Managed hosting door True

Zorgaanbieders pakken onveilige e-mails aan

Dit artikel delen:
email

Zorgverleners en patiënten versturen via e-mail regelmatig patiëntinformatie zonder dat die gegevens goed beveiligd zijn. Dat moet anders, er moet een standaard komen voor de beveiliging van e-mailverkeer tussen zorgverleners en patiënten, zorgverleners onderling en patiënten en naasten (bijvoorbeeld mantelzorgers). Zorgverleners en het ministerie van VWS zijn daarom het project Veilig Mailen gestart.

Dat initiatief komt van Informatieberaad Zorg, een samenwerking tussen zorgkoepels en het het ministerie van Volksgezondheid Welzijn en Sport. Het doel is om veilig mailen in de zorg sneller te realiseren. 'Op dit moment worden patiëntgegevens nog niet veilig gemaild, terwijl de zorgsector hier wel behoefte aan heeft', stelt Mark de Lange, projectleider Veilige Mail.

'In sommige gevallen moeten zorgorganisaties via de mail patiëntgegevens uitwisselen. Bijvoorbeeld op het moment dat een specialist nog enige vragen heeft over de gezondheid van een verpleeghuisbewoner, die opgenomen is in het ziekenhuis. Ook komt het regelmatig voor dat een patiënt na een consult bij thuiskomst toch nog een paar vragen heeft voor de behandelaar. Veilige mail kan helpen bij deze vormen van communicatie', licht De lange toe.  

Hij vertelt dat samen met de normcommissie Nen een standaard wordt ontwikkeld. 10 oktober 2018 is de eerste bijeenkomst bij Nen. 'Daar moet uiteindelijk een standaard uitkomen voor het beveiligen van e-mails met medische gegevens tussen zorgverleners en patiënten, zorgverleners onderling en tussen patiënten en hun omgeving, bijvoorbeeld in het geval van mantelzorg.'

Fax en Hotmail

Het plan is om de norm begin 2019 vast te stellen, medio 2019 moet helder zijn in hoeverre bestaande oplossingen van ict-partijen daaraan voldoen en welke stappen leveranciers moeten zetten om te voldoen aan de norm. Daarbij is interoperabiliteit ook een belangrijk onderdeel zodat patiënten en zorgverleners de keuzevrijheid hebben om verschillende oplossingen te kiezen, legt De lange uit.

Halverwege 2019 moet er ook een implementatie-toolkit beschikbaar zijn voor zorgaanbieders en er moet een toetsingskader liggen voor de AP (Autoriteit Persoonsgegevens). Volgens De Lange vindt de AP de beveiliging van medische gegevens belangrijk, maar liggen er nu nog geen duidelijke documenten waarop zij partijen kunnen afrekenen.

'Er staan ook nog de nodige faxen in de zorg, het wordt tijd dat we daar ook wat aan gaan doen', schetst De Lange, hij vervolgt: 'Bovendien wordt gevoelige patiëntinformatie nu nog via onvoldoende beveiligde verbindingen, bijvoorbeeld Hotmail, verstuurd.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Lees verder


Reacties

Waarom moet daar iets voor ontwikkeld worden? Dat bestaat al lang.Je kunt een certificaat bij je email-programma laden, en als de andere partij dat ook doet, dan kun je onderling gecertificeerde en beveiligde (encryptie) mails uitwisselen, die alleen op de eindpunten leesbaar zijn.

Inderdaad, certificaten bestaan al lang, daarbovenop zou je nog een extra laag kunnen toepassen met bijvoorbeeld PGP sleutels. Ik gebruik het al jaren en dit werkt uitstekend. Maar blijkbaar wil men altijd maar weer het wiel uitvinden.

Transport kan al een tijd lang veilig worden gemaakt, ik hoop echter dat dit verder gaat en ook de maildata na aankomst in de mailbox (bijv. Outlook) zal beschermen (want daar zit het grootste risico op lekkage).

Daarom verstrek nooit een emailadres aan uw zorginstelling. Dan ontstaat ook niet het gevaar dat daar onzorgvuldig mee omgegaan wordt.

