E-mail is 40 jaar oud en niet ontworpen om over een publiekelijk wereldwijd netwerk te versturen.

Gevoelige data zomaar via e-mail versturen is echt not-done.

Je zal die e-mail moeten beveiligen met S/MIME of PGP. Zo kun je gevoelige inhoud en/of bijlagen versleutelen en/of onderteken. Dit maakt phishing kansloos en het per ongeluk versturen naar een verkeerd adres geeft bijna geen consequenties; de inhoud zal onleesbaar zijn. Het is een laag bovenop e-mail dus er veranderd voor de gebruiker bijna niets maar wel is de e-mail over de gehele keten beveiligd.

Veel succes met het verzoek indienen bij de IT leverancier. Vaak vinden ze het te ingewikkeld om te implementeren en komen ze met nutteloze webportals die niets toevoegen dan nog meer beveiligingsrisico's.

Beste Hans246,

De verruiming van de bij ons geldende mores is in feite ingezet door een verruimd "meekijk" beleid op onze geldelijke transacties bij voorbeeld, voorgesteld door de Europese Unie. Zo mogen meer partijen meekijken 'over de digitale schouder' a.h.w. bij onze bank-transacties bij voorbeeld en nu dus ook bij de aanvragen van de medicus, zoals u aangeeft.

Het behoort bij het afkalven van ons privacy begrip onder andere door al in het buitenland geldende ruimere "zeden". Wij delen niet zo graag onze inkomensgegevens, terwijl bij voorbeeld een Amerikaan er veel minder moeite mee heeft dit te doen.

Tegenwoordig weet de belastingdienst tot op de cent wat u op uw bankrekening hebt staan, het is van te voren voor u ingevuld ten behoeve van uw belastingaangifte.

Edoch, medisch geheim niet delen met het internet is uw goed recht en dat van uw patiënten. Dat jongeren dat recht niet meer zo belangrijk en vanzelfsprekend achten, is hun zaak. Ze mogen wellicht dwalen in dat opzicht.

Men ziet deze verruiming op elk terrein. Vloeken voor bepaalde politieke partijen geen probleem, terwijl toch eigenlijk iedereen met een beetje respect voor de ander "vuile praat" moet tegenstaan. Niet de dwingelandij van de meerderheid, die dat door wil drussen, moet leidend zijn, maar de vrijheid van een ieder, die niet "schuren" wil met die van de ander.

Fijn dat men deze problematiek hier aan de orde stelt. Met "wat gemakkelijk is" , zijn een heleboel fouten en misstanden de wereld binnen geholpen. Ze weer kwijtraken wordt dan wat moeilijker. Een variant op de bekende spreuk zegt: "misstanden komen te paard en gaan meestal te voet".

Jodocus Oyevaer

Neem hierover contact op met uw huisartsen organisatie. De sectie van uw huisartsen organisatie die zich specifiek met informatiebeveiliging in de huisartsen praktijk bezighoudt, moet u hierop een pasklare ICT-oplossing kunnen aanreiken. Of u in ieder geval door kunnen verwijzen naar een hierin gespecialiseerde ICT firma die dat voor u kan aanpakken.

Wat betreft uw vraag, grofweg komt de wetgeving hier op neer:

Het per email versturen van niet-versleutelde medische gegevens wordt thans aangemerkt als ernstig laakbaar gedrag, een overtreding die thans op een berisping van het medisch tuchtcollege kan leiden.

Ook de verzekeraar gaat daarmee in de fout en kan bestraft worden. Zij dient namelijk de nodige bescherming te bieden aan zowel de wijze van ontvangt als de manier van verwerking van de ontvangen medische gegevens.

Het communicatie kanaal waarmee een email wordt verzonden is namelijk niet-versteuteld. Een email met bijlagen die niet met GnuPG of met S/MIME encryptie is versleuteld, kan bij onderschepping dus door derden worden gelezen.

De Algemene verordening gegevensbescherming (AVG) treed m.i.v. 25 mei 2018 in werking, waarna er sprake is van een strafbaar feit in geval van het op onjuiste wijze versturen van digitale medische gegevens.

