Stop niet zomaar met veilige e-mail-oplossingen


“Maatwerkoplossingen om veilig te mailen in de zorg zijn duur, gebruiksonvriendelijk en onnodig”, verhaalden zes zorgorganisaties en Adapta afgelopen maand op Zorgvisie. Hoewel hun zorg begrijpelijk is en hun argumentatie niet ongegrond, vinden wij de conclusie dat “Google’s Gmail-platform een prima alternatief is” zeer gewaagd. De oproep die een van de zorgbestuurders doet om alle zorgorganisaties te laten stoppen met maatwerkoplossingen, is zorgwekkend.

Het draait allemaal om een whitepaper dat Adapta afgelopen december publiceerde, op basis van onderzoek dat is uitgevoerd door KPMG. Hierin worden alternatieven voor veilig mailen onderzocht. Op zichzelf een begrijpelijk idee, want het klopt dat maatwerkoplossingen zoals Zivver, Secumailer en ZorgMail worden gezien als duur en ingewikkeld in gebruik.

En wie de persberichten leest die aan de hand van het onderzoek en de whitepaper gepubliceerd zijn, twijfelt niet langer: als Gmail net zo veilig is als maatwerkoplossingen, waarom zou je die extra diensten dan nog afnemen? Helaas heeft het whitepaper een aantal gebreken die van belang zijn om de stelling in de voorgaande zin te nuanceren. Wij lichten ze hieronder kort toe.

Aantal gebreken

  • Voor het onderzoek heeft KPMG een eigen Objective Control Framework (OCF) ontwikkeld, gebaseerd op onder andere de NEN 7510, NTA 7516 en de AVG. Het OCF is niet opgenomen in het whitepaper en verder online ook niet te vinden, waardoor we niet inhoudelijk kunnen reageren op de opzet van het kader.

  • De kern van het onderzoek bestaat uit het toetsten van Gmail aan het OCF. Om een volledig beeld te krijgen en tot een waardevolle vergelijking te komen, zou het mooi zijn als KPMG ook maatwerkoplossingen zoals ZorgMail tegen dit kader had getoetst. Nu kan er geen goede vergelijking worden gemaakt.

  • In het whitepaper scoort Gmail goed op interoperabiliteit, maar hoe dit precies is gemeten, is ons niet duidelijk. In de NTA 7516 wordt met interoperabiliteit bedoeld dat e-mails altijd veilig verzonden moeten kunnen worden, ongeacht de gekozen provider. In 2022 stelde Google in een eigen whitepaper over de NTA 7516 dat interoperabiliteit enkel kon worden bereikt met gebruik van een plug-in zoals Zivver. Op dat moment gaf Google dus zelf aan dat ultieme interoperabiliteit nog niet bereikt was. Wat er in de tussentijd verbeterd is, is niet bekend. Uit het onderzoek van KPMG blijkt dat aan zes controls gedeeltelijk wordt voldaan. In de whitepaper wordt niet gedeeld wat deze zes controls inhouden. Wellicht is het mogelijk om heel veilig e-mails te versturen met Gmail, maar als je technisch niet kunt bepalen wie je ontvanger is, is het onmogelijk te voldoen aan interoperabiliteit zoals dat wordt gedefinieerd in de NTA 7516. Men kan zich er in dat geval niet van verzekeren dat berichten zonder enige beperking kunnen worden verzonden, ontvangen of gelezen.

  • In de projectgroep zijn geen CISO’s van de zorgorganisaties betrokken. Er is één information security officer betrokken; verder bestaat het team voornamelijk uit ict’ers en juristen van KPMG. En dat terwijl CISO’s essentieel zijn bij dit soort onderzoeken – zij kunnen namelijk inzichtelijk maken welke risico’s een organisatie neemt op het moment dat zij maatwerkoplossingen de deur uit doet en Gmail als alternatief gaat gebruiken.

  • In de whitepaper worden “hartenkreten” van zorgprofessionals beschreven, die dienen om te laten zien dat maatwerkoplossingen voor veilig mailen onvoldoende functioneren. De hartenkreten die hier worden genoemd, lijken echter meer te maken te hebben met de functionele en organisatorische inrichting van veilig mail-oplossingen dan met de techniek. Overstappen naar Gmail staat niet gelijk aan voldoen aan deze hartenkreten.

Moeten we wel willen mailen?

“Veilige overdracht van persoonsgegevens is essentieel in de zorg en is dan ook aan strenge regelgeving gebonden.” Zo luidt de eerste zin uit een publicatie op de website van BrabantZorg, een van de deelnemende zorgorganisaties. Deze publicatie en de whitepaper van Adapta gaan echter niet in op de functie van het medium e-mail in het uitwisselen van persoonsgegevens. E-mail gebruik je namelijk enkel als het echt niet anders kan. Het gebruik van e-mail voor de uitwisseling van persoonsgegevens heeft namelijk een aantal belangrijke nadelen. Denk hierbij aan gebrek aan controle op waar de persoonsgegevens zich bevinden, het gebrek aan standaardisatie, en de beperkingen die betrokkenen hebben om hun rechten uit te oefenen. Door deze nadelen te negeren, wordt de implicatie gewekt dat Gmail een gebruiksvriendelijke en veilige manier is om voortaan persoonsgegevens uit te wisselen met derden. Gebruik in plaats van beveiligde mail – als dat mogelijk is – bijvoorbeeld een beveiligd portaal of bestaande zorgnetwerken.

Maatwerkoplossing: wel passend

Kortom, het is te hopen dat zorgbestuurders na het lezen van het artikel op Zorgvisie niet direct hun maatwerkoplossing de deur uit hebben gedaan. Het kan namelijk heel goed zijn dat deze maatwerkoplossing wel een passende oplossing is voor de zorgorganisatie. Het is in ieder geval terecht dat Adapta in haar whitepaper aangeeft dat elke zorgorganisatie zélf een inschatting moet maken wat zij een adequaat beveiligingsniveau vindt voor e-mails, welke communicatie er mag worden gemaild en welke oplossingen daarvoor worden gebruikt. Maatwerkoplossingen zijn daarin niet heilig, maar ze kunnen organisaties wel helpen. Helaas stuurt de whitepaper organisaties weg van deze bestaande oplossingen. Wellicht dat bovenstaande vraagstukken in het onderzoeksrapport van KPMG een adequate uitwerking hebben.

Dit artikel is een publicatie op Zorgvisie



Terug naar het overzicht

Gerelateerde publicaties

De DPIA is uitgevoerd en er zijn geen hoge risico’s. Wat fijn! Iedereen – de FG, privacy officer en proceseigenaar – haalt opgelucht adem. Totdat de privacy officer een paar weken later verontrustende vragen krijgt. “We hebben alle gegevens uit de applicatie ook in een Excel staan, moeten we daar iets mee?” en “Is er een bewaartermijn voor e-mails met gezondheidsgegevens?” Wat blijkt? Er is een DPIA uitgevoerd, maar deze is uitgevoerd op de applicatie. Het proces dat buiten de applicatie loopt, is niet meegenomen.

Lees verder