Gisteren schreven wij over de algemene eisen voor privacy en informatiebeveiliging die ook tijdens deze crisis gelden. In dit artikel gaan wij in op de vraag welke software veilig gebruikt kan worden voor videoconferenties en videobellen in de zorg. Er is gekeken naar de voorwaarden en maatregelen die verschillende applicaties bieden. Hierbij is onderscheid gemaakt tussen algemene videoconferenties en videobellen met patiënten waarbij diverse medische persoonsgegevens worden besproken.
In het geval van algemene videoconferenties, zoals hoorcollege's en conferenties in de zorg, zullen er vaak geen persoonsgegevens worden besproken, laat staan gegevens uit een medisch dossier. In dat geval gelden er soepeler regels omtrent het gebruik van deze software. Indien een psycholoog bijvoorbeeld een 1-op-1 gesprek wil hebben met een patiënt via videobellen, dan gelden er strengere regels. In het geval er medisch gegevens verwerkt worden, moet vrijwel altijd worden voldaan aan de NEN 7510. Deze norm is vrijwel gelijk aan de ISO 27001 norm, maar gaat specifiek over informatieveiligheid in de zorg en is bovendien wettelijk verplicht voor zorgaanbieders.
De eisen die de NEN 7510 stelt gaan over het garanderen van de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens. Ook kan het zijn dat sommige organisaties aangesloten zijn bij het MedMij. Dit is een initiatief voor persoonlijke gezondheidsomgevingen. Ook hierbij moet voldaan worden aan dezelfde strenge eisen. Daarnaast moet natuurlijk altijd voldaan worden aan de AVG, hoewel dit niet altijd eenvoudig is om van buitenaf vast te stellen.
Indien u als zorginstelling op zoek bent naar mogelijkheden voor bijvoorbeeld videobellen, is het verstandig om te kijken of deze NEN 7510 gecertificeerd is, of bijvoorbeeld meedoet het MedMij initiatief. Hierdoor hoeft u niet zelf na te gaan dat:
- de gegevens worden versleuteld;
- de gegevens niet buiten Europa worden opgeslagen;
- de gegevens na een bepaalde tijd worden verwijderd;
- de organisatie een goed beveiligingsbeleid heeft opgesteld; en
- de organisatie voldoet aan allerlei andere verplichtingen.
Wij hebben gekeken naar een beperkt aantal oplossingen die in en buiten de zorg gebruikt worden.
Zoom
Zoom is software die gemaakt is voor videobellen en videoconferenties in het algemeen. Zoom wordt door een Amerikaans bedrijf ontwikkelt en verwerkt gegevens buiten de EU. Er is sprake van beperkte end-to-end versleuteling. Deze wordt echter niet toegepast op de wijze dat Zoom zelf geen toegang heeft tot de gegevens. Er is derhalve geen sprake van volledige end-to-end versleuteling. Zoom is niet NEN 7510 of ISO 27001 gecertificeerd.
Zoom is derhalve alleen geschikt voor conferenties waarbij er geen persoonsgegevens of bedrijfsgevoelige gegevens worden verwerkt. Daarnaast zijn er bepaalde instellingen die niet bepaald privacy-vriendelijk zijn.1
Skype
Skype is vergelijkbaar met Zoom, in de zin dat er slechts gedeeltelijk end-to-end versleuteling wordt ondersteund, namelijk alleen voor privé-chats. Hoewel eigenaar Microsoft niet NEN 7510 gecertificeerd is, is deze echter wel ISO 27001 gecertificeerd, doch alleen voor de Skype Business versie. In tegenstelling tot Zoom, kan men bij het gebruik van Skype ervoor kiezen om de gegevens binnen Europa te verwerken.
Hoewel Skype nog niet helemaal geschikt lijkt te zijn voor videobellen met een patiënt, kan het wel degelijk gebruikt worden voor bijvoorbeeld algemene videoconferenties. Deze ongeschiktheid volgt echter alleen uit de wettelijke eis dat een organisatie moet voldoen aan de NEN 7510. Praktisch is er echter grote overlap met de ISO 27001, waardoor Skype in de praktijk wellicht voldoet aan de NEN 7510. Het is echter niet duidelijk of Skype volledig voldoet aan de AVG.
Therapieland
Therapieland biedt mogelijkheden tot videobellen en is in Nederland gebaseerd. Het is NEN 7510 gecertificeerd en voldoet daarmee aan alle eisen voor communicatie met de patiënt. Deze oplossing kan derhalve gebruikt worden voor medisch overleg met patiënten en videoconferenties
Zaurus
Zaurus presenteert zichzelf als een digitale spreekkamer. Het is NEN 7510 gecertificeerd. Ook Zaurus kan gebruikt worden voor medisch overleg met patiënten en videoconferenties.
WeSeeDo
WeSeeDo is een oplossing voor videobellen. Het is NEN 7510 gecertificeerd en kan derhalve gebruikt worden voor medisch overleg met patiënten en videoconferenties.
Conclusie
Voor communicatie met de patiënt op afstand wordt Zoom zeer afgeraden. Zoom voldoet niet aan de wettelijke eisen. Ook wordt er niet aangeraden om Skype te gebruiken voor communicatie met de patiënt, al is dit vanwege de formele eis dat een organisatie moet voldoen aan de NEN 7510 en de onduidelijkheid of Skype voldoet aan de AVG. Indien er geen andere oplossingen zijn, kan in noodgevallen Skype gebruikt worden voor communicatie met de patiënt. Skype kan natuurlijk wel gebruikt worden voor videoconferenties in het algemeen.
Oplossingen die echter wel voldoen aan de wet- en regelgeving zijn Therapieland, Zaurus en WeSeeDo. Deze Nederlandse bedrijven zijn allen NEN 7510 gecertificeerd en daarmee kan worden aangenomen dat zij voldoen aan alle wet- en regelgeving met betrekking tot communicatie met een patiënt. Ook kunnen zij gebruikt worden voor videoconferenties in het algemeen. Door de NEN 7510 certificering wordt aangenomen dat deze ook aan de AVG voldoen.
Er zullen natuurlijk meer software-oplossingen beschikbaar zijn die in dit onderzoek niet zijn meegenomen. Daarnaast zijn er diverse andere eisen die nu niet zijn meegenomen, zoals het sluiten van een verwerkersovereenkomst. Wilt u andere software gebruiken dan die wij hebben onderzocht? Let dan op of deze bijvoorbeeld NEN 7510 gecertificeerd is. Ook met onze checklist kunt u er snel achter komen of software in het algemeen veilig is.
U kunt altijd met ons contact opnemen voor vragen over het gebruik van software in de zorg (of daarbuiten) of voor andere vragen omtrent privacy en informatiebeveiliging.