Gebruik beveiligde mail binnen de zorg

[Jablan]

Het volgt onder meer gewoon uit de toepasselijke NEN-normen.
https://www.nen.nl/zorg-welzijn/ict-in- ... in-de-zorg

Ha, dank je wel. Het is een NEN-norm en dat verklaart eigenlijk alles: waarom het zo lastig is om de verplichting te vinden en waarom elke zorgverlener op een andere manier ermee omgaat. Geprivatiseerde wetgeving, waar software-aanbieders op zijn ingesprongen. Het is tegelijk een kostenverhogende verplichting met een beperkt rendement.

In veel gevallen is het niet: je moet je om twee uur melden bij ziekenhuis xyz, maar is het : je moet je om twee uur melden voor een abc-onderzoek bij dokter x van de afdeling y. Daarmee geef je meer informatie weg dan gewenst.

Ik volg je helemaal, maar voor mij is dit geen verschil met:
- afspraak bij de hypotheekverstrekker met adviseur a van partij b. => dat zegt iets over je financiële positie
- afspraak voor oudergesprek met docent a van vak b over de prestaties van kind c => dat zegt iets over de gezinssituatie en de schoolresultaten
- afspraak met tandarts / mondhygiëniste => niet de afspraak zelf, maar de gereserveerde tijd zegt iets over de behandeling
- afspraak met winkeladviseur / vakman over het inmeten van keuken / woonkamer / vloer / raam => zegt iets over je plannen, daarmee over je interesses

Een reeks voorbeelden, waarbij je informatie kunt herleiden en daarmee meer weggeeft dan je denkt.

Om te beginnen moet je je iegen eigen email leverancier aanspreken. Als die gewoon de relevante standaarden (DNSSEC, DANE, TLS etc.) ondersteunt dan is jouw email geschikt om beveiligde email te ontvangen (wat zo'n 25% van de nl-domeinen kan). Vervolgens moet je je zorgverlener aanspreken: als jouw email de relevante standaarden ondersteunt mag jouw zorgaanbieder jou gewoon emailen zonder al die codes en onzin.

Mooi, maar helaas te technisch voor de gemiddelde zorgverlener met eigen praktijk, die voor de beveiligde mail in zee is gegaan met een extern bedrijf.

Evengoed, bedankt voor alle reacties.

[jochemd]

Om te beginnen moet je je iegen eigen email leverancier aanspreken. Als die gewoon de relevante standaarden (DNSSEC, DANE, TLS etc.) ondersteunt dan is jouw email geschikt om beveiligde email te ontvangen (wat zo'n 25% van de nl-domeinen kan). Vervolgens moet je je zorgverlener aanspreken: als jouw email de relevante standaarden ondersteunt mag jouw zorgaanbieder jou gewoon emailen zonder al die codes en onzin.

Mooi, maar helaas te technisch voor de gemiddelde zorgverlener met eigen praktijk, die voor de beveiligde mail in zee is gegaan met een extern bedrijf.

Je slaat de eerste stap over: heb jij al gecontroleerd of jouw email aan de eisen voldoet? En juist omdat de gemiddelde zorgverlener een extern bedrijf heeft ingeschakeld maakt het niet uit hoe technisch het is: ze kunnen jouw bericht gewoon doorsturen naar dehun leverancier.

[Jablan]

Sorry, niet op ingegaan omdat onze mail daaraan voldoet.

Ik ga verder geen tijd aan besteden. We merken dat de zorgverleners er zelf ook mee zitten, het zal op termijn wel weer veranderen. Ambtelijk hobbyïsme ...

[kweenie]

Ik volg je helemaal, maar voor mij is dit geen verschil met:
- afspraak bij de hypotheekverstrekker met adviseur a van partij b. => dat zegt iets over je financiële positie
- afspraak voor oudergesprek met docent a van vak b over de prestaties van kind c => dat zegt iets over de gezinssituatie en de schoolresultaten
- afspraak met tandarts / mondhygiëniste => niet de afspraak zelf, maar de gereserveerde tijd zegt iets over de behandeling
- afspraak met winkeladviseur / vakman over het inmeten van keuken / woonkamer / vloer / raam => zegt iets over je plannen, daarmee over je interesses

Een reeks voorbeelden, waarbij je informatie kunt herleiden en daarmee meer weggeeft dan je denkt.