Op grond van de AVG moet u een verwerkersovereenkomst afsluiten met partijen die gegevens uit uw praktijk opslaan, verwerken en/of bewerken. Deze moet aan de AVG en aan de eisen die de Autoriteit Persoonsgegevens daaraan stelt.

Daarnaast blijven tevens de eisen uit de Wet bescherming persoonsgegevens bestaan, waaraan eveneens zowel door de verzekeraar als door de hulpverlener voldaan moet worden.

Informatiebeveiliging in de huisartsenzorg
https://www.lhv.nl/uw-praktijk/ict/informatiebeveiliging-de-huisartsenzorg

Algemene Verordening Gegevensbescherming (AVG)
https://www.lhv.nl/actueel/dossiers/privacywet-avg

NHG-PraktijkWijzer Informatiebeveiliging (medio 2018 nieuwe publicatie)
https://www.nhg.org/themas/publicaties/informatiebeveiliging

Indien u vragen of opmerkingen hebt over informatiebeveiliging kunt u contact opnemen de NHG-sectie automatisering.

Die vele artsen die "dit gewoon doen", zonder medeweten van de patiënt, schenden die artsen niet hun beroepsgeheim hiermee? Door het versturen van medische gegevens via onbeveiligde e-mail, deel je deze gegevens namelijk met de beheerders van de tussenliggende systemen in de keten, bijvoorbeeld met de beheerders van de tussenliggende SMTP servers... Wil je dat niet dan zul je een end-to-end beveiligingslaag op de e-mail moeten toepassen, hier bestaan een 2-tal standaarden voor: een werkt met certificaten bij een domeinnaam en de ander werkt met publieke sleutels je je gewoon per e-mail kan versturen (en bij een afspraak kan verifiëren).

Waardeloos.

Kijk, op zich is email een prima middel om een berichtje te sturen. Maar het is niet beveiligd. Dat zou best kunnen, maar dat moet je dat wel even doen. Zolang je dat niet doet is email het equivalent van een postkaart zonder enveloppe.

Zoals ook onder de meest recente juridische vraag betoogd: Als je wil "automatiseren", "digitaliseren", "digitaal transformeren", of wat ook, dan moet je wél weten wat je doet. En dan kom je er al snel achter dat je niet zo maar even kan "kostenbesparen". Dan merk je namelijk dat er nog verdomde veel hard werk verricht moet worden om het ook goed te doen. Dus wat er nu uit naam van "kostenbesparingen" wordt doorgedrukt, gaat nog jaren van dure ellende opleveren.

Papier gebruiken blijft daarom voorlopig de beste optie. Niet omdat het zoveel veiliger is, want met de privatisering van de posterijen zijn postbezorgers geen ambtenaren meer. Dat waren ze wel omdat ze betrouwbaar moesten zijn. Tsja. Maar wel omdat er wettelijke bescherming voor bestaat (terzijde: Email wordt daar ook onder gefrommeld maar handhaven is absoluut een verloren zaak), en vooral omdat de meeste mensen wel zo'n beetje snappen wat er aan het handje is als je papieren documenten rondstuurt. Bij "electronisch" weten de meeste mensen absoluut niet wat ze aan het doen zijn, en kunnen dus ook de consequenties niet overzien.

Dus papier is per saldo nog altijd veiliger, al was het maar omdat het met een beetje respect behandeld wordt, het flitst ook niet zo makkelijk even een verkeerde lijst op en dus tienduizenden verkeerde inboxen in, bijvoorbeeld, en je hoeft er maar een enkel groot datalek mee te voorkomen en het is goedkoper en beter voor je reputatie.

Het probleem is dus niet zozeer dat er met electronen gesmeten wordt. Het probleem is dat de benodigde kennis en kunde en infrastructuur om dat veilig te doen, volstrekt afwezig is. Er wordt dus gewoon te makkelijk mee en over gedaan.

Standaard is e-mail niet end-to-end versleuteld en daarmee ongeschikt voor het verzenden van vertrouwelijke informatie.

End-to-end versleuteling is mogelijk bij e-mail, maar er bestaat bij mijn weten geen eenvoudige en betrouwbare methode voor het vaststellen van de identiteit van de beoogde ontvanger (tenzij je deze persoonlijk ontmoet). En dat maakt ook versleutelde e-mail ongeschikt voor dit doel (en dat is precies de reden waarom de overheid, maar ook private organisaties, "berichtenboxen" inrichten voor vertrouwelijk communicatie met burgers/klanten).

