Een e-mail is vergelijkbaar met een ansichtkaart. Iedereen die de kaart behandelt – en dat zijn heel wat partijen – kan de relatie zien tussen afzender en ontvanger. En dat is privé.
Veilige infrastructuur
De nieuwe norm van het NEN, de NTA 7516, die per 1 juli van kracht is, zet een stap in de richting van een veilige infrastructuur voor berichtenuitwisseling in de zorg. In deze versie gaat het nog alleen om e-mail, later komen daar text messages en app-verkeer bij. Omdat de NTA 7516 een aanvulling is op de verplichte NEN 7510, is ook de NTA 7516 verplicht.
De NTA 7516 benoemt drie typen spelers:
1. Provider ofwel communicatiedienstenaanbieder: het bedrijf dat de e-maildienst verzorgt;
2. Professional: de zorgverlener;
3. Persoon: degene met wie de professional communiceert, meestal de patiënt.
De rol van de provider
Een groot deel van de norm richt zich op de eerste groep: de providers. Zij moeten een flink aantal beveiligingsmaatregelen nemen en ervoor zorgen dat berichten op een veilige manier van de ene naar de andere provider worden doorgegeven.
De provider moet ervoor zorgen dat u als professional op een veilige manier met de e-mailfaciliteit kunt werken. Providers kunnen zich laten certificeren, zodat u zeker weet dat de provider de NTA 7516 goed geïmplementeerd heeft. Als professional hoort u vanaf 1 juli 2020 professionele communicatie alleen via een voor de NTA 7516 gecertificeerde provider te laten verlopen. Omdat de norm nieuw is, sluit dat, althans voorlopig, een heleboel algemene providers uit.
De rol als professional
Enkele punten uit de voorschriften van de NEN 7510 zijn aangescherpt:
Beschikbaarheid van de communicatiedienst: die moet eigenlijk altijd werken.
Integriteit: zekerheid over de herkomst en juistheid van het bericht en zekerheid dat de verzender inderdaad degene is die zich meldt;
Vertrouwelijkheid: het bericht moet versleuteld worden. Toegang is alleen mogelijk via een beveiligde verbinding en het bericht mag Europa niet verlaten.
Functionaliteit: beantwoorden, doorsturen en lezen moeten op een veilige manier mogelijk zijn.
Interoperabiliteit: berichten zijn onderdeel van het dossier en moeten daarin, op een gemakkelijke manier, opgenomen kunnen worden. Dit stelt ook eisen aan het dossiersysteem.
Met de keuze voor een gecertificeerde provider is het meeste geregeld. Integratie met het dossiersysteem was toch al aan de orde.
Indien u zeker weet dat uw collega uit een andere zorginstelling ook gekozen heeft voor een gecertificeerde provider, is er geen bezwaar om per e-mail gevoelige informatie te delen. Let daarbij wel op alle andere privacyregels, zoals toestemming. Vergewis u ervan tevoren van dat de collega dat op orde heeft. Want wat er met de informatie gebeurt, blijft uw verantwoordelijkheid!
Communicatie met de patiënt
Hoe communiceert u voortaan volgens de norm met de patiënt, de derde categorie (persoon)? Die zal immers geen gebruikmaken van een gecertificeerde provider.
In de nieuwe regeling is de zorgaanbieder verplicht te publiceren op welke manier een persoon op veilige elektronische wijze contact kan zoeken. Alleen een e-mailadres publiceren werkt niet, omdat de provider van de persoon waarschijnlijk niet zal voldoen aan de eisen. U kunt bijvoorbeeld wel een veilig webformulier maken of een veilige e-mailfaciliteit aanbieden. Op termijn is communicatie via een portal of een pgo (persoonlijke gezondheidsomgeving, bijvoorbeeld een beveiligde app) op een veilige manier te realiseren.
Halfslachtig verplicht
De NTA 7516 lost niet alle problemen rond veilig berichtenverkeer op, maar het is een grote stap in de goede richting. Zorginstellingen horen vanaf 1 juli alleen nog te kiezen voor e-mail via een gecertificeerde provider. Op het moment van schrijven zijn dat er drie. En daar zit het probleem: De overheid stelt de NTA 7516 halfslachtig verplicht, de grote providers bewegen niet en de zorgbestuurders kan het weinig schelen. Zorgverleners en -ict’ers, patiënten en cliënten, neem je verantwoordelijkheid en eis veilige e-mail.
Goede oproep Berend! Misschien goed om toe te voegen dat de AP iig aangeeft voldoen aan de NTA 7516 als toetsingskader te gebruiken in het geval van een datalek. Maar hopelijk kiest men voor veilige e-mail op vrijwillige basis en op basis van de intrinsieke motivatie om privacy van patienten/clienten en medewerkers te beschermen, maar ook om (eindelijk) de fax, brieven, koeriers en DVDs te verbannen en als onderdeel van digitale zorg (e-mailconsulten zijn gewoon declarabel!)!