There is no such thing as a free lunch….

 

Gmail en de zorg. Een no go.

E-mail is ook in de zorg vandaag de dag niet meer weg te denken. Veel zorgverleners maken hier – vrijwillig of door hun zorgvrager gedwongen – gebruik van. Daarbij hebben ‘gratis’ diensten als Gmail van Google en Hotmail van Microsoft een verrassend groot marktaandeel.
Logisch, want het is een eenvoudige en gratis tool om mail mee te versturen en te ontvangen, super makkelijk in gebruik. Op het eerste gezicht niks mis mee zou je denken. Toch zijn er serieuze issues die stof tot nadenken geven op gebied van veiligheid en privacy.

Gratis bestaat niet.

Het lijkt bij het woord gratis te mooi om waar te zijn. Hoewel we vaak een addertje onder het gras kunnen vermoeden, want linksom of rechtsom moet je uiteindelijk ergens voor betalen. Google – of Gmail – heeft dat slim gedaan. Google heeft als één van haar businessmodellen advertenties verkopen. Maar om te weten voor wie die advertenties relevant zijn, heeft Google een grote hoeveelheid data nodig. We ruilen dus ‘onze’ data in voor het gratis gebruiken van Google- diensten als hun zoekmachine of hun e-mail. In ruil voor deze gratis diensten weet Google dus veel van ons en gebruikt deze gegevens om haar advertenties als maatwerk aan te bieden (immers relevantere advertenties leveren meer geld op). Simplistisch gezegd, als je via Gmail over een bepaald type schoen mailt naar een vriendin is de kans groot dat je niet veel later een banner aan de zijkant met precies dezelfde schoenen ziet staan.
Zo kort door de bocht zal het verzamelen van data door Google niet altijd gaan. Maar het verzamelen van meta-data en big data analyses uitvoeren op haar gebruikers is een feit. Probleem is dat wij nooit weten wat Google precies van ons weet en wat er met deze gegevens gebeurt. Voor een zorgverlener riskant: stel je voor dat je over een bepaalde patiënt die maar niet zwanger kan worden driftig met je collega’s mailt en deze patiënt plots aanbiedingen ontvangt van zwangerschapstests of reclame krijgt van specifieke behandelcentra.

Als zorgverlener is het je plicht op zorgvuldige wijze om te gaan met gevoelige data – zoals die van je patiënten. Naast dat derde partijen analyse op deze data kunnen uitvoeren is het een cruciale vraag waar de data precies staan.

Mail in de Cloud – waar staat mijn data eigenlijk?

Zorgverleners staan niet te springen om in de Cloud te gaan werken. Vaak voldoet de huidige werkwijze nog wel en wordt de stap naar de Cloud meer gezien als mogelijkheid voor innovatieve vernieuwingen. De ironie wil dat er privé al veel met Cloud gewerkt wordt (denk aan alles wat je in Facebook doet, iCloud, Dropbox, webmail, etc etc). Vaak wordt al op veel fronten in de Cloud gewerkt zonder dat dit label eraan hangt, laat staan dat we ons bewust zijn van de risico’s hiervan.
In Nederland gelden echter strenge eisen voor de fysieke locatie van data die in de Cloud staan. Met een gratis e-maildienst kun je al niet aan die vereiste voldoen. Dus als er ook maar ergens in de mail een naam van een patiënt (of BSN nummer) – of andere gevoelige informatie – staat, voldoe je niet aan de richtlijnen van de wet. Laat staan dat bij een foutje data makkelijk hersteld kunnen worden. Daarbij zijn gratis e-mail accounts een stuk gevoeliger voor hackers.

 

Richtlijnen vanuit adviesorganen voor veilige mail in de zorg

Voor het omgaan met patiëntgegevens gelden diverse strenge richtlijnen. Een arts heeft immers een beroepsgeheim en mag gegevens van een patiënt niet zomaar met derden delen. Om dus aan de eisen en richtlijnen te voldoen, dient de zorgverlener de nodige maatregelen te nemen om te voorkomen dat data in verkeerde handen valt of data onbedoeld verloren raakt.

  • Maatregelen die een zorgverlener daarbij kan nemen zijn bijvoorbeeld:
    • Het gebruik maken van encryptie van e-mails en bestanden
    • Het niet opslaan van patiëntgegevens in e-mails, maar in patiëntdossiers
    • Beveiliging, waarbij een wachtwoord en een screensaver die een pc na een paar minuten niet gebruikt te zijn afsluit, het minimum is
    • En uiteraard een actuele virusscanner, firewall en meest recente security updates

 

Het beleid van een zorgorganisatie rondom e-mail.

Hoe mooi de techniek ook is: alles valt of staat met adoptie van gebruikers en met het beleid dat er gevoerd wordt. Of misschien wel afwezig is, want soms schieten randzaken er door de hoge werkdruk gewoon bij in. De prioriteit van een zorgverlener zal immers altijd liggen bij het verlenen van de beste zorg voor zijn of haar patiënt. Juist daarom is het wenselijk een ICT-beleid op te stellen, waarbinnen e-mailgebruik een belangrijk aspect is. In een dergelijk beleid leg je vast hoe je met bovengenoemde punten om wilt gaan en welk gedrag je van je collega’s en medewerkers verwacht (een whitepaper over veilig mailen wat hierbij helpt). En daarbij helpt het uiteraard om je e-mailomgeving en alles wat daarmee samenhangt professioneel te laten beheren.

 

Dus Gmail in de prullenbak?

Als je als zorgorganisatie geen aanbod hebt van zakelijke (veilige) mailaccounts dan is er vaak automatisch gekozen voor een gratis variant. Huisarts@gmail.com zie je nog vaak voorbij komen. Eigenlijk gelden voor dit soort semizakelijke adressen dezelfde problemen als bij gebruik van persoonlijke mailaccounts. Hoe kun je immers controleren wie er toegang heeft tot de mail en waar de data staan. Juist in tijden waarin technologische ontwikkelingen je om de oren vliegen, zien sommige mensen door de bomen het spreekwoordelijke bos niet meer. Soms was stap 1 gewoon het hebben van een professioneel mailadres. Maar zoals hierboven geschetst word, is het gezien de potentiële (veiligheids)nadelen eigenlijk nodig om stap 2 te gaan maken. Stuur me een berichtje als je meer wilt weten over de opties van veilige mail in de zorg. Een kennismakingsgesprek is altijd vrijblijvend en “gratis”.