Om berichten en documenten veilig te versturen heeft de overheid een berichtenbox ontwikkeld. Naast de belastingdienst, gemeenten en waternetbedrijven, kunnen zorginstellingen hier ook op aansluiten. Eenduidige oplossing.

@Johan Duinkerken:
Ik kan mijn email programma zodanig instellen dat het alleen emails verstuurt als ik het certificaat van de ontvanger heb, zodat alle emails gecertificeerd en met encryptie verzonden worden. Je kunt die berichten dus niet lezen met een web mail pagina bij je provider.

@Peter G:
Mijn overheid.nl is omslachtig, en vaak ook halfbakken. Ik kreeg daar laatst een berichtje van het ABP, dat ik bij het ABP moest inloggen om een bericht te lezen. Alleen lukte dat niet omdat hun web server er uit lag. Handig..

@Dirk ... de vraag is denk ik niet zozeer wat er technisch kan, maar wat voor de gebruikers werkt. Een mailtje lezen en beantwoorden lukt de meeste mensen wel, maar als ze bijv. voor iedere zorgaanbieder een (voor een gebruiker) omslachtige procedure moeten volgen om certificaten te installeren zullen velen al snel afhaken.

Ik heb ondertussen web-based portals gezien waar zorgverleners, na toestemming van de patient, gegevens kunnen delen met elkaar en patient; werkt mijns inziens een stuk klantvriendelijker

@PA VA KE:
Er is een kleine misvatting. Je hoeft alleen voor je eigen email account een certificaat te installeren. Zodra je een email met een certificaat ontvangt van iemand anders, dan wordt dat certificaat automatisch opgeslagen. Daar hoef je niets voor te doen. Je moet overigens voor ieder email account dat je zo wilt gebruiken, een certificaat installeren. Heb je drie email accounts, dan moet je drie certificaten installeren.

Quote:
"Bovendien wordt gevoelige patiëntinformatie nu nog via onvoldoende beveiligde verbindingen, bijvoorbeeld Hotmail, verstuurd."

Hotmail is net zo veilig (of onveilig) als andere goede mailproviders. Het is alleen onveilig als men op de afdeling een gezamenlijk Hotmail account heeft, waar iedereen het wachtwoord van weet.

We hebben tegenwoordig DigiD met 2FA, wat is er mis mee om dat te gebruiken voor vertrouwelijke communicatie? Dan moet je inloggen op een site om je bericht te lezen, maar dan kun je ook meteen antwoorden in dezelfde veilige portal. Als ze de beveiliging ten minste op orde hebben!

Het gaat niet om de verbindingen. Ik heb op mijn ingaande en uitgaande mail verkeer natuurlijk TLS encryptie geactiveerd. Maar als ik op die manier een mail bericht verzend, dan komt het nog steeds als leesbare tekst op de mailserver van mijn provider terecht. Daarom kan ik ook met een web interface de berichten op die mail server lezen.

De methode die ik eerder aan gaf zorgt er voor dat het mail bericht pas leesbaar wordt bij het eindpunt, nooit eerder. Dus 100% beveiliging van eindpunt naar eindpunt. Standaard feature van ieder fatsoenlijk mail programma..

@Dirk
Het gaat dus wel over verbindingen, te weten de verbinding tussen zender en ontvanger. Als je mijn betoog helemaal hebt gelezen, dan kon je lezen dat het probleem niet bij Hotmail ligt, maar bij mail in het algemeen.

Met een goede site waar je met DigID kunt inloggen kun je ervoor zorgen dat de communicatie tussen zorginstelling en patiënt end-to-end versleuteld is, zonder dat de patiënt thuis eerst een ander mailprogramma en/of PGP moet installeren.

DigID hebben we al, en het wordt tijd dat zorginstellingen gaan beginnen met goed ontworpen sites (zorgverzekeraars zijn er al mee bezig), dus laten we de voor deze vertrouwelijke veilige communicatie benodigde inspanningen vooral centraal houden, en bij de patiënt vandaan houden.

@Frank Heikens
Ik zal uitleggen wat ik bedoel.

