Handreiking gebruik online platformen voor thuiswerken in de zorg
Versie 13-4-2020
1. Inleiding
We blijven (zo veilig mogelijk) vanuit huis doorwerken tijdens de coronacrisis. Er zijn veel middelen beschikbaar om te chatten, te beeldbellen, of anderszins te communiceren met collega’s en klanten. Het maakt daarbij uit waar deze applicaties voor gebruikt worden, privé, zakelijk of voor vergaderingen waarbij gevoelige gegevens worden besproken, zoals in de zorg. In deze handreiking geven we je tips om voornamelijk voor zorgtoepassingen veilig vanuit huis te communiceren. Naast een checklist met aspecten waarop je kunt letten, hebben we de meest gebruikte applicaties voor de zorg ook beoordeeld aan de hand van deze aandachtspunten. Zo kun jij een goede keuze maken. Staat jouw applicatie er niet tussen? Laat het weten via hallo@privacy1.nl. Heb je een (andere) privacy- of securityvraag, neem dan ook gerust contact op. Bellen mag ook op 050-2113424 (Privacy1, Groningen) 2. Checklist online platformen
Er zijn een aantal aspecten die vrij eenvoudig te checken zijn en die aangeven hoe de leverancier met de privacy- en security van gebruikers omgaat. Van belang is onder andere waar de leverancier gevestigd is (binnen of buiten de EU), welke rol zij innemen ten aanzien van de gegevens (verwerker of verantwoordelijke), of het een algemeen product is of gericht op de zorg en hoe de gegevens worden beveiligd (bijvoorbeeld door gebruik te maken van encryptie/ versleuteling). Voor de zorg is de naleving van de NEN7510 (de norm voor informatiebeveiliging voor de zorg) van belang. Uiteraard dient de leverancier daarover transparant te zijn, door te omschrijven wat zij met de gegevens doen en voor welke doelen (adverteren, verstrekken aan derden etc.). Deze checklist bevat weliswaar niet alle
aandachtspunten vanuit privacy- en security oogpunt, maar geeft wel een bepaalde indicatie. De Algemene Verordening Gegevensbescherming (die sinds 25 mei 2018 van toepassing is) zorgde voor een hoog niveau van gegevensbescherming in Europa. Voor de zorg gelden ook de regels uit de Wet geneeskundige behandelingsovereenkomst, waarin onder andere het medisch beroepsgeheim is geregeld.
A. Waar worden de gegevens opgeslagen?
Als gegevens worden opgeslagen buiten de EU zullen door leveranciers aanvullende maatregelen moeten worden genomen, omdat we ervan uitgaan dat in die landen een minder hoog beveiligingsniveau geldt. Voor Amerikaanse leveranciers betekent dit dat zij zich kunnen certificeren met het zogenaamde ‘Privacy Shield’-certificaat.
Met leveranciers die dit certificaat (actief) voeren kunnen dezelfde overeenkomsten worden aangegaan als met leveranciers binnen de EU. Ook kan een leverancier ervoor kiezen de gegevens in een Europees datacentrum op te slaan.
In de bijgevoegde tabel vind je een lijst van platformen, waarbij is aangegeven waar de gegevens zijn opgeslagen, en indien dat in de V.S. is, of zij zich conformeren aan het Privacy Shield.
B. Wat is de rol van de leverancier?
Er dient een onderscheid te worden gemaakt tussen de gegevens:
en om een account te configureren en
- de gegevens die tussen gebruikers worden uitgewisseld.
Van de gegevens die nodig zijn om de dienst te leveren is de leverancier de
verantwoordelijke. Van de gegevens die door gebruikers worden uitgewisseld zijn de gebruikers verantwoordelijke. Indien er als bedrijf gebruik gemaakt wordt van de dienst dan zal deze een verwerkersovereenkomst af moeten sluiten met de leverancier. Voor consumenten die gebruik maken van de applicatie voor
persoonlijke of huishoudelijke doeleinden ligt dit anders, de AVG geldt alleen voor verwerkingsverantwoordelijken (of verwerkers) die de middelen verschaffen voor de verwerking van persoonsgegevens voor persoonlijke of huishoudelijke activiteiten en dus niet de consumenten zelf. Een verwerkersovereenkomst tussen een zakelijke gebruiker en een leverancier kan tot stand komen doordat de -door de leverancier getekende- overeenkomst geaccepteerd dient te worden door de gebruiker. In het overzicht is aangegeven welke rol de leverancier zich heeft toebedeeld en welke een verwerkersovereenkomst in hun aanmeldproces hebben opgenomen. Als je als (of namens) een bedrijf een applicatie gaat aanschaffen zal er dus een
verwerkersovereenkomst afgesloten moeten worden. We gaan ervan dat jij de applicatie voor zakelijke doeleinden inzet, daarbij is het dus verstandig om een applicatie te kiezen die als verwerker optreedt voor de gegevens die je met anderen uitwisselt.
