Zorgbrede aanpak voor veiliger mailen

Transcriptie

1 Agendapunt 3.d. Zorgbrede aanpak voor veiliger mailen Aanleiding Met deze notitie stellen wij voor om een zorgbrede strategie uit te voeren die professionals, burgers en zorginstellingen in staat stelt om binnen afzienbare tijd veiliger te en en de komende jaren, zodra geschikte oplossingen beschikbaar komen, stapsgewijs het niveau van beveiliging steeds verder te verhogen. BIJLAGE(N) Bijlagen Bespreekpunt Deelt u de behoefte aan open oplossingen voor veilige mail en bent u bereid om hier aan mee te werken? Toelichting De zorgbrede strategie is gebaseerd op het gebruik van open standaarden en bevat op hoofdlijnen vier componenten: 1. Ontwikkelen van een veldnorm voor veilige , die bijvoorbeeld een verdieping biedt van de NEN De veldnorm beschrijft op een samenhangende en stapsgewijze manier welke standaarden gebruikt moeten worden om naar een optimaal beveiligingsniveau toe te werken. Organisaties als Nictiz en NEN kunnen samenwerken en het zorgveld ondersteunen bij het opstellen van de veldnorm in De verwachting is dat hierbij geput kan worden uit reeds bestaande bronnen en daardoor snel gewerkt kan worden. 2. Parallel hieraan onderzoek naar de mogelijkheden die de open standaarden bieden en de eisen die hun implementatie stelt in tijd, kosten etc. De conclusies hieruit worden gebruikt voor de ontwikkeling van de veldnorm. 3. Een derde activiteit betreft het voeren van gesprekken met IT-leveranciers en mail-providers. Hierbij gaat het om de vraag in hoeverre reguliere mail verder beveiligd kan worden op basis van open standaarden en in hoeverre leveranciers van besloten oplossingen bereid zijn om deze open te stellen. 4. De veldnorm alleen is niet genoeg; hij moet worden geïmplementeerd. Hiervoor moeten diverse opties worden onderzocht. Mogelijke richtingen zijn een zorgbrede Veilige coalitie zoals elders al ingevoerd, of een afsprakenstelsel zoals bij MedMij beoogd. De wijze van implementatie moet begin 2019 helder zijn. Deze aanpak leidt op korte termijn (2018) tot een veldnorm die de basis is voor implementatie en dient als basis voor toetsing door de Autoriteit Persoonsgegevens. Wanneer er overeenstemming is binnen het Informatieberaad zal VWS na de zomer met een verder uitgewerkt voorstel en PvA komen. Achtergronden In de zorg wordt volop gewerkt aan het verbeteren van de samenwerking en de informatie-uitwisseling. De focus ligt daarbij op de inrichting van allerlei vormen van gestructureerde informatie-uitwisseling. Deze benadering ondersteunt professional en burger of cliënt uiteindelijk het beste: informeren van de burger en cliënt, inclusief

2 principes zoals eenmalig registreren en meervoudig gebruiken, en het werken aan eenheid van taal et cetera. Desondanks blijven minder gestructureerde vormen van uitwisseling, zoals , populair. Zij sluiten namelijk aan bij de praktijk van de professional én de cliënt of burger. Wanneer adressen bekend zijn, is de communicatie snel tot stand te brengen. Er kunnen gemakkelijk allerlei bijlagen worden bijgevoegd, afspraken gemaakt worden etc. De verwachting is dat er in de zorg nog lang gebruik van c.q. ongestructureerde uitwisseling wordt gemaakt. De technologie achter is echter niet veilig genoeg voor de uitwisseling van (bijzondere) persoonsgegevens. Zo blijkt dat een groot deel van de datalekken gerelateerd is aan het gebruik van . Dat is niet vreemd, omdat de conventionele -oplossingen weinig waarborgen kennen tegen het maken van fouten en misbruik. Een gewone is te vergelijken met een ansichtkaart die iedereen die hem door de handen gaat kan lezen of zelfs veranderen. Het veiliger maken van wordt steeds urgenter. Zo wordt op 25 mei de Algemene Verordening Gegevensbescherming van kracht. Zoals bekend worden hiermee de eisen ten aanzien van privacybescherming verder aangescherpt. Conventionele , zonder passende technische en organisatorische maatregelen, voldoet niet aan de eisen. Er is op dit moment echter geen zekerheid over de voorwaarden waaronder wél veilig en in lijn met de AVG gebruikt kan worden. Daarom heeft de Autoriteit Persoonsgegevens Nictiz benaderd met het verzoek om met urgentie kaders te ontwikkelen voor veilige op basis van standaarden. Deze kaders zouden zorginstellingen helderheid moeten bieden over te nemen maatregelen en AP zou op basis van dit kader stapsgewijs kunnen toetsen. Dit verzoek van de AP sluit naadloos aan op de vele vragen in het (zorg)veld ten aanzien van veilige . Zo heeft de directie Curatieve zorg aan directie Informatiebeleid gevraagd om een oplossingsrichting voor veilige in het kader van de Wet verplichte GGZ. Veilige mail voor WvGGZ en zorg Dcz is samen met het ministerie van JenV opdrachtgever voor het programma dat de keteninformatievoorziening voor de WvGGZ helpt inrichten. Directie Informatiebeleid/CIO adviseert hierbij. Hert doel van het programma is om veldpartijen (GGZ, Openbaar Ministerie, gemeente, politie etc.) in staat te stellen om per (ingangsdatum van de wet) aan hun wettelijke (informatie)verplichtingen te kunnen voldoen. Eén van de wensen is een oplossing voor veilige mail.