En zou dit allemaal goed geregeld zijn, dan is e-mail ook nog eens ongeschikt voor het uitwissen van grote bestanden (elke partij kiest zijn eigen limiet, daar bestaat geen standaard voor). Dat kan problematisch zijn bij gescande informatie of foto's (indien van toepassing - wellicht niet voor artsen, maar wel voor particulieren die verplicht digitaal met verzekeringsmaatschappijen moeten communiceren).

Als een verzekeringsmaatschappij persé informatie digitaal wil ontvangen, vind ik dat zij een website met een EV certificaat hoort in te richten waar u (maar ook hun klanten) de betreffende informatie kunt uploaden. U doet er dan erg verstandig aan te dubbel-checken dat de betreffende website (domeinnaam, het deel tussen "https://" en de eerstvolgende "/") daadwerkelijk toebehoort aan de betreffende verzekeraar, bijv. telefonisch met een nummer niet afkomstig van die website zelf) voordat u uploadt. Mocht u e-mails ontvangen waarin staat op welke site u dient te uploaden (of een wijziging daarin), dubbel-check de echtheid van zo'n e-mail altijd door een voor u reeds bekend nummer te bellen (gebruik nooit informatie uit de e-mail zelf, noch uit de website(s) waar de e-mail naar verwijst, ter verificatie).

En in de nieuwe sleepwet is ook de electronische communicatie tussen arts en patient niet meer veilig.

Huisarts maakt dezelfde fout die wij allemaal maken.

Hij heeft het over 'normale e-mail' die naar info@xxxx.nl wordt verstuurd,en denkt dat dit grote privacy issues kan geven.
Vroeger stuurde hij gevoelige data per antwoord-enveloppe.

Hoe vaak heeft huisarts die problemen gehad met gewone e-mail icm info@xxxx.nl ?
ik denk persoonlijk : zelden of nooit.
Hoe vaak hebben dienstverleners problemen met gewone e-mail die door derden misbruikt wordt ?
Ik durf te stellen :zelden of nooit.
Welke zekerheid biedt het versturen van persoonsdata per antwoord-enveloppe ?
Ik denk,dezelfde als versturen per normale e-mail.
Biedt een beveiligd protocol (versleuteling)meer zekerheid ?
Ja en Nee. Versleuteling is veiliger,maar daarmee is alles gezegd. Niemand kan garanderen dat daarna
persoonsdata alsnog misbruikt wordt door > derden !!!

Is versturen van data per normale e-mail,anno 2018, nog wel verantwoordt ?
Ik zeg hardop : JA . een huisarts kan gewoon gevoelige data versturen naar info@xxxxx.nl !!
Zij die anders beweren,daag ik uit met al die voorbeelden te komen van familie of vrienden,
waarbij een huisarts of andere dienstverlener voor privacy-problemen zorgde...nadat hij persoonsdata
verstuurde per gewone e-mail naar een verzekeraar @ info.xxxx.nl

'Medische gegevens vanaf volgend jaar op eigen computer beheren'

Het wordt voor iedereen mogelijk om zijn persoonlijke medische gegevens in eigen beheer te krijgen. Mensen kunnen vervolgens zelf kiezen om die informatie te delen met zorgverleners.
Dat stelt minister Bruno Bruins voor Medische Zorg in een interview met de Volkskrant.

Jammer dat topicopener "huisarts?" niet gewoon refereert aan bovenstaand artikel,en probeert meningen uit te lokken dmv
een kulverhaal over " normale email".

Wij ondervinden nooit problemen met zenden v. data (in ons geval specifieke klantendata) per normale mail.
En gevallen van Privacy compromising hebben wij de afgelopen 12 jaar nooit ervaren.
Het enige issue is de traagheid waarmee ontvangers reageren of soms een storing.
Beetje nontopic als je het mij vraagt. ook beveiligde email is zo zwak als de laatste schakel.

