Kunt u met patiënten e-mailen? Ja, maar niet zomaar.
Al sinds de Wet bescherming persoonsgegevens (Wbp), de voorloper van de AVG, is het niet toegestaan om bijzondere persoonsgegevens -en dat zijn medische gegevens altijd- via e-mail over het openbare internet te sturen. In de dagelijkse praktijk is dat best lastig vol te houden: even per mail een afspraak verzetten mag niet. Een e-mail is vergelijkbaar met een ansichtkaart en iedereen die de kaart behandelt -en dat zijn heel wat partijen bij een e-mail- kan zien dat de patiënt een relatie heeft met de psycholoog/psychotherapeut. En dat is privé. Als u Gmail gebruikt, is het nog erger: Google heeft in de algemene voorwaarden staan dat zij de inhoud van de mail mogen gebruiken voor optimaliseren van hun dienstverlening.
De nieuwe norm van het NEN, de NTA 7516, die per 1 juli van kracht wordt, stuurt in de richting van een veilige infrastructuur voor berichtenuitwisseling in de zorg. In deze versie gaat het nog alleen om e-mail, later komen daar ook text messages en app-verkeer bij. Omdat de NTA 7516 een aanvulling is op de verplichte NEN 7510, wordt ook de NTA 7516 verplicht.
De NTA 7516 bestaat uit een aantal delen en benoemt drie typen spelers:
1. Provider ofwel communicatiedienstenaanbieder: het bedrijf dat de emaildienst verzorgt
2. Professional: de zorgverlener, u dus
3. Persoon: degene met wie de professional communiceert, meestal de patiënt
De rol van de provider
Een groot deel van de norm richt zich op de eerste groep: de providers. Deze moeten een flink aantal beveiligingsmaatregelen nemen. Deze maatregelen moeten ervoor zorgen dat berichten op een veilige manier van de ene aan de andere provider worden doorgegeven, zodat de veiligheid van het bericht onderweg gegarandeerd blijft.
De provider zal er ook voor moeten zorgen dat u als professional op een veilige manier met de provider kunt werken. Providers kunnen zich laten certificeren, zodat u zeker weet dat de provider de NTA 7516 goed geïmplementeerd heeft.
Als professional kunt u vanaf 1 juli 2020 het beste kiezen om professionele communicatie alleen via een voor de NTA 7516 gecertificeerde provider te laten verlopen. Omdat de norm nieuw is, sluit dat, althans voorlopig, een heleboel algemene providers uit.
Uw rol als professional
In de praktijk zult u een aantal zaken moeten aanscherpen. U was natuurlijk al druk met alle voorschriften van de NEN 7510, maar er komen enkele punten bij. Om te beginnen zorgt u ervoor dat niet iedereen in de praktijk in de mail kan kijken. Verder stelt u eisen aan de:
- Beschikbaarheid van de communicatiedienst, eigenlijk moet die altijd werken, en niet staan op een oud computertje dat er elk moment mee kan ophouden
- Integriteit: zekerheid van herkomst doordat u zeker weet dat u met de juiste dienst communiceert, het bericht niet onderweg veranderd is en u wilt zekerheid dat de verzender inderdaad degene is die zich meldt
- Vertrouwelijkheid: Het bericht moet versleuteld worden, u kunt er alleen bij via een beveiligde verbinding en het bericht mag Europa niet verlaten.
- Functionaliteit: beantwoorden, doorsturen en leesbaarheid zijn basale handelingen die op een veilige manier mogelijk moeten zijn.
- Interoperabiliteit: berichten zijn onderdeel van het dossier en moeten daarin, op gemakkelijke manier, opgenomen kunnen worden. Dit stelt ook eisen aan het dossiersysteem.
Dit klinkt als veel gedoe, maar met de keuze voor een gecertificeerde provider is het meeste al geregeld en integratie met het dossiersysteem was toch al aan de orde.
Verder is het een kwestie van de technische aanwijzingen van de provider opvolgen en zelf netjes te werk blijven gaan.
Indien u zeker weet dat uw collega ook gekozen heeft voor een gecertificeerde provider, is er geen bezwaar om per beveiligde e-mail gevoelige informatie te delen. (Let wel op alle andere privacyregels, zoals toestemming!) Vergewis u er wel van tevoren van dat de collega al zo ver is! Het blijft immers uw verantwoordelijkheid wat er met de informatie gebeurt.
Hoe communiceert u met de patiënt?
Maar hoe communiceert u nu met de patiënt, de derde categorie (Persoon) volgens de norm? Deze zal immers geen gebruik maken van een gecertificeerde provider!
In de nieuwe regeling wordt u verplicht te publiceren op welke manier een persoon op veilige elektronische wijze contact met u kan zoeken. Alleen een e-mailadres publiceren werkt niet, omdat de kant van de persoon waarschijnlijk niet zal voldoen aan de eisen. U kunt bijvoorbeeld wel een veilig webformulier maken of een veilige e-mailfaciliteit aanbieden. Op termijn is communicatie via een portal of een pgo (persoonlijke gezondheidsomgeving, bijvoorbeeld een beveiligde app) op een veilige manier te realiseren.
Conclusie
De NTA 7516 lost niet alle problemen rondom veilig berichtenverkeer op maar het is een grote stap in de goede richting. De opstellers gaan zich in de nabije toekomst buigen over andere onderdelen en vormen van berichtenverkeer zoals chatten en text messages.
Ook interessant
Nieuwsbrief TOP Opleidingsplaatsen
Op 26 mei 2020 verscheen weer een nieuwsbrief van TOP Opleidingsplaatsen. Opvallend is dat de termijnen opschuiven, dat voor de verschillende opleidingen ...
Lees meer
Nieuwe website over gegevensuitwisseling in de zorg live
Zorgaanbieders en ICT-leveranciers in de zorg vinden voortaan informatie over het programma Elektronische Gegevensuitwisseling in de Zorg op https://www....
Lees meer