3 De Autoriteit Persoonsgegevens over Hoe kan ik veilig persoonsgegevens via versturen? Aan het verzenden van informatie via zitten risico s. Dus wilt u persoonsgegevens via versturen? Bijvoorbeeld gegevens over uw klanten, burgers of andere relaties? Dan bent u er als organisatie verantwoordelijk voor dat u die gegevens veilig verzendt. U moet voor maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. In de wet staat niet precies omschreven welke maatregelen u moet treffen. Wel dat deze passend moeten zijn. Wij geven u hieronder twee voorbeelden van passende maatregelen. 1. het versleutelen van de persoonsgegevens in een e- mailbijlage; 2. het versleutelen van het verkeer tussen mailservers met behulp van een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn STARTTLS, SPF, DKIM, PGP en S/MIME. Bron: Het programma zou daarbij kunnen kiezen voor een speciale veilige mail-oplossing. Veel van deze producten hebben als nadeel dat zij alleen (beveiligde) mail richting eigen klanten ondersteunen (niet interoperabel, vendor lock in) en richting burgers en cliënten gebruiksonvriendelijk zijn. Deze laatste ontvangen een code en moeten daarmee een portaal van de provider bezoeken. Dergelijke oplossingen remmen de adoptie van veilige 1. VWS heeft daarom een voorkeur voor een oplossingsrichting waarbij wordt ingezet op het gebruik van bekende open standaarden (zie bijlage overzicht Forum) en afspraken. Het doel is daarbij om dicht bij het huidige gebruiksgemak van te blijven voor zowel professionals als burgers. Daarbij zou iedereen, ongeacht het wets- of zorgdomein, veilig met elkaar moeten kunnen en. Wij zouden dus graag zien dat de oplossing niet alleen voor de WvGGZ gaat werken, maar voor de gehele zorg. Door gebruikmaking van internationale open standaarden wordt brede interoperabiliteit bereikt. Dit laatste is van belang vanuit het belang om ook naar nietzorg partijen te kunnen mailen (gemeente, justitie, etc.). Daarbij zou ruimte moeten blijven voor verschillende marktpartijen om als provider op te treden, zonder vendor lock in (level playing field). 1 Veilig omgaan met in de zorg, Nictiz, 2015

