Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Als alternatief inlogmiddel naast DigiD is tot 31-12-2018 een pilot gedraaid met Idensys. Naast een aantal gemeenten en verzekeraars heeft een aantal zorgpartijen aan deze pilot deelgenomen. De ervaringen opgedaan tijdens deze pilot zijn van belang voor het programma Impuls eID dat moet voorzien in de brede uitrol van authenticatiemiddelen van voldoende hoog betrouwbaarheidsniveau door BZK. Zie deze pagina voor een uitgebreidere toelichting of direct naar de brief aan de 2e Kamer van Staatssecretaris Knops van BZK van 29-02-2019 over de voortgang en aanpak

Geen. Met zekerheidsniveau en betrouwbaarheidsniveau wordt hetzelfde bedoeld.

In een brief van de AP aan de NVZ stelt de AP op 7 oktober 2016, dat “bij de patiënt-authenticatie voor communicatie met en onder verantwoordelijkheid van de zorgaanbieder in beginsel dient te worden uitgegaan van een ‘hoog betrouwbaarheidsniveau’ en dat in gevallen waar het gaat om gegevens waarop het medisch beroepsgeheim van de zorgverlener rust het ‘hoogste betrouwbaarheidsniveau’ vereist is.”

In de brief van de Autoriteit Persoonsgegevens aan de voorzitter van het Informatieberaad Zorg van 4 oktober 2018 wordt herhaald dat, “door het ontbreken van een brede beschikbaarheid van middelen die toezien op het vaststellen van betrouwbaarheidsniveau “substantieel” dan wel het voor de zorg vereiste “hoog”, de elektronische uitwisseling van gegevens over de gezondheid tussen zorgaanbieders en patiënten in beginsel niet kan plaatsvinden omdat de bescherming van persoonsgegevens, waaronder gegevens over gezondheid, dan onvoldoende is gewaarborgd ” In de brief wordt gesteld dat “brede beschikbaarheid van betrouwbaarheidsniveaus “substantieel” en “hoog” voor alle patiënten  nog enige tijd in beslag zal nemen.

In de brief wordt niet gesproken over de uitwisseling tussen zorgverleners. Voor zover ik weet beschikken die ook niet over de middelen om een passend betrouwbaarheidsniveau toe te passen. Is dat dan volgens de AP wel toegestaan?  

Hoewel de focus in de brieven waaraan u refereert lijkt te liggen op het raadplegen (de toegang tot gegevens – ook wel pull genoemd), heeft u me in een gesprek duidelijk gemaakt dat uw vraag ook betrekking heeft op versleuteling van de inhoud van berichten op een zodanige wijze dat zekerheid bestaat over de verzender en dat alleen de ontvanger kennis kan nemen van die inhoud (end-to-end encryptie). Die middelen zijn inderdaad nu nog niet breed beschikbaar. En ja, op dit moment is sprake is van uitwisseling van berichten zonder dat de vereiste zekerheid bestaat over verzender. En ja, het is niet uit te sluiten dat naast de beoogd ontvanger ook anderen van de inhoud van het bericht over u kennis nemen.  

Omdat het in de gezondheidszorg geen optie is om niet uit te wisselen, zullen verwerkingsverantwoordelijken dus moeten roeien met de riemen die men op dit moment heeft, waarbij ieder risico van onbevoegde kennisname zoveel mogelijk wordt uitgesloten. Of in AVG termen.. daartoe “passende technische en organisatorische maatregelen” moeten nemen. Met dat begrip passend wordt dus ook rekening gehouden met het ontbreken van die “breed beschikbare middelen” op dit moment.  

Zie voor aanvullende informatie ook deze pagina.

Zorgverleners moeten kunnen aantonen dat aan de identificatieplicht is voldaan. Om dat te doen wordt het het type en het nummer van het identiteitsbewijs in de administratie vastgelegd. Kopie of scan maken  (waarbij alle persoonsgegevens zichtbaar zijn) is niet toegestaan.  Zie ook de site van de Autoriteit Persoonsgegevens.

Tweefactor-authenticatie (2FA) is een extra beveiliging voor toegang tot gegevens via een netwerk. Zie deze pagina voor meer informatie.