Als ik een gewoon mail bericht over een niet-beveiligde verbinding stuur, dan is het bericht gewoon te lezen als ik een sniffer in het netwerk hang.
Als ik TLS gebruik op die verbinding, dan is het bericht niet meer te lezen met een sniffer. Dat noem ik een beveiligde verbinding. Op de mailserver van mijn provider is het bericht echter normaal te lezen, want daar komt het weer als leesbare tekst te voorschijn.
Wordt dit bericht doorgestuurd naar de ontvanger, dan is het afhankelijk van de vraag of onderweg ook TLS gebruikt wordt op die verbindingen of het bericht met een sniffer gelezen kan worden. Op alle tussenliggende stations is het bericht gewoon leesbaar.
Als mijn mailprogramma het bericht versleutelt, dan kan het bericht onderweg nooit gelezen worden, niet met een sniffer, en niet op de tussenliggende stations. Pas bij het eindpunt wordt het bericht door het mailprogramma weer leesbaar gemaakt.

Je hoeft daarvoor geen ander mailprogramma te installeren, ieder fatsoenlijk mail programma kan dit doen. Bij mij kun je die faciliteiten vinden bij de account settings > security > digital signing. Kijk maar eens bij je eigen mail programma. PGP hoef je ook niet te installeren. Je moet één keer een certificaat aanvragen, dat is alles. Je krijgt dan een email bericht terug, en je kunt dan het certificaat met een muisklik installeren. Simpel, en geen gedoe met Digid.

Je kunt dit ook gebruiken voor je eigen mail correspondentie. De ander moet zijn mail ook zo hebben opgezet, en vanaf dat moment zijn alle mails die je onderling verstuurd versleuteld, ook bijv. commercieel gevoelige berichten.

Het probleem is in de zorg niet de communicatie met de patient/client, maar de onderlinge communicatie. Nu wordt alles onderling nog per fax gedaan (net als bij de rechtbanken) omdat men dat als "veilig" beschouwd.

Het is maar zeer de vraag hoe veilig dat is omdat het allemaal op papier wordt afgedrukt en verspreid. Men wil af van de fax als communicatiemiddel, maar ziet e-mail als onveilig. Ik denk dat die aanname grotendeels berust op onkunde omdat zoals uit de reacties hierboven blijkt dat er voldoende mogelijkheden zijn om dat veilig te doen.

Blijft het probleem dat veel communicatie (ook via e-mail) toch weer op papier terecht komt en gaat zwerven. Ik denk dat er eerst een mentaliteitsomslag plaats moet vinden in de zorg, waarbij men afscheid neemt van oude gebruiken en systemen en volledig overgaat op digitaal met goede authenticatie van de gebruiker.

Voor de communicatie met de patient is er al een EPD, maar dat is weer een andere discussie.

@Udo Tjalsma
Wat jij aanhaalt is ook een probleem, maar van een iets andere aard. Er zou een gestandaardiseerde manier van berichten uitwisseling moeten komen die medische gegevens van het ene ICT systeem in het andere kan laden.

Het probleem waar het hier om gaat omvat ook de patiënt, dus dat gaat niet primair om gestandaardiseerde bericht uitwisseling maar meer om beveiligde berichten uitwisseling.

@Dirk
Ik snap je heel goed!

Een certificaat installeren is net als PGP installeren: veel te veel gedoe voor een doorsnee digibeet. Plus jij moet het niet alleen doen, maar ook degene waarmee je mailt. Net als bij PGP. Dat gaat dus nooit van z'n leven werken.

DigID hebben we al. Gebruik dat gewoon.

@Frank Heikens
Sorry Frank, maar het installeren van een certificaat is doodsimpel, eenvoudiger dan het configureren van de mail servers.
Je vraagt op een website het certificaat aan, je krijgt vervolgens een email met daarin een "klik hierop om het certificaat te installeren", en dan moet je het nog activeren in je email account settings.
Als je de mail servers, poortnummers, en dat soort zaken kunt opzetten, dan kun je dit ook eenmalig doen.