Veel medische bedrijven zijn aangesloten bij zorgmail, welke er voor zorgt dat Email tussen de medische bedrijven veilig aangeboden wordt.
http://zorgmail.nl/

Daar naast zijn er mooie richtlijnen https://www.knmg.nl/advies-richtlijnen/artseninfolijn/praktijkdilemmas-1/praktijkdilemma/uitwisseling-medische-gegevens-per-e-mail.htm

Klinkt mooi maar ik word er vooral moe van. Nou moet ik dus naar de winkel rennen en een computer aanschaffen die die supergoede zelfgebouwde encryptie kan bijhouden, mocht ik ziek worden of voor het geval ik eventueel ziek zou worden. Maar ik heb toch al een computer/smartphone/smart tv/tablet/wat ik ook gebruik om dit te schrijven? Ja, nouja, daar draait iets van mijn keuze op, niet iets waar de overheid poppetjes voor inhuurt om dure software voor te schrijven.

Doe me dan maar gewoon een stapel papier, die hoef ik niet voortdurend te "updaten", zelfs niet automatisch.

In de grondwet staat dat e-mail verkeer niet onder het briefgeheim valt.

https://www.denederlandsegrondwet.nl/9353000/1/j9vvihlf299q0sr/vkjaj9cwlszu

De overheid kan zo eenvoudig aan dosier opbouw doen met gegevens gezonden via de e-mail. Versleuteling tussen e-mail servers zou nu standaard moeten zijn. Daarnaast kan binnenkort ook eenvoudig een end-to-end versleuteling gebruikt worden en chat (delta.chat) mogelijkheden alles via de e-mail structuur.

En door de sleepwet kan het dus gebeuren dat je criminele buurman getapt wordt en jouw medische gegevens gedeeld worden met het buitenland.

W e z i j n h e l e m a a l v a n d e p o t g e r u k t !!!!!

Niet doen, tenzij er gebruik gemaakt wordt van end-to-end encryption. Deze bedrijven moeten ook snappen dat het helemaal niet toegestaan is om dergelijke informatie plain text via email heen en weer te sturen. En dat dit onnodige risico's met zich meebrengt. Voor de patient, voor de arts, en voor het bedrijf zelf (imago schade?).

Absoluut, en deze verzekeraars moeten heel goed na gaan denken over de vraag waar zij mee bezig zijn. Dat veel artsen hier geen punt van maken, wil niet zeggen dat het is toegestaan. En zeker na de AVG kan dit hoge boetes tot gevolg hebben.


Een nogal onzorgvuldige manier van werken, welke per definitie de privacy in gevaar brengt. Daarnaast een binnenkort iig illegale manier van werken, waarbij je hoge kosten kan verwachten, indien je dit niet oplost.


Zowel de wet, als de privacy van je klanten, zijn non-topic, omdat jij het belang hiervan niet wilt inzien ? Ik hoop dat ik geen klant bij je ben. En ik wens je veel plezier, indien je door de AVG -terecht- geconfronteerd wordt met torenhoge boetes.


Zit er een slot op je bedrijf, huis, of auto ? Sluit je deze af ? Immers is er altijd wel een zwakke schakel te vinden, waardoor je kan roepen dat het eigenlijk niet uitmaakt ? Of let je beter op risico's, wanneer het over jezelf gaat, dan over je klanten ?

Onze tandarts is overgegaan op het sturen van facturen via een dropbox achtige constructie. Je krijgt dan een email met daarin een link en je moet een paar dingen van je zelf weten om echt bij de link te kunnen komen.
Op zich denk ik veilig naar de huidige maatstaven.

Ik vind dat er lastig, ik heb daarom gevraagd om mijn nota gewoon per email te sturen. Men geeft aan dat dit niet mag vanwege de nieuwe wetgeving op dit gebied (ze denken zelfs al aan SMS validatie).
Ook mijn verzekeingsmatschappij heeft een portal waar ik met DigiID mag inloggen om mijn nota's er uitkeringen te zien en deze aan de verzekeringsmaatschappij te sturen.
Andere verzekeringsmaatschappijen hebben dit ook of een variant.

Ik denk dus dat de huisarts ook zijn zaken via zo'n constructie dient te versturen, sterker nog dit al lang weet. De vraag die bij mij opkomt is nu: Is Hans246 wel "Huisarts"

Wat een non-reactie. Denk je soms dat er daarna geen sprake meer is van communicatie tussen huisartsen en genoemde partijen, welke betrekking heeft op patienten. Denk even na.


Jammer dat jij je gezond verstand niet gebruikt, en op basis van onzinnige aannames iets als ''kul'' weg wilt zetten.

Het is verwijtbaar gedrag, maar geen schending van het beroepsgeheim. Daarvoor moet hij de informatie *bewust* aan onbevoegden doorspelen. Zaken slecht beveiliging is niet zo'n schending, al kan het gevolg natuurlijk soortgelijk zijn.

Reactie raakt kant nog wal. De vraag heeft niets met mores of opvattingen te maken, maar met de vraag hoe dit juridisch ligt.

Daarvoor is e-mail nou juist wel ontworpen. Confidentiality, en het mogelijke gebruik van encryptie om dit te waarborgen, staan daar los van. Dat iets 40 jaar oud is, is ook niet echt een argument. Auto's, vliegtuigen en treinen zijn ook ouder dan 40 jaar. Toch gebruiken we die zaken.

Zou je de medische informatie op een briefkaart naar een verzekeraar sturen? Het kopiëren van een email is net zo makkelijk als een fotokopie maken van de briefkaart! Dat je niets hoort over privacyschendingen wil nog niet zeggen dat ze niet voorkomen, professionele privacyschenders werken het liefst in stilte.

Ik ben het eens met de Autoriteit Persoonsgegevens dat "bijzondere persoonsgegevens" tijdens transport beveiligd moeten zijn tegen meelezers. Dit kan in een dichtgeplakte envelop met de gewone post of door middel van versleuteling (https, PGP, enz.) over het internet.

Email is als een anzichtkaart, iedere postsorteerder of postbode kan die lezen. Vraag jezelf af of dat wenselijk is voor medische gegevens en als het antwoord nee is dan moet je maatregelen treffen.

Ik lees nooit verhalen van mensen waarvan medische informatie is gelekt door normale email.
heb zelf in mijn omgeving ook nooit problemen gehad hiermee. Als dat zo zou zijn,zou niemand meer email gebruiken.

'Medische gegevens in eigen beheer op je computer of telefoon' door Gijs Herderscheê, Volkskrant, 19 maart 2018
https://www.volkskrant.nl/binnenland/medische-gegevens-in-eigen-beheer-op-je-computer-of-telefoon-vanaf-volgend-jaar-is-het-mogelijk~a4582289/

Het gaat hierbij zogenoemde Persoonlijke GezondheidsOmgeving (PGO). Burgers bepalen individueel welke gegevens in daarin komen. De vraag is nu wat de patiënt gaat doen met deze informatie, indien die wordt gericht aan verzekeraars, ten behoeve van het aanvragen van een hypotheek, een overlijdensrisico- en/of arbeidsongeschiktheidsverzekeringen.

Men kan zich voorstellen dat men dan belang heeft zich "gezonder" voor te doen dan men is. Bijvoorbeeld in het geval van iemand die tabak rookt of bij iemand die een gevaarlijke sport beoefend. Het is dus niet ondenkbaar dat door selectief gegevens weg te laten verzekeringsfraude in de hand wordt gewerkt. Te verwachten is dat verstandige artsen en specialisten daar niet aan mee willen zullen gaan werken.

Men zou zich ook kunnen voordoen als "vegatariër" en als frequent bezoeker van een sportschool, om zodoende de indruk te wekken dat men duurzamer en gezonder leeft (dan de boze buurman met zijn barbeque en bierbuik). Daar komt nog bij dat een niet onaanzienlijk deel van de bevolking functioneel analfabeet is. En dat ook veel hoogopgeleide niet-medici echt geen touw vast kunnen knopen aan veel van het medisch jargon, ook al menen ze zelf vaak van wel.

Verzekeraars en hypotheek verstrekkers zullen dan ook graag een ander kanaal willen kunnen bewandelen, om toch aan de benodigde medische verklaring of inzage in het dossier te komen. Risico afdekking, zo heet dat. De vraag is dus welk ander kanaal en format dat nu gaat worden, en wie daarvoor de verantwoording gaat dragen. Jawel, dat wordt als vanaf ouds natuurlijk weer de immer overwerkte huisarts, aan wie de patiënt / verzekerde eerst zijn of haar zegen moet gaan geven.

