Gebruik beveiligde mail binnen de zorg

[Jablan]

Opvallend: onze Nederlandse zorgverleners vinden het tegenwoordig nodig om afspraken per beveiligde mail te sturen. Wegens 'de privacy'.

Alleen ... het werkt niet. Iedere keer zit er een link in voor een code om het bericht te kunnen lezen en wat krijg je?
- Uw code is ongeldig
- Uw code is verlopen
- Uw code is te vaak aangevraagd, probeer het later nog eens.

Gevolg: afspraak gemist.

Vraag voor wie er meer verstand van heeft:

- Valt iets simpels als een afspraakbevestiging al onder de AVG?
Voor mij niet, omdat het alleen gaat om datum, tijdstip van een contactmoment tussen zorgverlener en patiënt. In die mails staan nooit de echt persoonlijke of medische gegevens, zoals soort behandeling of onderzoeksuitslagen.

- En in het algemeen: is dit hoe je met elkaar wilt omgaan?

[jochemd]

- Valt iets simpels als een afspraakbevestiging al onder de AVG?

Ja.

- En in het algemeen: is dit hoe je met elkaar wilt omgaan?

Nee. Je wil dat mensen een email dienst hebben die veilig genoeg is in plaats van email die zo makkelijk onderschept kan worden dat al die verificatie codes nodig zijn. Maar aangezien de meeste mensen dat niet hebben krijg je al die onzin er wel bij.

[Moneyman]

Vraag voor wie er meer verstand van heeft:
- Valt iets simpels als een afspraakbevestiging al onder de AVG?

Ja, tuurlijk. Het zijn immers persoonsgegevens, en ook nog eens bijzondere persoonsgegevens (want: medisch).

- En in het algemeen: is dit hoe je met elkaar wilt omgaan?

Nee. Maar dat zeg ik alleen omdat het bij jou blijkbaar niet werkt. De ervaringen die ik heb zijn tot nu toe uitsluitend positief. En in dat geval is mijn antwoord "ja".

[Lady1234]

Ik krijg regelmatig per mail mijn afspraken in het ziekenhuis bevestigd. Helemaal niets mis mee.

Of bestellingen van medicijnen, ook met een code.

Ligt het misschien aan instellingen op uw laptop?

[Seinhuis]

Vraag iemand om hulp. Of bel naar uw zorgverlener.

[Jablan]

Ligt het misschien aan instellingen op uw laptop?

Het gebeurt op alle apparaten, waar dit soort mails op binnenkomen. Zelfs het soort verbinding (mobiel of vast) maakt geen verschil.

Ja, tuurlijk. Het zijn immers persoonsgegevens, en ook nog eens bijzondere persoonsgegevens (want: medisch).
[...]
Nee. Maar dat zeg ik alleen omdat het bij jou blijkbaar niet werkt. De ervaringen die ik heb zijn tot nu toe uitsluitend positief. En in dat geval is mijn antwoord "ja".

Op ons komt dit over als een hele enge (smalle) interpretatie van de AVG.

Of bel naar uw zorgverlener.

De zorgverleners krijgen tegenwoordig antwoord met deze strekking: 'we kunnen je bericht niet lezen, stuur een postduif en verwijder ons mailadres uit je bestand.'

[PGros]

Ik krijg regelmatig per mail mijn afspraken in het ziekenhuis bevestigd. Helemaal niets mis mee.

Of bestellingen van medicijnen, ook met een code.

Ligt het misschien aan instellingen op uw laptop?

Ja maar dat zijn waarschijnlijk geen beveiligde e-mails. Als je de mail direct kan lezen als hij binnenkomt is er geen speciale beveiliging op. Bij mij komen ze ook binnen en kan ik het direct lezen maar er is dan ook niets bijzonders met die mail.

[Moneyman]

Ligt het misschien aan instellingen op uw laptop?

Het gebeurt op alle apparaten, waar dit soort mails op binnenkomen. Zelfs het soort verbinding (mobiel of vast) maakt geen verschil.