@Dirk
Jij kan dat, ik kan dat, maar van de 17 miljoen Nederlanders kunnen 16,9 miljoen dit niet.
"Doodsimpel", "even certificaat aanvragen", "even installeren", "even activeren". Zo simpel is dat niet! Het begint al met de aanvraag...

En ik kan merken dat jij nog nooit mail hebt ingesteld op een moderne computer met een modern mailprogramma. Je mailadres en je wachtwoord, meer heb je niet nodig, servers en poortnummers worden allemaal door je computer uitgezocht! En bij echte digibeten is het vaak een (klein)kind die dit even doet op de nieuwe iPad van (o)ma. Ook al gaat dat (echt) heel simpel.

@Frank Heikens
Beste Frank,

Het aanvragen van een certificaat is niet moeilijker of anders dan het aanvragen van Digid. Sterker nog, het zou één handeling kunnen zijn, de overheid zou certificaten kunnen uitdelen (doen ze al voor zichzelf). Als moderne mail programma's (welke zijn dat?) alle server gegevens automatisch kunnen invullen, dan zouden ze dat ook met alle certificaat gerelateerde zaken automatisch moeten kunnen.doen.

Laten we niet vergeten dat Digid als mailbox een workaround is voor het feit dat mail verkeer niet veilig is/was. Als we het mail verkeer veilig kunnen maken, dan vervalt de noodzaak van Digid als mailbox. En tegelijkertijd krijg je een universele beveiliging die naar iedereen kan werken, waar dan ook ter wereld.

In de ICT is het een bekend verschijnsel dat workarounds uiteindelijk tot standaard verheven worden, omdat men niet de moeite neemt het onderliggende probleem op fundamentele wijze aan te pakken. In veel gevallen blijkt deze methode van werken later ook weer problemen op te leveren, die we dan eveneens met workarounds oplossen.

Wat me opvalt is dat er wel heel erg naar de oplossing "mail" gekeken wordt. Mij lijkt dat er ook nog wel andere manieren zijn om informatie te delen dan via mail, welke veel makkelijker en beter te beveiligen zijn.
(bijv de webportal die ik in een eerdere reactie reeds noemde)

Juist PaVaKe

E-Mail wordt al jaren misbruikt voor zaken waarvoor het nooit bedoeld was.
Archieven met vele gigabytes met PDF-Bestanden met gevoelige zaken zijn normaal.

Vanwege de "installed base" kun je dat nauwelijks vervangen, en eerlijk PGP is niet eenvoudig voor een "gebruiker".

Tel daarbij het gebrek aan standaards van mail-clients en we zijn aangekomen in 2018.
Overigens is Hotmail geen oplossing, privacy is met een groot vraagteken te beschouwen.

Kortom het blijft emmeren . . .

Laten we zeggen dat e-mail geëvolueerd is van wat regeltjes platte ASCII tekst naar wat we tegenwoordig zien. Ik vind dat prima, het voldoet daarmee aan een behoefte.

Ik heb geen PGP geïnstalleerd of geconfigureerd, en kan toch encrypted versturen. De functionaliteit behoort volledig ingebouwd te zijn in de e-mail client.

Het gebrek aan standaards, en het gebrek aan het naleven van goede standaards IS de standaard binnen de ICT. Jammer genoeg is ICT verworden tot een groot hobby en knutsel project, waar nauwelijks nog goede gedefinieerde standaards bestaan en nageleefd worden. En als ze er al zijn, dan gebruiken we ze bij voorkeur niet, want dat is zo lastig, en kost veel tijd en werk. Quick and dirty knutselen levert ook resultaat op (voor korte tijd dan).

@Dirk
zoiets als QDOS?

De ontwikkelaars daarvan hadden in ieder geval gevoel voor humor. Alleen al het feit dat er zoiets als 11.000 programmeertalen bestaan duidt er al op dat er iets grondig fout zit. Er zijn duizenden IP RFC's, maar slechts enkele tientallen zijn echte officiële internet standaards. Maar toch gebruiken we vele van die halfbakken gedefinieerde RFC's. Naarmate de ict belangrijker wordt, zou de kwaliteit en betrouwbaarheid hoger moeten worden, maar dat gebeurt niet. Het wordt een steeds groter rommeltje, en mijn ervaring met rommel is dat het steeds moeilijker wordt om er iets fatsoenlijks mee te doen. Goed ontwikkelde heldere standaards waar men zich aan houdt, en die verder ontwikkeld kunnen worden zijn veruit te prefereren boven al dat geknutsel met workarounds.

