Nieuws & blogs

11 apr 2016

WhatsApp versleutelt berichten: is het nu veilig voor de zorg?


Logische vraag. Versleuteling klinkt immers goed. Maar is het ook veilig genoeg om medische gegevens te versturen via WhatsApp? Het antwoord: nee. Onderstaand wordt uitgelegd waarom.

Bron : VvAA (www.mobiledoctors.nl)

Categorie: Archief
Ingezonden door: Martijn

 

De ouderwetse brief
Vergelijk het versturen van een app met het versturen van een brief. Je schrijft een brief, doet deze in een envelop, plakt de brief dicht, schrijft het adres op de envelop, plakt er een postzegel op en doet deze in de brievenbus. De postbode haalt de brief op en bezorgt hem bij de geadresseerde. De geadresseerde opent de brief en leest de boodschap. 

 

In dit proces speelt een aantal factoren een cruciale rol:

De inhoud van de brief is alleen bedoeld voor de ontvanger (Authenticatie)
De bezorger bezorgt de brief bij de ontvanger (SSL – beveiligde verbinding)
Alleen de ontvanger kan de inhoud van de brief lezen (Encryptie – versleuteling)
Dit is voor de meeste van ons vanzelfsprekend. We zijn ons echter nauwelijks bewust van de regels die de overheid stelt voor de bezorging van de post. Zo is bijvoorbeeld vastgelegd dat 95% van de post dezelfde dag bezorgd moet worden en is er een wettelijk maximum voor de tarieven. Om post te mogen bezorgen dient te worden voldaan aan deze eisen.

 

Digitale post
WhatsApp doet met de invoer van de end-to-end encryptie en de mogelijkheid voor het scannen van de QR-code een aardige stap in de juiste richting om encryptie te faciliteren, al zijn ‘authenticatie’ en ‘SSL’ nooit getoetst. Maar net als aan de bezorging van post, worden er extra eisen gesteld aan nieuwe communicatievormen als WhatsApp. En in het bijzonder als het gaat om medische gegevens. De belangrijkste regels:

 

Wet op de Geneeskundige Behandel Overeenkomst (WBGO)
Wanneer een zorgverlener medische hulp biedt aan een patiënt, spreekt men over een behandelovereenkomst. Een belangrijk onderdeel hiervan is de dossierplicht. Hiervoor gelden twee belangrijke aspecten: wat is de bewaartermijn? En wie mag bij de data?

 

Wet Bescherming Persoonsgegevens
Deze wet schrijft voor op welke wijze persoonsgegevens verwerkt moeten worden. De wet gaat over alle vormen van dataverwerking – papier en digitaal. Voor de zorgsector is de reden eenvoudig: die is gebaseerd op de dossierplicht uit de WBGO. Voor ICT is er een duidelijke beperking van belang. Dit is het verbod op de verwerking van bijzonder persoonsgegevens, zoals godsdienst, ras, politiek en seksuele geaardheid.

 

Opslag en bewaartermijn van gegevens
De standaard bewaartermijn van data is 15 jaar. Daarna moeten patiëntgegevens direct verwijderd worden. Voor academisch ziekenhuizen geldt zelfs een bewaartermijn van 115 jaar voor gegevens over erfelijkheid. De gegevens dienen ook nog eens te zijn opgeslagen op Nederlandse bodem.

 

Onverenigbare belangen
Deze wetten staan haaks op het verdienmodel van WhatsApp. WhatsApp is van Facebook en Facebook verdient geld door de verkoop van informatie aan adverteerders. De WBGO stelt dat patiënten moeten goedkeuren dat een arts toegang krijgt tot bepaalde informatie. Wanneer je WhatsApp gebruikt krijgt Facebook toegang tot je gegevens. Sterker nog: ze zijn eigenaar van jouw informatie. De inhoud is dan wel versleuteld, maar niet de metadata. Dat wil zeggen: Facebook registreert het wél als je bijvoorbeeld wekelijks contact met je huisarts en psycholoog hebt. Het is dan duidelijk dat je behoefte hebt aan psychologische ondersteuning, wat heel interessant is voor bepaalde bedrijven.

De Wet Bescherming Persoonsgegevens verbiedt verwerking van bijzondere persoonsgegevens, maar WhatsApp en Facebook hebben juist belang bij die gegevens. Communicatie over medicatie of behandelmethodieken schetsen immers een gedetailleerder beeld van jou, waardoor bedrijven gerichter kunnen adverteren en jouw gegevens meer geld waard zijn.

Ook heb je geen inzicht op de bewaartermijn van informatie in WhatsApp, terwijl je als arts verplicht bent om gegevens 15 jaar te bewaren als eventuele bewijsvoering. Bovendien moet dat op Nederlandse bodem zijn, en niet in Silicon Valley.

 

Samenwerking
De belangen van de zorg stroken niet met die van commerciële partijen als WhatsApp. Om tot een adequate oplossing te komen moeten leveranciers, zorgverleners en de overheid samenwerken. Want alleen samen kom je tot een oplossing die functioneel is én verantwoord. En we moeten accepteren dat een gratis app als WhatsApp daarvoor niet toereikend is. Kwaliteit en beveiliging kost geld, maar zie het als een investering in betere zorg.