Een medewerker van een gemeentelijk sociaal team vraagt mij als arts om medische gegevens over een patiënt per e-mail naar hem te versturen. Ik krijg wel vaker, ook van andere instanties, verzoeken om gegevens over mijn patiënten te mailen. Mag dat wel volgens de privacywet AVG?
U mag alleen medische gegevens per e-mail versturen als dat op een beveiligde wijze gebeurt. Dit kan bijvoorbeeld door het document met de medische gegevens te versleutelen en het wachtwoord via een ander medium, zoals sms, te versturen. Ook kunt u gebruikmaken van beveiligde e-mailtoepassingen zoals Zorgmail, of van een online portaal waarbij toegang via meerdere stappen plaatsvindt (multifactor-authenticatie). Daarnaast moet u, voordat u de medische gegevens per e-mail naar een ander verzendt, controleren of deze persoon de gegevens mag ontvangen.
Er bestaat geen wettelijke bepaling voor het uitwisselen van medische gegevens per e-mail, ook niet in de Algemene verordening gegevensbescherming (AVG). Uit de algemeen geformuleerde regels over de omgang met medische gegevens volgt dat een hulpverlener medische gegevens die tot patiënten herleidbaar zijn, alleen per e-mail mag versturen als deze voldoende beveiligd zijn.
Voordat u de medische gegevens per e-mail naar een ander verzendt, moet eerst vaststaan dat de ontvanger deze gegevens mag ontvangen. Vanwege het beroepsgeheim mag u als arts immers niet zomaar medische gegevens aan derden verstrekken. Lees hier meer over in de KNMG-richtlijn Omgaan met medische gegevens.
Als u heeft vastgesteld dat u de medische gegevens aan de betreffende persoon mag verstrekken, is de volgende stap om te bekijken of dat via e-mail kan. Bij verzending via e-mail bestaat het risico dat de gegevens bij onbevoegden terechtkomen. Gebruikt u bijvoorbeeld Gmail, dan heeft Google toegang tot de vertrouwelijke patiëntinformatie in uw e-mailberichten. Ook kan medisch-inhoudelijke informatie worden afgeleid uit het feit dat er vanuit of naar een bepaald e-mailadres is gecommuniceerd (denk aan psychiater@psychiater.nl).
U moet daarom vooraf een risico-inschatting maken. Daarbij verdient het de voorkeur om de gegevens versleuteld te versturen. Om veilig te kunnen e-mailen zijn systemen beschikbaar zoals Zivver en ZorgMail.
Het is niet zo dat patiëntgegevens nooit per e-mail mogen worden verstrekt. Wel adviseren wij om daarbij de volgende tips in het oog te houden (in navolging van de AVG Helpdesk Zorg en Welzijn):
1. Vergroot bij uzelf en uw collega’s/medewerkers het bewustzijn van de risico’s van e-mail en de regels voor een veilig gebruik daarvan. Belangrijke regels zijn:
Beperk zo veel mogelijk het gebruik van gevoelige persoonsgegevens in de tekst van de mail zelf.
Stuur geen bijlagen mee waar gevoelige persoonsgegevens in staan.
Dubbelcheck altijd de geadresseerde voordat u op ‘verzenden’ klikt.
Vraag de ontvanger om een bevestiging van ontvangst. Dan ontdekt u het sneller als het onverhoopt toch is misgegaan.
Maak duidelijke afspraken over wat te doen bij malware of phishing.
Als er een collega weggaat uit uw praktijk, hef diens e-mailadres dan op.
Als een collega tijdelijk uw praktijk komt versterken, regel dan goed welke autorisaties hij krijgt.
2. Gebruik alleen gewone e-mail als er in uw mail (of de bijlage) geen vertrouwelijke persoonsgegevens staan, zoals patiëntgegevens. Gebruik anders beveiligde e-mail.
3. Wilt u informatie uitwisselen binnen uw eigen instelling?
Zet in uw mail dan een link naar het bestand in plaats van het bestand zelf mee te sturen.
4. Wilt u informatie uitwisselen met andere partijen (zoals andere zorginstellingen, leveranciers, gemeenten)? Volg dan deze tips:
Stuur geen onbeveiligde bijlagen mee, maar versleutel het bestand dat u meestuurt. Dat kan eenvoudig via 7-Zip. Verstuur daarna het wachtwoord van het bestand via een ander medium, zoals sms of WhatsApp.
Informeer bij andere instellingen of zij al gebruikmaken van beveiligde mailverbindingen en sluit waar mogelijk aan. Gebruik bijvoorbeeld Zorgmail, Voltage of Zivver.
Gebruik een online portaal dat met multifactor-authenticatie is ingericht. Dit houdt in dat u alleen toegang krijgt met uw naam en wachtwoord plus een derde kenmerk, bijvoorbeeld een token of een sms-code (zoals bij online bankieren).
5. Wilt u informatie uitwisselen met cliënten of patiënten? Dan moet u zich houden aan de norm van de Autoriteit Persoonsgegevens voor het e-mailverkeer tussen arts en patiënt. Op grond daarvan mag u alleen met uw patiënt mailen als u ervoor heeft gezorgd dat:
de persoonsgegevens in bijlagen bij uw e-mailberichten versleuteld zijn;
het e-mailverkeer tussen mailservers versleuteld is met één of meer moderne internetstandaard(en). Voorbeelden daarvan zijn DANE, DKIM, PGP, S/MIME, SPF en STARTTLS. Ook kunt u kiezen voor beveiligde mailprogramma’s zoals Voltage of Zivver.
6. Wil de patiënt u mailen met gevoelige gegevens in een bijlage?
Attendeer de patiënt dan op de mogelijkheid om een dergelijk document te versleutelen (via 7-Zip). En vraag hem om het wachtwoord van het document via een ander medium, zoals sms of WhatsApp, aan u te versturen.
AVG-Helpdesk voor Zorg, Welzijn en Sport: Email: om bijzondere/gevoelige persoonsgegevens te delen
Autoriteit Persoonsgegevens: Hoe kan ik veilig persoonsgegevens via e-mail versturen?