AGV: duidelijkheid versus misverstanden

wo 18 april 2018
AGV: duidelijkheid versus misverstanden
Privacy

De Algemene Verordening Gegevensbescherming (AVG) is voor Nederland de uitwerking van de Europese verordening GDPR. Naarmate de datum dichterbij komt waarop de AVG onze huidige Wet bescherming persoonsgegevens (de Wbp) vervangt, verschijnen in (sociale) media steeds meer berichten over wat straks niet meer mag in de zorg. Berichten die regelmatig berusten op misverstanden en (on)nodige onrust veroorzaken bij bestuurders, professionals en zorgvragers. In dit artikel worden twee misverstanden aangepakt. Verder is er een AVG helpdesk voor de zorg in de maak die organisaties gaat helpen door de bomen het bos te zien.

Misverstand 1:

Een week of wat geleden gonsde het op sociale media dat je vanaf eind mei ‘niet meer mag mailen met de dokter’, ‘dat een arts niet meer mag mailen met zijn patiënten’ en ‘de fax naar de vuilstort’ moet. Allemaal de schuld van de AVG en paniek alom.

De eisen aan gegevensbescherming veranderen echter niet ingrijpend, want onder de Wbp (die al geldt sinds 2001) had je als verwerker van persoonsgegevens al allerlei verplichtingen. Denk aan het melden van alle verwerkingen van persoonsgegevens en van datalekken, het hebben van een privacyverklaring, het hebben van een rechtmatige basis voor je verwerking en het goed op papier hebben staan van afspraken met leveranciers die voor jou verwerkingen doen in de vorm van bewerkersovereenkomsten. Wat al onder de Wbp ter discussie stond, blijft dat ook onder de AVG. Iedere professional of organisatie die gegevens vastlegt en uitwisselt moet daarin, op basis van privacy by design, een eigen afweging maken.

Nieuwe en meer rechten

Wat wel verandert, zijn de rechten voor betrokkenen: mensen (dus ook patiënten, medewerkers en professionals) krijgen meer rechten. Zoals het recht op vergetelheid, de mogelijkheid om digitale data die over hen gaan op te halen en naar een ander te brengen (dataportabiliteit). De verantwoordelijke toezichthouder krijgt er ook meer ‘rechten bij’ voor handhaving en het opleggen van sancties: riskeerde een organisatie onder de Wbp nog een boete van € 4.500, onder de AVG heeft de Autoriteit Persoonsgegevens (AP) een fors uitgebreid boetepalet zonder dat ze vooraf hoeven te waarschuwen.

Kansen

Logisch is wel dat het boetebeleid voor veel organisaties een aanleiding is om overwegingen uit het verleden nog eens tegen het licht te houden. Dat biedt weer kansen om bijvoorbeeld de informatiehuishouding goed op te schonen (check gelijk de bewaar- en vernietigingstermijnen), en de technische en organisatorische maatregelen in lijn te brengen met de (onlangs geactualiseerde) norm voor informatiebeveiliging voor de zorg NEN7510.

Verzwaring van verplichtingen

De AVG geeft op een aantal punten ook extra werk. Denk aan het updaten van je bewerkersovereenkomsten naar een AVG-proof verwerkersovereenkomst, de inhoud van het verwerkingsregister, de privacyverklaring en het in veel gevallen moeten aanstellen van een Functionaris voor Gegevensbescherming. Over hoe dat nu precies zit met een FG publiceert de AP steeds meer informatie en handreikingen op haar website.

En mail dan?

Terug naar het gebruik van mail als uitwisselingsmechanisme voor medische persoonsgegevens. Dat is niet zo veilig, zo schreef Nictiz in een rapport uit 2015: ‘E-mail 

is uitgevonden in het prille begin van internet. Het ontwerp heeft in het geheel geen rekening gehouden met beveiliging. Een e-mail is te vergelijken met een ansichtkaart die iedereen die hem door de handen gaat kan lezen of zelfs veranderen. Iedereen die een ansicht verstuurt weet dat.’

Maar niet iedereen die een e-mail stuurt, weet dat die leesbaar is voor alle partijen in de bezorging. Mensen mogen er zelf voor kiezen, maar voor professionals is het verstandig om elke keer opnieuw te overwegen of het beroepsgeheim niet in gevaar komt als ze antwoorden met een digitale ansichtkaart.

Ook bij faxen worden fouten gemaakt (de verhalen van faxen die op foute bureaus belandden haalden in het verleden regelmatig de pers), maar tussen zender en ontvanger is afluisteren een stuk moeilijker. Dat je als arts of zorgprofessional niet mag mailen met je patiënten is dus niet waar, maar maak wel elke keer de bewuste afweging. En zorg ervoor dat - voor het geval het toch een keer misgaat - je precies weet wat je moet doen (procedure datalekken).

Veilig mailen kan!

