Contact
Home > Knelpunten en aanbevelingen > Vertrouwelijkheid > Vertrouwelijkheid: knelpunten

Vertrouwelijkheid: knelpunten

“Zo goed als het kan”

Rob GerritsRob Gerrits:
"Als je alle risico's wilt uitsluiten, loop je vast."

Keer op keer wordt vastgesteld dat de veiligheid van informatie in digitale systemen niet honderd procent te waarborgen is. In 2012 meldden de media twee incidenten in de ggz. Tot voor kort leek het summum van veiligheid een inlogprocedure die is gebaseerd op DigID, de persoonlijke toegangscode waarmee burgers communiceren met de overheid. Maar ook DigID blijkt kwetsbaar. “Het is zo goed als het kan”, zei minister Plasterk naar aanleiding van een incident met de systemen achter DigID. Maar wat betekent dat? Wanneer is het goed genoeg?

Veilige systemen blijken in de praktijk al gauw onwerkbare of onbetaalbare systemen. Ja, je kunt het elektronisch patiëntendossier van thuis uit benaderen, desnoods via Citrix en desgewenst op een tablet of zelfs mobiele telefoon. Maar om dat te kunnen doen moet wel elke keer een lange toegangscode worden ingetoetst die moet voldoen aan KGB-criteria (minimaal twee hoofdletters, twee speciale tekens, drie cijfers, waarbij de cijfers elkaar niet mogen opvolgen, en vooral niet de geboortedatum van je schoonmoeder). Het risico van dit type procedures is dat gebruikers op zoek gaan naar nog onveiligere methodes om de onhandige, veilige bedrijfsprocedures te omzeilen (bedrijfsmail wordt doorgestuurd naar privémail, dossiers worden naar huis getransporteerd via Dropbox of usb-sleutels).

Gebruik van standaard e-mail in de jeugd-ggz is aan de orde van de dag. Sommige behandelaren zijn daardoor uiterst efficiënt (110 procent declareerbaar). Maar veilig is het niet. Vertrouwelijkheid van informatie is lastig te waarborgen. Gedeelde e-mailboxen in de familie, gebruik van allerhande clouddiensten... Deze laatste lopen overigens vaak via servers van Amerikaanse bedrijven. Daarmee valt de informatie onder de Amerikaanse Patriot Act, waardoor gegevens op ieder moment opvraagbaar zijn voor de Amerikaanse overheid. Dat is zeer onwenselijk en in strijd met de geheimhoudingsplicht. Deze servers vermijden, dan maar? Maar kan dat eigenlijk wel? Zodra bestanden in de cloud staan, is lastig vast te stellen of ze niet toch op enig moment op Amerikaanse servers terechtkomen.