Om meer zekerheid te krijgen over de identiteit van iemand die fysiek toegang zoekt tot een computer, laptop of tablet wordt doorgaans gebruik gemaakt van specifieke fysieke kenmerken: biometrische gegevens. Denk daarbij aan een irisscan of je vingerafdruk.

Op de site van de Autoriteit Persoonsgegevens tref je naast extra informatie ook antwoorden op vragen over biometrie.

Nee dat mag inderdaad niet. Gegevens over gezondheid zijn “bijzondere” persoonsgegevens. Staan die gegevens online dan moet diegene die toegang zoekt moet iets extra’s doen om meer zekerheid te hebben over degene die de gegevens benadert. Bijvoorbeeld door een QR code te scannen, of een code invoeren die via SMS is toegestuurd naar een bekend mobiel nummer. We spreken dan over een ander zekerheidsniveau. In dit geval door middel van 2 factor authenticatie of 2FA. Ga hierover in overleg met uw zorgverlener. Voor meer informatie over zekerheidsniveaus kun je terecht op deze pagina of dit document.

Net als WhatsApp maakt ook Siilo gebruik van end-to-end-encryptie. Er zijn wel wat verschillen. Siilo is ontwikkeld voor een veilige overdracht tussen zorgaanbieders. Het is dus niet mogelijk om met patiënten te communiceren. Siilo biedt een aantal extra maatregelen om gegevens te beveiligen. Bijvoorbeeld door een aparte map voor afbeeldingen, alle correspondentie versleuteld op te slaan en correspondentie na 30 dagen automatisch te wissen tenzij je daar zelf een stokje voor steekt. Volgens recente mededelingen (mei 2018) maken nu rond 70.000 zorgverleners van Siilo gebruik.  (Klik hier voor meer info over de beveiliging)

Is nog een uitdaging. Er zijn weliswaar een aantal oplossingen maar die hebben als nadeel dat ze “leveranciersgebonden” zijn. In het verlengde van een project “Veilige mail” onder auspiciën van het Informatieberaad Zorg heeft in december 2018 een groot aantal partijen een intentieverklaring ondertekend om te komen tot een veilige en gebruiksvriendelijke en leveranciersonafhankelijke berichtuitwisseling.

Twee factor authenticatie, ook wel 2FA genoemd is een manier om meer zekerheid te krijgen over de identiteit van iemand die toegang zoekt tot een omgeving met vertrouwelijke gegevens. Het is een uitbreiding van het gebruik van gebruikersnaam en wachtwoord. 2FA is wettelijk verplicht als vertrouwelijke gegevens (zoals een zorgdossier) online staan. Er zijn verschillende oplossingen (zekerheidsniveau’s) om de mate waarin die zekerheid is gewenst (over iemands elektronische identiteit) te borgen. Zie meer uitleg op deze thema pagina en eventueel aanvullende informatie op deze pagina.

Als je gewend bent om in te loggen met gebruikersnaam en wachtwoord dan is twee factor authenticatie inderdaad een extra handeling. Die is er echter niet voor niets.  De wettelijke verplichting tot het gebruik van 2 FA werd reeds enige tijd geleden onderstreept door een publicatie van het College Persoonsgegevens (nu Autoriteit Persoonsgegevens) in 2013 waarbij huisartsen zich gedwongen zagen deze in te voeren. Al dan niet onder druk van hun klanten bieden sommige EPD leveranciers de mogelijkheid om 2FA uit te schakelen. Niet goed dus. Beter zou zijn dat de EPD leverancier zijn klanten duidelijk maakt dat 2 FA wettelijk verplicht is.

Tenzij extra maatregelen worden genomen om te voorkomen dat onbevoegden kennis nemen van vertrouwelijke gegevens is het niet verstandig. Probeer uw patiënt daarvan te overtuigen en wijs op de risico’s. Bijvoorbeeld door te wijzen op dit animatiefilmpje over identiteitsfraude .

Eén van de manieren die wel wordt toegepast is de vertrouwelijke gegevens in een apart versleuteld document op te nemen en de patiënt via een ander medium (dus bijvoorbeeld SMS) te voorzien van de sleutel.