Veel zorgorganisaties kiezen al bewust voor veiligere mail. Zo kreeg ik als vader recent een mail over één van mijn dochters die via een beveiligde omgeving tot mij kwam. Minder makkelijk, maar ik begreep - zeker gezien de inhoud - dat de organisatie daarvoor gekozen had. Ik hoop wel dat er ook standaarden komen waardoor al die verschillende oplossingen met elkaar kunnen praten en er een landelijk dekkende oplossing voor veilige mail komt. Voor alle professionals, voor alle mensen.

Adviezen en tips voor zorgverleners en patiënten

In de dagelijkse praktijk van zorgverleners loopt e-mail vaak over onbeveiligde verbindingen. Dat maakt e-mail per definitie geen goed medium voor uitwisseling van gevoelige (persoons)gegevens. Bovendien is e-mail een bron van bedreigingen, zoals malware en phishing. Tegelijkertijd is alles via de post ook niet meer van deze tijd en is een e-mail stukken sneller. Snelheid die soms noodzakelijk is. Een paar tips.

1. Verbeter de awareness van medewerkers over de regels hoe e-mail wel en niet kan worden gebruikt, bijvoorbeeld:

Beperk zoveel als mogelijk de gevoelige persoonsgegevens in de tekst van de mail zelf.

Stuur geen bijlagen mee waar gevoelige persoonsgegevens staan.

Dubbelcheck altijd de geadresseerde voor je op ‘send’ drukt.

Vraag de ontvanger om een bevestiging van ontvangst (dan ontdek je het sneller als het onverhoopt toch mis is gegaan).

Maak duidelijke afspraken over wat te doen bij malware of phishing.

Als er een collega weggaat of juist tijdelijk komt versterken: regel goed in wie waarbij mag (autorisaties) en hef een mailadres op als de collega niet meer in dienst / werkzaam is.

2. Gebruik alleen gewone mail als er geen vertrouwelijke (bijzondere) persoonsgegevens worden verwerkt.

3. Kijk naar alternatieven voor het uitwisselen van informatie, zoals:

Uitwisseling tussen medewerkers van dezelfde instelling onderling:

• Neem in je mail een link naar het bestand op in plaats van het bestand zelf mee te sturen.

Uitwisseling tussen zorgverleners en zorginstellingen (en ook met leveranciers, gemeenten):

Gebruik een veiligere manier dan het meesturen van een onbeveiligde bijlage in een mail, zoals:

  • Versleutel het worddocument (eenvoudig via 7-Zip) en verstuur het wachtwoord van het bestand via een ander medium, zoals sms of WhatsApp.
  • Informeer bij collega’s of zij al gebruik maken van beveiligde mailverbindingen en sluit waar mogelijk aan. Zo gebruiken veel fysiotherapeuten al ‘Zorgmail’.
  • Gebruik een online portaal dat met multifactor authenticatie is ingericht: naam en wachtwoord + een derde kenmerk (net als bij online bankieren met een token, sms-code, etc.).
  • En weet dat er hard wordt gewerkt door MedMij om te komen tot een set van afspraken om op een veilige manier de patiënt te laten beschikken over zijn persoonlijke gezondheidsomgeving (PGO) en de communicatie tussen patiënt en zorgverlening veilig te laten verlopen.
  • Uitwisseling tussen zorgverleners en cliënten / patiënten
  • En als de patiënt toch echt graag zijn informatie via de mail wil of zelf wil mailen met gevoelige gegevens in een bijlage?
  • Wijs de patiënt op de risico’s en stuur gevoelige persoonsgegevens liever per briefpost. En als de patiënt de afzender is: de fysieke brievenbus blijft nog even het veiliger alternatief van de e-mail.
  • Attendeer de patiënt op het kunnen versleutelen van een document met gevoelige gegevens (via 7-Zip) en vraag hem het wachtwoord op het bestand via een ander medium, zoals sms of WhatsApp te versturen.

En WhatsApp dan?

Hoe gek het ook klinkt: een bericht versturen via WhatsApp is per saldo veiliger dan per e-mail. Dat komt omdat de inhoud van de berichten is versleuteld (end-to-end-encryptie). Zorg er bij gebruik van WhatsApp wel voor dat je geen (automatische) backup van je berichten in je Google Drive of iCloud opslaat (vinkje uitzetten!), want die opslag is onversleuteld - en daarmee weer onveilig.

Misverstand 2:

politie kan straks

bij mijn EPD

In de Volkskrant kondigde VWS-minister voor Medische Zorg Bruno Bruins aan dat het vanaf volgend jaar mogelijk wordt zelf de controle houden over mijn medische gegevens. Via een nieuw te ontwikkelen systeem is het dan met één druk op de knop mogelijk om het hele medische dossier op je smartphone, tablet of pc te zetten. Direct volgde op sociale media de waarschuwing van critici dat bij een aanhouding de politie dan ook ‘zo in je EPD kan kijken’. Als voormalig implementatiemanager AVG bij het ministerie van Justitie en Veiligheid kon ik deze niet laten gaan.