C. Algemeen of voor de zorg?
Skype, MS Teams en Zoom zijn voorbeelden van algemene toepassingen, zij richten zich niet specifiek op de zorg. Beter Dichtbij, Webcamconsult, FaceTalk, Zaurus, Quli en WeSeeDo zijn voorbeelden van videobeltoepassingen die zich specifiek richten op de zorg.
Gratis of betaald?
De meeste gratis diensten zijn gericht zijn op persoonlijk/ huishoudelijk gebruik en de betaalde diensten voor zakelijk/ professioneel gebruik. Naast het feit dat de betaalde versies meer toepassingen hebben en voor grotere groepen geschikt zijn, is het vaak ook zo dat de betaalde diensten beter beveiligd zijn er minder gegevens voor
commerciële doelen worden ingezet. Zo bleek ook uit onze analyse. Het
verdienmodel van een professionele/ zakelijke oplossing is namelijk wezenlijk anders bij een gratis dienst, daar zal de leverancier het vaak moeten hebben van de
Open Source
Voor wat betreft Open Source-applicaties betekent dit de code door iedereen aangepast (verbeterd) kan worden. Een moderne manier van samen tools
ontwikkelen. Daarnaast is het transparant (vooral voor de techneuten onder ons) hoe de beveiliging is geregeld. Dit neemt echter niet weg dat ook deze applicaties zich moeten houden aan de AVG.
E. Beveiliging
Er dient een onderscheid gemaakt te worden tussen de beveiliging van de gegevens die de leverancier nodig heeft om de dienst te kunnen leveren en de gegevens die tussen gebruikers ‘over de lijn’ gaan. De leverancier dient daarover transparant te zijn over wie toegang heeft tot welke gegevens (autorisatie). In het overzicht zie je dat dit punt bij geen enkele leverancier duidelijk naar voren komt. Op zich wel voorstelbaar, aangezien het openbaren van de beveiligingsmaatregelen ook weer risico’s met zich meebrengt, maar daar is vast wel een creatieve oplossing voor te vinden.
Versleutelen van gegevens/ verkeer
Bepaalde applicaties versleutelen (encrypten) de gegevens (alleen) tussen de
gebruikers. Dat betekent dat ze door onbevoegde derden niet zo makkelijk afgetapt kunnen worden, maar de leverancier er wel toegang toe kan hebben. Versleuteling of encryptie kan ook toegepast worden op de opslag van de gegevens, dat is end-to- end-encryptie. End-to-end encryptie met lokale opslag geeft dus de beste
waarborgen tegen onrechtmatige toegang. In het overzicht geven we aan welke applicaties van welke soort encryptie gebruik maken.
F. Verstrekkingen aan derden
Het moet duidelijk zijn wat er met de gegevens van gebruikers (zowel de
accountgegevens als de communicatiegegevens) gebeurt. Kunnen deze worden gedeeld met andere partijen? En voor wel doel? Dit staat vaak in de
privacyverklaring. Ondanks dat een privacyverklaring er goed en volledig uit kan zien, klopt dit beeld niet altijd bij de praktijk. Zoom is daar een goed voorbeeld van. Zie daarvoor onze blog over Zoom. Testen blijft dus belangrijk! De in de lijst opgenomen informatie komt uit de privacyverklaring en kan dus in werkelijkheid anders zijn. We houden de actualiteiten voor je in de gaten.
3. Overzicht applicaties
Applicatie Locatie (EU/ VS) On premise?
Lokale opslag (i.p.v. cloud)
End-to-end
encryptie? NEN7510? Geschikt voor de zorg?
Skype (for
business) Ö X X Optioneel
ISO 27001 X
MS Teams
(Office 365) Ö X X Optioneel
ISO 27001 X
Google Hangouts (Gratis)
Meet
Optioneel (GCP) X X X
ISO 27001
X
Zoom Ö
(betaalde versie) Ö
(betaalde versie)
X X X
Jitsi
(gratis, open
source) Optioneel (AWS) Ö X X X
GoToMeeting X X Ö X X
Applicatie Locatie (EU/ VS) On premise?
Lokale opslag (i.p.v. cloud)
End-to-end
encryptie? NEN7510? Geschikt voor de zorg?
FaceTalk
(QConferencing) ? X X X
HL7 nodig
X
Quli ? X X Ö
(+MedMij)
X WeSeeDo
(Pharmeon) Ö Ö X Ö Ö
(niet voor groepen)
Zaurus Optioneel (AWS) X X Ö X
Jami
(open source) Ö Ö Ö
(eigen sleutelbeheer)
X Ö
Wickr
(open source) Ö Ö
VPN Ö X Ö
Wire
(open source) Ö X Ö X X
Toelichting
Ondanks dat applicaties die specifiek voor de zorg zijn ontwikkeld en aan de norm voor informatiebeveiliging in de zorg (NEN7510) voldoen, lijken deze niet altijd even geschikt te zijn voor het bespreken van gevoelige gegevens. Algemene applicaties die niet aan de NEN7510 voldoen, maar wel aan de ISO 27001 (waarop de NEN7510 is gebaseerd) kunnen goed scoren op de aspecten ‘lokale opslag’ en ‘end-to-end-encryptie’.