@Dirk
Jij zegt: "Goed ontwikkelde heldere standaards waar men zich aan houdt, en die verder ontwikkeld kunnen worden zijn veruit te prefereren boven al dat geknutsel met workarounds."

Daar ben ik het helemaal mee eens!

Wij hebben in Nederland DigID. Hiermee kun je je legitimeren op sites van rijk en gemeente, belastingdienst, zorgaanbieders en zorgverzekeraars. Net zoals iedereen een BSN heeft, heeft iedereen die iets met officiële instanties wil regelen ook een DigID nodig. Laten we dan ook de DigID gebruiken als we vertrouwelijke informatie willen communiceren. Behalve dat het veiliger is, is het ook veel makkelijker dan geknutsel met workarounds zoals het "gewoon" aanvragen en installeren van certificaten in mail, iets wat niet heel eenvoudig en "idiot proof" is.

Leuk bedacht, maar je zet de zaken nu helemaal op zijn kop -:)

Als een instelling mij een mail bericht wil sturen, dan moet ik dat direct kunnen openen en lezen. DigiD is een workaround die bedacht is omdat mail niet encrypted verstuurd kan worden. Gisteren kreeg ik een bericht dat er bij mijn overheid.nl een bericht voor mij staat. Dus dan moet ik die webpagina openen, mijn DigiD gegevens invoeren, met een beetje geluk nog een SMS bericht afwachten, dan kijken wie mij wat gestuurd heeft, en dan mogelijk nog de website van die instantie openen om daar te lezen wat men mij te vertellen heeft. Als dat geen workaround is, dan weet ik het niet meer.

Met het éénmalig installeren van een certificaat bij mijn mail programma kan ik met iedereen waar dan ook ter wereld encrypted mail berichten uitwisselen, vooropgesteld de tegenpartij heeft ook een certificaat geïnstalleerd.

Dit is een voorbeeld van een verdere ontwikkeling van de mail programmatuur, en een ook voorbeeld van een universele oplossing die door iedereen gebruikt kan worden om encrypted mail te versturen, zonder dat daar DigiD-achtige zaken voor opgetuigd hoeven te worden. Het enige dat moet gebeuren is dat alle mail clients opgezet worden om eenvoudig een certificaat te kunnen installeren, zonder dat ze extra addons en PGP moeten installeren.

@Dirk
Een mail sturen is niet het doel!

Het doel is om persoonlijke vertrouwelijke medische informatie te communiceren, waarbij de kans dat het door verkeerde personen gelezen kan worden wordt geminimaliseerd.

In het EPD is er al een koppeling met jouw DigID. Even opbellen om door te geven dat je een ander DigID hebt gaat niet. Iemand kan wel even naar het ziekenhuis bellen, zich voordoen als jou, en zeggen dat hij een ander mailadres heeft.

Vergeet mail voor dit soort zaken, dat is niet veilig genoeg, gebruik iets dat intrinsiek veilig is.

Mail is heel erg geschikt voor onbelangrijke zaken die door iedereen gelezen nogen worden. Zoals de aanbiedingen van de MediaMarkt of de Bijenkorf.

Ik begrijp wat je bedoeld Frank. Maar wat nu als de overheid zelf certificaten gaat uitdelen, die je met DigiD kunt aanvragen? Heus, met een beetje moeite is het goed mogelijk om een sluitend systeem te maken. Mail kan 100% veilig zijn tegenwoordig, als je daarvoor alles in zet wat er al voor ontwikkeld is. Er is qua beveiliging veel meer mogelijk dan dat we inzetten, en dat geldt niet alleen voor mail. Hoelang heeft het niet geduurd voordat we SSL/TSL voor mail servers gingen gebruiken? Waarom moest dat zo lang duren?

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2018-09-14T11:59:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.