Het nieuwe systeem is een coproductie van patiëntenorganisaties, verzekeraars en zorgaanbieders. Een ontwikkeling die naadloos past bij outcomedoel nummer twee van het Informatie Beraad Zorg [zie kader]: de patiënt centraal. Door de inzet van nieuwe technologie heb ik volgend jaar als ‘burger en patiënt met haar leven op de smartphone in mijn handtas’ mijn medisch dossier altijd bij me en bepaal ik zelf met welke medisch specialist ik welke informatie deel. Centraler dan dit kan ik mij als patiënt niet voelen.

Wat een agent wel en niet mag

Helaas werd mijn enthousiasme de kop in gedrukt op sociale media met de waarschuwing dat ‘als ik zou worden aangehouden, de politie ook deze gegevens kan inzien’. Nu overkomt het mij niet dagelijks dat ik aan de kant van de weg wordt gezet door mijn voormalige collega’s, maar stel dat het volgend jaar onverhoopt gebeurt en ik mijn EPD net die week heb geupload op mijn smartphone. Hoe zit dat dan? Als een ongeluk vermoedelijk is veroorzaakt door het gebruik van een smartphone tijdens het ongeluk (i.c. niet handsfree appen, bellen, etc.), dan mag een agent kijken of je de smartphone hebt gebruikt. Dat wil zeggen, hij mag kijken of je hebt gebeld of gewhatsappt. Dat betekent niet dat hij zomaar in het apparaat mag gaan grasduinen of kennis mag nemen van de inhoud van de al dan niet openstaande apps. Het ter plekke bekijken van jouw medische dossier omdat dit toevallig open stond tijdens het ongeval is dus uit den boze. 

Smartphone-arrest

Het in de telefoon mogen kijken door een agent is momenteel niet expliciet geregeld in het Wetboek van Strafvordering (WvSv), dat in herziening. is In de nieuwe versie worden explicietere regels opgenomen over het hoe en wat bij het mogen kijken in een smartphone. Voor de overbruggingsperiode onderscheidt de Hoge Raad in haar zogenaamde ‘Smartphone-arrest’ drie situaties:

Er wordt een niet meer dan beperkte inbreuk gemaakt op de persoonlijke levenssfeer. Dit mag de opsporingsambtenaar zelfstandig doen. Dit is bijvoorbeeld de hierboven beschreven situatie waarbij de agent bevoegd is om de smartphone te checken op recent bellen, appen, etc.

Er wordt een meer dan beperkte inbreuk gemaakt op de persoonlijke levenssfeer / er wordt een min of meer compleet beeld verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager. In dit geval moet de agent toestemming krijgen van de Officier van Justitie.

Er is op voorhand te voorzien dat de inbreuk op de persoonlijke levenssfeer zeer ingrijpend zal zijn. Met name in dit geval

moet worden gedacht aan onderzoek door de rechter-commissaris. De essentie van dit derde uitgangspunt zit in ‘op voorhand te voorzien’. Daarbij kun je denken aan een inval in een woning op basis van verdenking van strafbare feiten. Betrokkenheid bij een verkeersongeval valt hier duidelijk niet onder, hierbij gaat het om onderzoek door een rechter-commissaris.

Eigen verantwoordelijkheid

Elke eigenaar van een smartphone is zelf verantwoordelijk voor de appjes die hij of zij erop zet en op welke momenten en onder welke omstandigheden je het apparaat gebruikt. Daarbij is en blijft het onverantwoord (en strafbaar) om achter het stuur niet-handsfree te bellen, appen en mailen - laat staan door je medisch dossier te scrollen op het knooppunt Prins Clausplein.

Vertrouwen

Aan de nieuwe technologie zitten ongetwijfeld nog haken en ogen als het gaat om het toegankelijk maken, bewaren en delen van mijn medische gegevens. Maar ik heb er vertrouwen in dat agenten niet zomaar mijn medische gegevens gaan inzien. Net als in de nieuwe paragraaf over ‘informatie op smartphones’ bij de herziening van het Wetboek van Strafvordering. 

Informatieberaad Zorg

Om zorggegevens veilig en betrouwbaar te kunnen delen is een duurzaam informatiestelsel voor de zorg nodig. Het Informatieberaad Zorg is opgericht om afspraken, standaarden en voorzieningen te maken voor dit informatiestelsel. Dit doet het Informatieberaad aan de hand van vier richtlijnen/outcome-doelen die om en nabij 2020 moeten zijn gerealiseerd:

Medicatieoverdracht: elke keer als een professional nieuwe medicijnen verstrekt doet hij dat op basis van een volledig en betrouwbaar overzicht.

Patiënt centraal: de patiënt beschikt altijd over zijn eigen gegevens uit alle verschillende systemen en kan zelf bepalen met wie hij die deelt.

Overdracht: als een patiënt van de ene zorgverlener naar de andere gaat, zorgen zorgverleners voor een veilige en betrouwbare overdracht van de patiëntgegevens.

Gegevens eenmalig vastleggen en hergebruiken om zo de administratieve lasten voor de professional te verminderen.

Meer informatie: www.informatieberaadzorg.nl