4 Voorlopige bevindingen veilige mail WvGGZNaar aanleiding van de behoefte aan veilige is VWS begonnen met een verkenning en heeft daarbij een aantal experts geraadpleegd. Uit de gesprekken en documentatie blijkt dat er rond veilige mail een variëteit aan (deel)oplossingen beschikbaar is en bijbehorende dilemma s zijn. To mail, or not to mail? Dat is inderdaad de kwestie Een aantal experts stelt dat, zelfs wanneer veilig zou zijn, de zorg er toch mee zou moeten stoppen. De redenen die hiervoor genoemd worden zijn bijvoorbeeld dat ook veilige s kunnen worden doorgestuurd: in dat geval zijn logging, gespecificeerde toestemming en het recht om vergeten te worden zeer moeilijk te realiseren. Ook zou veilige de invoering van meer gestructureerde vormen van uitwisseling kunnen remmen. Denk hierbij aan de invoering van PGO s. Daarmee komt bijvoorbeeld eenmalig registreren, meervoudig gebruiken onder druk te staan. Daar tegenover staat de notie dat de zorg waarschijnlijk nog jarenlang een grote behoefte zal hebben aan en ongestructureerde communicatie. End-to-end encryptie: de heilige graal? Volgens de meeste experts is versleuteling en ontsleuteling van de s door verzender en ontvanger, vanuit beveiligingsoogpunt optimaal. De technologie hiervoor bestaat al jaren, maar de adoptie (zeker door burgers) blijft ver achter bij de oorspronkelijke verwachtingen, vanwege de complexiteit van het sleutelbeheer. Om die reden maken leveranciers van veilige mail vaak gebruik van portalen, waarop met codes kan worden ingelogd, om de boodschap te kunnen lezen. Dit is eenrichtingsverkeer, waarop niet door de burger geantwoord kan worden. De meeste experts zijn het er over eens dat versleuteling daarmee sterk ten koste gaat van de gebruiksvriendelijkheid én van de adoptie van veilige mail. Sommigen geven aan dat dit wensbeeld om die reden moet worden losgelaten en dat volstaan kan worden met minder zware vormen van beveiliging. Tegelijkertijd komen er juist nu innovatieve oplossingen op de markt die geautomatiseerd sleutelbeheer mogelijk maken en daarmee de drempel voor deze benadering mogelijk gaan verlagen 2. Biedt dit kansen die binnen afzienbare tijd benut kunnen worden door de zorg? Wat is de scope van veilige ? Een terugkerende discussie betreft het bereik van de beveiliging. Is veilig wanneer het verkeer tussen de providers beveiligd is, of moet ook de werkplek beveiligd zijn? Valt het al dan niet doorsturen van s hier ook onder? Netwerken: vertrouwd of inherent onveilig? Een van de oplossingsrichtingen voor veilige mail is het creëren van besloten netwerken en/of beveiligde verbindingen. Bijvoorbeeld in regionaal of sectoraal verband. Ook zijn er open standaarden die de verbinding (netwerk) tussen providers versleutelen. Het onderling koppelen van deze besloten netwerken kan een 2 Zie bijvoorbeeld

5 oplossing vormen voor uitwisseling tussen domeinen (zoals zorg, gemeenten, justitie e.d.). De meningen zijn verdeeld over de uiteindelijke effectiviteit van deze (deel)oplossingen. Sommigen stellen simpelweg dat ieder netwerk inherent onveilig is, bijvoorbeeld omdat de provider altijd de s op de servers zal kunnen lezen. Tegelijkertijd is er brede consensus dat al deze maatregelen no regret zijn en hoe dan ook bijdragen aan een hoger niveau van veiligheid. De vraag is daarmee in hoeverre de verschillende maatregelen bijdragen aan de beveiliging en hoe zij slim geïmplementeerd kunnen worden, zodat zij tezamen voor een voldoende hoog beveiligingsniveau zorgen. Veilige alleen vóór of ook dóór burgers? Wat ook hun voorkeuren zijn met betrekking tot beveiliging, de experts zijn over het algemeen redelijk optimistisch over de mogelijkheden voor zorginstellingen om de verzending (onderling en richting de burger) veiliger te maken en daarmee aan de AVG te voldoen. De drempels zijn vaak een kwestie van onvoldoende aandacht, bewustzijn en middelen. De kans dat burgers, binnen hun mogelijkheden, ook vergelijkbare stappen zetten achten zij veel lager.

6 Bijlage. Open standaarden Het Forum Standaardisatie stimuleert interoperabiliteit en leveranciersonafhankelijkheid in de publieke sector. Daartoe wordt onder andere een lijst met open standaarden bijgehouden voor digitale gegevensuitwisseling. De publieke sector is verplicht deze standaarden toe te passen, dan wel toe te lichten waarom dit niet het geval is ( pas toe of leg uit principe). Daarnaast zijn er aanbevolen standaarden. Ter illustratie: voor wat betreft zijn onder meer de volgende relevante open standaarden op de lijst opgenomen. De met * gemarkeerde standaarden zijn aanbevolen. Naam Omschrijving DKIM Anti-phishing DNSSEC Domeinnaam-beveiliging IPv6/IPv4 Internetnummers SPF Anti-phishing STARTTLS/DANE Beveiligd mailverkeer TLS Veilige verbinding IMAP* synchronisatie MIME* opmaak SMTP* Versturen van X509* Authenticatie (PKI certificaten) Meer informatie: