Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Net als WhatsApp maakt ook Siilo gebruik van end-to-end-encryptie. Er zijn wel wat verschillen. Siilo is ontwikkeld voor een veilige overdracht tussen zorgaanbieders. Het is dus niet mogelijk om met patiënten te communiceren. Siilo biedt een aantal extra maatregelen om gegevens te beveiligen. Bijvoorbeeld door een aparte map voor afbeeldingen, alle correspondentie versleuteld op te slaan en correspondentie na 30 dagen automatisch te wissen tenzij je daar zelf een stokje voor steekt. Volgens recente mededelingen (mei 2018) maken nu rond 70.000 zorgverleners van Siilo gebruik.  (Klik hier voor meer info over de beveiliging)

Nee, tenzij extra maatregelen genomen worden (zoals end-to-end encryptie) is het uitwisselen van vertrouwelijke gegevens via e-mail niet veilig. Organisaties die op deze wijze hun uitwisselingsprocessen hebben ingericht doen er verstandig aan om daar direct mee te stoppen en in gezamenlijkheid maatregelen te nemen om de samenhangende risico’s het hoofd te bieden en naar alternatieven te zoeken voor een veilige uitwisseling van gevoelige gegevens. Als initiatieven van communicatiepartners uitblijven neem dan in het belang van je patiënten zelf het initiatief om dit aan de orde te stellen.

Tenzij extra maatregelen worden genomen zoals end-to-end encryptie kunnen onbevoegden kennis nemen van de inhoud van een bericht. Daarnaast is op mailservers zonder moeite na te gaan wie met wie communiceert. Om dit te voorkomen dient voor een verantwoorde en veilige uitwisseling gebruik te worden gemaakt van een omgeving die specifiek is ingericht voor veilige overdracht van vertrouwelijke gegevens. Binnen MedMij worden daarvoor de randvoorwaarden in kaart gebracht en wordt getest in proefomgevingen die voldoen aan de in de AVG gestelde randvoorwaarden. Ook heeft het Informatieberaad zorg het onderwerp ‘Veilige mail‘ geadresseerd en tenslotte is het Ministerie van BZK bezig het het vinden van een alternatief voor DIGID als digitaal paspoort.

Sinds WhatsApp is overgestapt op het gebruik van end-to-end-encryptie (april 2016) is veel van de aanvankelijke bezwaren (over inzicht in de inhoud van berichten) weggenomen. End-to-end encryptie werkt als volgt. Door WhatsApp wordt  automatisch een publieke en geheime sleutel aan een account gekoppeld. Die publieke sleutel wordt naar de centrale server gestuurd. Als A een bericht naar B wil sturen wordt het bericht bij A versleuteld met de combinatie van de geheime sleutel van A en de publieke sleutel van B die op de server staat. Via de server gaat het bericht naar B . Het bericht is alleen te ontsleutelen met de geheime sleutel van B die zich dus alleen bij B bevindt. Bij end-to-end-encryptie is een berichtje dus van het ene eindpunt tot het andere – oftewel van zender tot ontvanger – versleuteld. Vandaar de term ‘end-to-end’. Is WA daarmee veilig? Hoewel de inhoud van de berichten is versleuteld, is het nog steeds mogelijk om op de centrale server te zien wie met wie communiceert en vanaf welk IP-adres. De leverancier van WhatsApp kan die informatie gebruiken om een profiel van A en B bij te houden. Van WhatsApp is bekend dat veel metadata van gebruikers wordt opgeslagen. Ook biedt WhatsApp de mogelijkheid om een backup van je (ontsleutelde) berichten te bewaren op Google Drive of iCloud van Apple. Langs die weg kunnen berichten ook in verkeerde handen vallen. Je bent voor de beveiliging van deze backups volledig overgeleverd aan Google of Apple. Meer over de end-to-end encryptie van WhatsApp lees je hier.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport