WhatsApp mocht je nooit gebruiken want het was niet veilig maar nu het berichtenverkeer volledig versleuteld is, waarom dan niet? Ik heb het uitgezocht.
Op zijn site claimt WhatsApp volledige end-to-end encryptie toe te passen. Alleen de zender en de ontvanger hebben de sleutels en niemand anders kan de berichten lezen. WhatsApp gebruikt hiervoor de encryptie van de open source applicatie Signal, met het double-ratchet protocol (AXOLOTL), dat in WhatsApp is ingebouwd door Open Whisper Systems’ Moxie Marlinspike. In beveiligingskringen wordt dit gezien als ijzersterk.
Daarmee zou WhatsApp een prima berichten-app zijn om te gebruiken in de zorg waarin alle informatie privacygevoelig is. Maar er zijn wat argumenten om het toch sterk af te raden.
Tegenargumenten
In de eerste plaats is WhatsApp een Amerikaans bedrijf. Wat een bedrijf op zijn website zegt over de beveiliging kan marketing zijn en hoeft niet helemaal te kloppen. En de Amerikaanse overheid heeft een ander idee over privacy dan wij Europeanen.
In de tweede plaats is wel een open-sourceprotocol toegepast, maar omdat WhatsApp zelf geen open source is, is op geen enkele manier te controleren of WhatsApp niet stiekem een achterdeurtje heeft ingebouwd. Dat betekent dat zorgverleners niet kunnen aantonen, praktisch noch juridisch, dat ze er alles aan hebben gedaan om de privéberichten van zijn of haar patiënten te beschermen. En dan sta je juridisch zwak als er toch gedoe van komt. Met dit argument raadt ook de KNMG aan de beveiliging niet te vertrouwen.
In de derde plaats deelt WhatsApp gegevens met zijn moedermaatschappij FaceBook. FaceBook kan de gegevens – big data– analyseren en gebruiken voor marketingdoeleinden, zoals gerichte advertenties. Je kunt dit in de app uitzetten, maar er wordt alom aan getwijfeld of uitzetten wel echt werkt. Nu is het door de encryptie niet waarschijnlijk dat de inhoud van de berichten gedeeld wordt. Wel is duidelijk dat de meta data doorgegeven worden: telefoonnummers, wie met wie appt, hoe vaak dat gebeurt, locatiegegevens et cetera. En zeker in de geestelijke gezondheidszorg is het simpele feit dat een bedrijf weet dat iemand regelmatig met een zorgverlener appt al een schending van de privacy.
Overigens heeft WhatsApp aangekondigd het delen van gegevens met FaceBook in Europa voorlopig uit te zetten, waarmee het bedrijf aantoont dat het weet waar je woont.
Afspraken maken
Kortom zorgverleners, WhatsApp gebruiken voor het werk is nog steeds geen goed idee. Ik raad alle zorgverleners en hun patiënten aan om eens met elkaar af te spreken welk berichtenprogramma, dat controleerbaar (open source) en veilig is, voortaan te gaan gebruiken. Ik wil best helpen dat te organiseren, maar dan ook allemaal braaf meedoen!
Berend de Vries
In NEN7510 wordt in een voetnootje [23] verwezen naar GAMP5 als methode om informatiesystemen te valideren. Pas wanneer dat serieus wordt genomen (=afgedwongen), ook door leveranciers van XIS-en, kunnen we verder praten op het detailnivo dat Berend aanhaalt. Daarvoor blijft het een cultuurdingetje: frappez toujours.
Zinnig artikel; met de voortschrijdende IT hebben we volop met deze afwegingen te maken. De digitale dossiers bijvoorbeeld zijn methodisch en kwalitatief niet volledig en/of voorzien niet geheel in veilige communicatie, hoewel hier wel hard aan wordt gewerkt. Omdat de dossiers niet volledig het methodisch proces beslaan, ontstaat er een gat met fysieke dossiers (die er vaak toch nog zijn in de ambulante zorg) of (excel) rapportages, hetgeen uiteindelijk meer/weer risico oplevert voor privacy en hiaten in het klantproces. Dat zijn ontwikkelingen waar we in de welzijns- en gezondheidszorg nog heel wat uitdagingen hebben liggen…