E-mail: om bijzondere/ gevoelige persoonsgegevens te delen

In de dagelijkse praktijk loopt e-mail vaak over onbeveiligde verbindingen. Dat maakt gewone (onbeveiligde, niet versleutelde) e-mail per definitie geen goed medium voor uitwisseling van gevoelige (persoons)gegevens. Bovendien is e-mail een bron van bedreigingen, zoals malware en phishing. Tegelijkertijd is alles via de post ook niet meer van deze tijd en is een e-mail stukken sneller. Snelheid die soms noodzakelijk is. Een paar tips.

1. Verbeter de awareness van medewerkers, bestuursleden of vrijwilligers over de regels hoe e-mail wel en niet kan worden gebruikt.

Bijvoorbeeld:

  • beperk zoveel mogelijk het gebruik van gevoelige persoonsgegevens in de tekst van de mail zelf;
  • stuur geen bijlagen mee waar gevoelige persoonsgegevens in staan;
  • dubbelcheck altijd de geadresseerde voor je op ‘verzenden’ drukt;
  • vraag de ontvanger om een bevestiging van ontvangst (dan ontdek je het sneller als het onverhoopt toch mis is gegaan);
  • maak duidelijke afspraken over wat te doen bij malware of phishing;
  • als er een collega weggaat of juist tijdelijk komt versterken: regel goed in wie waarbij mag (autorisaties) en hef een mailadres op als de collega niet meer in dienst / werkzaam is.

2. Gebruik alleen gewone mail als er geen vertrouwelijke (bijzondere) persoonsgegevens worden verwerkt.

3. Kijk naar alternatieven voor het uitwisselen van informatie.

Zoals:

3.1. Uitwisseling onderling (binnen dezelfde organisatie):

  • neem in je mail een link naar het bestand op in plaats van het bestand zelf mee te sturen.

3.2. Uitwisseling tussen zakelijke partijen (bijv. zorginstanties of -verleners onderling, maar ook uitwisseling met leveranciers, gemeenten):

Gebruik een veiligere manier dan het meesturen van een onbeveiligde bijlage in een mail, zoals:

  • versleutel het worddocument (eenvoudig via 7-Zip) en verstuur het wachtwoord van het bestand via een ander medium, zoals sms of WhatsApp;
  • informeer bij collega’s of zij al gebruik maken van beveiligde mailverbindingen en sluit waar mogelijk aan; zo gebruiken bijvoorbeeld veel fysiotherapeuten ‘Zorgmail’;
  • gebruik een online portaal dat met multifactor authenticatie is ingericht: naam en wachtwoord + een derde kenmerk (net als bij online bankieren met een token, sms-code, etc.).

En weet dat er wat betreft de zorg, hard wordt gewerkt door MedMij om te komen tot een set van afspraken om op een veilige manier de patiënt te laten beschikken over zijn persoonlijke gezondheidsomgeving (PGO) en de communicatie tussen patiënt en zorgverlening veilig te laten verlopen.

3.3. Uitwisseling tussen zorgverleners en cliënten / patiënten

Voor het e-mailverkeer tussen zorgverleners en patiënt of cliënt hanteert de Autoriteit Persoonsgegevens de norm van versleuteling. Een arts mag dus best met zijn patiënt mailen, mits de e-mails versleuteld worden verstuurd. Ook de rest van de beveiliging moet goed geregeld zijn. Denk aan een gebruikersrichtlijn, antivirus- en antispamsoftware en beveiliging van de opslag van e-mails.

3.4. En als de patiënt of cliënt zelf als eerste met een zorgverlener wil mailen met gevoelige gegevens in een bijlage?

  • attendeer de patiënt op het kunnen versleutelen van een document met gevoelige gegevens (via 7-Zip) en vraag hem het wachtwoord op het bestand via een ander medium, zoals sms of WhatsApp te versturen.

En WhatsApp dan?

Hoe gek het ook klinkt: een bericht versturen via WhatsApp is per saldo veiliger dan per e-mail. Dat komt omdat de inhoud van de berichten is versleuteld (end-to-end-encryptie). Zorg er bij gebruik van WhatsApp wel voor dat je geen (automatische) back-up van je berichten in je Google Drive of iCloud opslaat (vinkje uitzetten!), want die opslag is onversleuteld - en daarmee weer onveilig. Tenslotte: houd altijd in je achterhoofd dat Whatsapp wordt beheerd door Facebook. Facebook geeft geen inzage in of ze meekijken. Dus dit is zeker niet uit te sluiten.