Of het voor jou geen verschil maakt is niet zo relevant. Belangrijker is hoe de regelgeving er over denkt. Voor de regelgeving staan je persoonlijke medische gegevens op een andere niveau dan kennis over bijvoorbeeld of je verbouwplannen hebt.

[Erthanax]

(...) Voor de regelgeving staan je persoonlijke medische gegevens op een andere niveau dan kennis over bijvoorbeeld of je verbouwplannen hebt.

En zelfs de correspondentie met de gemeente over mijn verbouwplannen verliepen al via beveiligde e-mail.

Overigens kan ik me goed voorstellen dat een organisatie kiest voor één beveligd systeem voor alle communicatie met alle "klanten". Dat maakt de kans op missers een stuk kleiner, lijkt me.

[Jablan]

Belangrijker is hoe de regelgeving er over denkt. Voor de regelgeving staan je persoonlijke medische gegevens op een andere niveau dan kennis over bijvoorbeeld of je verbouwplannen hebt.

Ik maak er wel 'Nederlandse regelgeving' van, als je het niet erg vindt.

Dit is vanuit de overheid verplicht gesteld. Dan is de enige vraag waarom het via een NEN-norm is geregeld (duur) en waarom dezelfde overheid geen landelijk systeem heeft opgensteld, gebouwd of laten bouwen, waar elke zorgverlener gebruik van kan maken (goedkoop).

En zelfs de correspondentie met de gemeente over mijn verbouwplannen verliepen al via beveiligde e-mail.

Als de beveiliging op basis van DigiD draait, is dat een prima oplossing.

[Erthanax]

En zelfs de correspondentie met de gemeente over mijn verbouwplannen verliepen al via beveiligde e-mail.

Als de beveiliging op basis van DigiD draait, is dat een prima oplossing.

Nee, dat ging met een code per e-mail (via Zivver), wat overigens goed werkte.

[Moneyman]

[Als de beveiliging op basis van DigiD draait, is dat een prima oplossing.

Eens. Bij zorgverzekeraars is dat vaak ook al het geval.

[16again]

Belangrijker is hoe de regelgeving er over denkt. Voor de regelgeving staan je persoonlijke medische gegevens op een andere niveau dan kennis over bijvoorbeeld of je verbouwplannen hebt.

Ik maak er wel 'Nederlandse regelgeving' van, als je het niet erg vindt.

Dit is vanuit de overheid verplicht gesteld. Dan is de enige vraag waarom het via een NEN-norm is geregeld (duur) en waarom dezelfde overheid geen landelijk systeem heeft opgensteld, gebouwd of laten bouwen, waar elke zorgverlener gebruik van kan maken (goedkoop).

Automatiseringsproject , overheid en goedkoop in een zin. Dat moet wel onzin zijn

[Jablan]

Nou, nou ... De zorgverzekeraars geven al het goede voorbeeld met DigiD. Dat is bestaande software, die werkt en relatief weinig klachten oplevert. Het lijkt mij niet zo moeilijk om dat voor elke zorgverlener met BIG-registratie ter beschikking te stellen.

[16again]

https://nos.nl/artikel/2239438-ict-proj ... rd-te-duur

Hetzelfde gebeurde bij het verbeteren van de beveiliging van DigiD, het identificatiesysteem waarmee burgers online hun overheidszaken kunnen regelen. Dat kostte acht keer zoveel en duurde drie keer zo lang als oorspronkelijk gepland.

Niet mijn idee van goedkoop,
Maar prima om, nu Digid er is , ook onderwijsinstellingen en zorgverleners dit te laten gebruiken

[Moneyman]

Omdat Digid er al is, is het gebruiken ervan voor dit soort mailverkeer natuurlijk gewoon goedkoop te regelen.Dat het ooit duur was, doet helemaal niet terzake.