Bij de combinatie ‘lokale opslag’ en ‘end-to-end-encryptie’ is het bijna onmogelijk dat er tijdens de verbinding, maar ook door leveranciers, risico’s op onrechtmatige toegang ontstaat. Vandaar dat applicaties die deze combinatie hanteren, boven de NEN7510 uitkomen.
4. Tips voor veilig vanuit huis werken
Een goede applicatie kiezen is belangrijk, daarnaast zijn er andere zaken van belang. Vanuit het Nationaal Cyber Security Centrum (NCSC) en de Autoriteit Persoonsgegevens zijn tips opgesteld voor het veilig vanuit huis werken.
A. Werk in een beveiligde omgeving
Werk uitsluitend in een beveiligde thuiswerkomgeving, als dat mogelijk is en wordt gefaciliteerd door je werkgever/ opdrachtgever. Log thuis in op de server van uw organisatie, zodat u hetzelfde scherm te zien krijgt als op kantoor. Gebruik hiervoor als dat kan apparatuur (laptop of tablet bijvoorbeeld) die uw organisatie u heeft verschaft.
Heeft u geen beveiligde thuiswerkomgeving? Overleg dan met je werkgever/
opdrachtgever over hoe u veilig werkt.
B. Let op met gevoelige gegevens
Wees net als altijd extra voorzichtig met bijzondere persoonsgegevens. Denk hierbij aan medische gegevens of gegevens waaruit iemands etnische afkomst, seksuele voorkeur of religie af te leiden is. De volgende maatregelen kunnen hierbij in acht genomen worden:
- Maak voor gesprekken waarin u gevoelige gegevens bespreekt bij voorkeur gebruik van de beschikbare veilige communicatiemiddelen. Dat is allereerst de telefoon.
- Zorg daarbij dat u zo min mogelijk gevoelige gegevens bespreekt. Noem bijvoorbeeld geen namen, maar gebruik in plaats daarvan zaken als agendanummering of patiëntennummers.
- Wis in ieder geval na elk gesprek de chathistorie. En denk eraan dat u checkt of de app die u gebruikt uw berichten versleuteld verzendt. Beveilig uw internetverbinding met een sterk wachtwoord.
- Staan gevoelige documenten niet op de server, maar alleen op een usb-stick of op papier? Zorg er dan voor dat ze op de server van uw organisatie komen te staan.
- Papieren documenten kunt u op kantoor inscannen om ze daarna op de server te zetten. Of neem, als dit niet kan, de gegevens op een usb-stick mee. Zorg er dan wel voor dat u de gegevens op de usb-stick versleutelt. Dit geldt bijvoorbeeld voor lijsten met adressen van uw klanten, maar al helemaal voor gevoelige informatie.
Bijvoorbeeld over religie, etniciteit of gezondheid. U kunt papieren dossiers of een
vul geen gegevens in. Houd hier de komende tijd rekening mee. Krijgt u zo’n mail binnen? Meld het dan bij de ICT-afdeling van de werkgever/ opdrachtgever. Een voorbeeld is de malafide app ‘COVID19 Tracker’. Deze app installeert de CovidLock ransomware op apparaten met het Android besturingssysteem.
5. Voor ICT-afdelingen van organisaties
Zorg voor de benodigde (netwerk-)capaciteit om het grotere aantal thuiswerkers te kunnen bedienen. Denk hierbij zowel aan de IT-infrastructuur als aan de telecominfrastructuur. De volgende maatregelen kunnen hierbij in acht genomen worden:
• Maak een beoordeling welke medewerkers op kantoor aanwezig dienen te zijn voor de ondersteuning van de IT-voorzieningen die nodig zijn voor thuiswerken.
• Bedenk welke aanpassingen mogelijk nodig zijn voor uw incident respons plannen bij een beperkte aanwezigheid van medewerkers.
• Dwing het gebruik van een veilige verbinding naar het bedrijfsnetwerk af met bijvoorbeeld met een Virtual Private Network (VPN) of andere veilige
thuiswerkoplossing.
• Zorg dat thuiswerkmogelijkheden getest en geüpdatet zijn.
• Stel eventueel extra monitoring in op uw applicaties die kritiek zijn voor thuiswerken.
• Maak zoveel mogelijk gebruik van multifactorauthenticatie (MFA) voor toegang tot uw bedrijfsnetwerk en dwing sterke wachtwoorden af.
• Installeer de meest recente updates voor hard- en software.
• Maak uw medewerkers bewust van phishing omtrent COVID-19/ het coronavirus en dat bekend is hoe zij dit moeten melden. Houd rekening met een mogelijke toename van meldingen omtrent phishingmails en valse e-mails.
• Zorg dat uw organisatierichtlijnen up-to-date zijn en bekend zijn bij de medewerkers omtrent informatiebeveiliging inclusief het (thuis)gebruik van hard- en software en het eventuele gebruik van privé IT-voorzieningen.
