Ik vind dat de investeringen voor veilig mailen die zorgorganisaties doen, in kosten en tijd niet in verhouding staan tot het risico wat ermee behandeld wordt – zeker in relatie tot de beperkte behandeling van andere (grotere) risico’s.

De leveranciers van veilig-mailen-oplossingen (die een flinke vinger in de pap hadden bij het opstellen van NTA 7516 – Eisen voor veilige e-mail) zijn spekkoper, betaald uit de krappe budgetten van zorgorganisaties.

Ik denk dat er technische oplossingen zouden moeten zijn die niks extra kosten bovenop je standaard mailserver, en waarmee zorgprofessionals zich niet druk hoeven maken over het al of niet veilig zijn van de verzending van de mail.

1 De risicoafweging

Er gaat veel mis ten aanzien van informatiebeveiliging bij het gebruik van mail in de zorg. Eén van de risico’s is inderdaad dat de inhoud van de mail onderweg in te zien is, dankzij het aloude ontwerp van internet. Er zit geen “envelop” omheen. Dat is niet zoals je het wilt. In de risicoanalyse kun je de kans op “hoog” zetten dat dat gebeurt.

Maar heeft iemand voor mij een voorbeeld waar daadwerkelijk op deze manier gegevens zijn uitgelekt? Ik bedoel hier: door “afluisteren” tijdens het transport. Ik ken ze niet.

Bekende datalekken via mail komen vooral door verkeerde geadresseerde (bijvoorbeeld door typefouten of gebruik van gesuggereerde ontvangers), te veel informatie opnemen, verkeerde of te veel bijlagen, mailadressen van andere geadresseerden zichtbaar, te veel geadresseerden, gebruik van algemene e-mailadressen, gehackte mailboxen, enzovoort. Daarnaast zijn er nog zo veel andere risico’s op het gebied van informatiebeveiliging, van handmatig overtypen van informatie (risico voor juistheid van gegevens) tot onbereikbare informatie door gehackte systemen (risico voor beschikbaarheid van gegevens).

Onveiligheid tijdens het transport van e-mail is zeker een risico dat behandeling behoeft, maar wel in verhouding tot andere risico’s en met de juiste prioriteit. Grootste risico’s eerst, toch?

2 De gekozen oplossing

De meeste oplossingen voor veilig mailen, die ik nu in gebruik zie bij zorgorganisaties, dragen bij aan het slechte imago van informatiebeveiliging. Onhandig, voor zowel de zender als de ontvanger. Dat de gebruiksvriendelijkheid beter kan geldt overigens voor meer informatiesystemen in de zorg, maar dat terzijde. Ook de financiële kosten zijn hoog.

3 De alternatieven

In de ideale wereld vindt gegevensuitwisseling in de zorg plaats zonder gebruik van e-mail: efficiënt, minder fouten, vertrouwelijkheid gewaarborgd.

Onlangs is in samenwerking met zes zorgorganisaties onderzocht of Gmail een veilig alternatief is voor de dure en onhandige veilig-mailen-applicaties. Dit was geen onafhankelijk onderzoek. Uit andere onderzoeken is gebleken dat er nog steeds serieuze privacyproblemen zijn bij het gebruik van Google-producten.

Wie pakt de handschoen op en doet onafhankelijk onderzoek naar werkwijzen voor e-mail, die gebruiksvriendelijk, efficiënt, veilig en betaalbaar zijn? Iets voor de brancheorganisaties of het ministerie van VWS misschien?

En informatiemanagers en projectleiders in de zorg: kunnen we dat hele e-mail-fenomeen overbodig maken? (Ook bezig met gegevensuitwisseling in de langdurige zorg? Kijk op Samen werken aan eOverdracht.)

Andere mening? Laat je horen!

Neem contact op of plaats een reactie bij deze pagina.