Ja, tuurlijk. Het zijn immers persoonsgegevens, en ook nog eens bijzondere persoonsgegevens (want: medisch).

Op ons komt dit over als een hele enge (smalle) interpretatie van de AVG.

Volgens mij moet je vraag helemaal niet zijn "valt dit onder de AVG", want daarover kan geen discussie zijn. En van een enge interpretatie is ook geen sprake.

De echte vraag moet zijn of dit soort zaken niet zó geregeld kunnen worden dat de beveiliging op orde is én het gebruiksgemak er niet teveel onder lijdt. En dat is natuurlijk het standaard beveiligingsdillema.

En het is natuurlijk van belang te achterhalen waarom het fout gaat: ligt dat aan jullie, aan de apparatuur, aan de instellingen, aan de verstrekker... geen idee.

[BL2]

Gevolg: afspraak gemist.

Dat hoeft natuurlijk niet, immers kan je een mail niet openen, dan benader je de afzender. Simpeler is het niet.

[Onkruid71]

Waarom kan dat simpelweg dan niet met digid inloggen, dat zou toch makkelijker zijn, als het dan toch allemaal digitaal moet.
Lijkt mij hoor.

[Erthanax]

Met beveiligde e-mail vanuit de zorg of de gemeente heb ik nooit problemen gehad. Het werkt hier op drie verschillende devices (Android, iOS, Windows).

[Morgan le Fay]

Beveiligde mail in de Zorg moet oa inderdaad met DiGiD en nog een paar andere handelingen.
Soms wel een beetje moeilijk voor mensen.
Waarom? iets met hackers.
Als er gehackt wordt staat iedereen op zijn achterste benen en als het voor hackers lastig wordt gemaakt gaat de burger miepen.

[moederslink]

Waarom kan dat simpelweg dan niet met digid inloggen, dat zou toch makkelijker zijn, als het dan toch allemaal digitaal moet.
Lijkt mij hoor.

Afspraken voor het ZH kán ik ook alleen maar inzien door met DigiD in te loggen en een sms verificatie.
Ik vind het prima en het gaat góed!

[moederslink]

Alleen ... het werkt niet. Iedere keer zit er een link in voor een code om het bericht te kunnen lezen en wat krijg je?
- Uw code is ongeldig
- Uw code is verlopen
- Uw code is te vaak aangevraagd, probeer het later nog eens

Inderdaad, soms ben ik niet snel genoeg en verloopt de code.
Mijn oplossing is : op 2 tablets tegelijk inloggen.
En anno nu ben ik blij met dit soort beveiligingen nu er zoveel gehackt wordt of kán worden.
Het is wat het is in deze digitale tijd.

[Jablan]

Volgens mij moet je vraag helemaal niet zijn "valt dit onder de AVG", want daarover kan geen discussie zijn. En van een enge interpretatie is ook geen sprake.

Oneens. Dan zou elk soort afspraakbevestiging beveiligd moeten worden, van financiële dienstverlener via onderwijs tot aan winkels, die adviseurs op pad sturen.

De echte vraag moet zijn of dit soort zaken niet zó geregeld kunnen worden dat de beveiliging op orde is én het gebruiksgemak er niet teveel onder lijdt. En dat is natuurlijk het standaard beveiligingsdilema.

Inmiddels begrepen dat de beveiliging verplicht is gesteld - maar door wie kan men dan weer niet vertellen. Als we dat zouden weten, weten we tenminste wie we op deze onzin mogen aanspreken.

En het is natuurlijk van belang te achterhalen waarom het fout gaat: ligt dat aan jullie, aan de apparatuur, aan de instellingen, aan de verstrekker... geen idee.

Het ligt aan de leverancier. Volgens onze zorgverleners zijn we geen uitzondering, meer mensen lopen hier tegenaan.

Gevolg: afspraak gemist.

Dat hoeft natuurlijk niet, immers kan je een mail niet openen, dan benader je de afzender. Simpeler is het niet.

Dit was een automatische controle afspraak, die als phishing/spam werd gezien.

Beveiligde mail in de Zorg moet oa inderdaad met DiGiD en nog een paar andere handelingen.