Op termijn beoogt het afsprakenstelsel van MedMij een veilige overdracht tussen zorgverlener en patiënt mogelijk te maken.

Tenzij extra maatregelen worden genomen zoals end-to-end encryptie kunnen onbevoegden kennis nemen van de inhoud van een bericht. Daarnaast is op mailservers zonder moeite na te gaan wie met wie communiceert. Om dit te voorkomen dient voor een verantwoorde en veilige uitwisseling gebruik te worden gemaakt van een omgeving die specifiek is ingericht voor veilige overdracht van vertrouwelijke gegevens. Binnen MedMij worden daarvoor de randvoorwaarden in kaart gebracht en wordt getest in proefomgevingen die voldoen aan de in de AVG gestelde randvoorwaarden. Ook heeft het Informatieberaad zorg het onderwerp ‘Veilige mail‘ geadresseerd en tenslotte is het Ministerie van BZK bezig het het vinden van een alternatief voor DIGID als digitaal paspoort.

Sinds WhatsApp is overgestapt op het gebruik van end-to-end-encryptie (april 2016) is veel van de aanvankelijke bezwaren (over inzicht in de inhoud van berichten) weggenomen. End-to-end encryptie werkt als volgt. Door WhatsApp wordt  automatisch een publieke en geheime sleutel aan een account gekoppeld. Die publieke sleutel wordt naar de centrale server gestuurd. Als A een bericht naar B wil sturen wordt het bericht bij A versleuteld met de combinatie van de geheime sleutel van A en de publieke sleutel van B die op de server staat. Via de server gaat het bericht naar B . Het bericht is alleen te ontsleutelen met de geheime sleutel van B die zich dus alleen bij B bevindt. Bij end-to-end-encryptie is een berichtje dus van het ene eindpunt tot het andere – oftewel van zender tot ontvanger – versleuteld. Vandaar de term ‘end-to-end’. Is WA daarmee veilig? Hoewel de inhoud van de berichten is versleuteld, is het nog steeds mogelijk om op de centrale server te zien wie met wie communiceert en vanaf welk IP-adres. De leverancier van WhatsApp kan die informatie gebruiken om een profiel van A en B bij te houden. Van WhatsApp is bekend dat veel metadata van gebruikers wordt opgeslagen. Ook biedt WhatsApp de mogelijkheid om een backup van je (ontsleutelde) berichten te bewaren op Google Drive of iCloud van Apple. Langs die weg kunnen berichten ook in verkeerde handen vallen. Je bent voor de beveiliging van deze backups volledig overgeleverd aan Google of Apple. Meer over de end-to-end encryptie van WhatsApp lees je hier.

De term zekerheidsniveau heeft te maken met de zekerheid over iemands identiteit. Ook wordt wel de term betrouwbaarheidsniveau gehanteerd. Als iemand via een netwerk toegang wordt gegeven tot persoonsgegevens is het van belang om zeker te stellen dat alleen diegene toegang heeft die daartoe bevoegd is. Technologische ontwikkelingen, toenemende risico’s en de toenemende gevolgschade, zorgen voor een evolutie, waardoor de eenvoudige combinatie van een gebruikersnaam en wachtwoord (niveau 1. basis) is vervangen door het scannen van een QR-code en invoer van een pincode (bij gebruik van een app) of met een sms bericht naar een geverifieerde mobiele telefoon (niveau 2. midden) wat ook wel 2 factor authenticatie of 2FA wordt genoemd.

Dat was voldoende voor de toegang tot medische gegevens, maar inmiddels volstaat ook dat niet meer en wordt feitelijk het hoogste niveau, niveau 4. hoog verlangd. Klik hier voor een overzicht met voorbeelden van vereiste betrouwbaarheidsniveau’s bij een aantal verschillende diensten.

Omdat de daarvoor noodzakelijke middelen nog niet grootschalig en gebruiksvriendelijk voor handen zijn – en er bovendien een ander systeem (Idensys) is ontwikkeld – volstaat voorlopig nog niveau 2 (dus 2 FA) voor de toegang tot bijzondere persoonsgegevens zoals gegevens over gezondheid. Zie deze pagina voor meer informatie.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport