. “Maar ik denk dan: waar bestaat die twijfel uit? Is het bewustwording? Zijn er risico’s die worden verwacht? Het was voor ons heel duidelijk. We moeten voldoen aan veranderende wet- en regelgeving. Achter de meldplicht datalekken kun je je niet meer verbergen. Iedere miscommunicatie is een datalek dat je moet melden. De boetes zijn hoog. Je hebt wel wat uit te leggen als je in de fout gaat.”

Wel of geen Zorg Messenger

Veel huisartsen, fysiotherapeuten en apothekers, een nog grote groep in West-Brabant, staan voor de soms moeilijke beslissing om Zorg Messenger te implementeren. “Ik begrijp dat”, zegt Koevoets, “het zijn eenmansbedrijven of kleine praktijken die tegen het werk opkijken. ICT is voor hen geen kernactiviteit en ze vrezen de kosten. Maar die vallen juist mee. Grote zorgaanbieders betalen in verhouding meer dan kleinere. Technisch is het ook geen lang traject. Het is een kwestie van het anders routeren van de mail, naar KPN, en als het eenmaal loopt heb je er geen omkijken meer naar.”