Dat zou een oplossing zijn. Deze mails vragen niet om DigiD, maar verwijzen door naar een server, waar je een code moet ophalen om het bericht te kunnen lezen. En dat werkt niet zoals bedoeld, geeft alleen ergernis.

[alfatrion]

Volgens mij moet je vraag helemaal niet zijn "valt dit onder de AVG", want daarover kan geen discussie zijn. En van een enge interpretatie is ook geen sprake.

Oneens. Dan zou elk soort afspraakbevestiging beveiligd moeten worden, van financiële dienstverlener via onderwijs tot aan winkels, die adviseurs op pad sturen.

Je verondersteld nu dat het risico van alle afspraakbevestigingen gelijk is. Dat is evident niet zo. Een afspraakbevestiging met de tuinman geeft een aanzienlijk kleiner risico dan een afspraakbevestiging met het ziekenhuis.

[Onkruid71]

In België werd toen digid hier rampzalig werkte al gewerkt met een kaartlezer. Vond dat toendertijd nog niet zo'n slecht idee, dan had je je id kaart nodig om in bepaalde sites te komen.

Maar waarom is die beveiliging nodig met een afspraak, terwijl ik gewoon zonder al dat gedoe kan inloggen om bij mij gegevens te komen van het ziekenhuis, en bij sommige moet ik weer digid gebruiken. Waarom zover verschillende manieren.
Best wel apart allemaal.

[Moneyman]

Volgens mij moet je vraag helemaal niet zijn "valt dit onder de AVG", want daarover kan geen discussie zijn. En van een enge interpretatie is ook geen sprake.

Oneens. Dan zou elk soort afspraakbevestiging beveiligd moeten worden, van financiële dienstverlener via onderwijs tot aan winkels, die adviseurs op pad sturen.

Da's een rare redenering. Je vergeet in je betoog dat de ene afspraak de andere niet is. In casu gaat het over bijzondere persoonsgegevens, waarvoor een zwaarder regime van de AVG van toepassing is.

De echte vraag moet zijn of dit soort zaken niet zó geregeld kunnen worden dat de beveiliging op orde is én het gebruiksgemak er niet teveel onder lijdt. En dat is natuurlijk het standaard beveiligingsdilema.

Inmiddels begrepen dat de beveiliging verplicht is gesteld - maar door wie kan men dan weer niet vertellen. Als we dat zouden weten, weten we tenminste wie we op deze onzin mogen aanspreken.

Het volgt onder meer gewoon uit de toepasselijke NEN-normen.
https://www.nen.nl/zorg-welzijn/ict-in- ... in-de-zorg

[jochemd]

Inmiddels begrepen dat de beveiliging verplicht is gesteld - maar door wie kan men dan weer niet vertellen. Als we dat zouden weten, weten we tenminste wie we op deze onzin mogen aanspreken.

Om te beginnen moet je je iegen eigen email leverancier aanspreken. Als die gewoon de relevante standaarden (DNSSEC, DANE, TLS etc.) ondersteunt dan is jouw email geschikt om beveiligde email te ontvangen (wat zo'n 25% van de nl-domeinen kan). Vervolgens moet je je zorgverlener aanspreken: als jouw email de relevante standaarden ondersteunt mag jouw zorgaanbieder jou gewoon emailen zonder al die codes en onzin.

[kweenie]

Volgens mij moet je vraag helemaal niet zijn "valt dit onder de AVG", want daarover kan geen discussie zijn. En van een enge interpretatie is ook geen sprake.

Oneens. Dan zou elk soort afspraakbevestiging beveiligd moeten worden, van financiële dienstverlener via onderwijs tot aan winkels, die adviseurs op pad sturen.

Nee, dat zijn andere situaties, omdat je daar niet te maken hebt met medische gegevens.

In veel gevallen is het niet: je moet je om twee uur melden bij ziekenhuis xyz, maar is het : je moet je om twee uur melden voor een abc-onderzoek bij dokter x van de afdeling y. Daarmee geef je meer informatie weg dan gewenst.