Emailtje?

iets wat nu ook al mogelijk is zonder de sleepnet wet. Dus staat helemaal hier los van.

Slaap rustig door: https://www.security.nl/posting/10201/Lijst+met+AIDS+patienten+per+ongeluk+verstuurd

Ho, ho... hoooo eens even!
Laten we liever aannemen doordat dat wél had kunnen gebeuren zonder dat dat noodzakelijkerwijs sporen achterlaat dat het gebeurd kán zijn, in plaats van doordat het niet gemeld is (vanuitgaande geen doofpotbeleid zoals zelfs het antwoord van de verzekeraar indirect is) dat het niet gebeurd zou kunnen zijn...

De ontwikkeling van het PGO wordt uitbesteed aan het Nictiz. gevestigd in Den Haag:

Nationaal ICT-instituut voor de zorg
https://www.nictiz.nl/

Artsen en andere professionals werkzaam in de zorg kunnen bij het Nictiz met hun ICT vragen terecht. Het PGO staat momenteel nog in de kinderschoenen.

De bestaande optie van Zorgmail.NL werd eerder al genoemd. Zorgmail.NL is een soort van beveiligd doorgeefluik via het web, maar dan moet de verzekeraar daar toevallig ook graag aan mee willen werken.

Rest altijd nog de mogelijkheid van de huisarts om een eigen gesloten envelop te gebruiken, met een adressering gericht aan aan het antwoordnummer van de verzekeraar, o.v.v. de juiste afdeling en zo mogelijk de contactpersoon.

Geen postzegel nodig, want de ontvangende hypotheker of verzekeraar betaald. En als zijnde een gesloten papieren postverzending valt stuk onder het wettelijk briefgeheim.

Antwoordnummer.NL (beveiligde verbinding)
https://antwoordnummer.nl/

Wel het gevonden antwoordnummer altijd op juistheid controleren, door de eerst de verzekeraar op te bellen of door het op de website van de verzekeraar na te gaan. Gebruik desnoods een labelprinter om de postverzending met een kleefsticker van een goed leesbaar adres te voorzien. Dat oogt wel zo professioneel.

Het is een mythe dat men voor het gebruik van een antwoordnummer per se een een door de ontvanger voorbedrukte envelop zou moeten gebruiken. Als afzender is het wel zaak om het juiste retour adres te vermelden, want dat is verplicht en noodzakelijk in geval van het onverhoopt zoekraken van het poststuk.

"Gewone post", zoals OP aangeeft (via de verzekeringsmaatschappij verstrekte antwoordenveloppe verstuurd.) is zo mogelijk nog ouder en nog minder geschikt om publiekelijk wereldwijd informatie mee te versturen. 't Is niet voor niets dat Caesar al begon met encryptie voor de berichten aan z'n bevelhebbers. Ik neem aan dat de papieren formulieren van huisarts naar verzekeraar niet versleuteld zijn ;-)

Standaard e-mail zonder additionele beveiligingsfratsen zal vermoed ik minder eenvoudig te onderscheppen zijn door boefjes dan de postzakken van de PTT. 't Is niet heel triviaal om een mail server of netwerk verbinding af te luisteren, zeker niet als 't aantal nodes tussen source & destination redelijk beperkt is.

Slaap rustig door ? ... Een artikel uit 2005. ruim 13 jaar geleden. Je hebt tenminste nog humor.

???

Minister Bruins' voorstel werd vandaag openbaar in de media, terwijl de startpost van gisteren dateerde.
Dat de topicstarter, zijnde een huisarts, over een behoorlijk hoog intelligentieniveau beschikt kan niet betwijfeld worden en dat degene die deze reactie post qua IQ wel totaal het tegenovergestelde is evenmin...

't Is triviaal om bij een ISP e-mails door een filter te jassen en de interessante eruit te vissen, zonder dat dit enig effect heeft op de e-mails zelf (geen opnieuw dichtgeplakte papieren envelop bijvoorbeeld). Bij Yahoo was, naar verluidt [1], de toenmalige security officer (Alex Stamos) er niet van op de hoogte dat dergelijke filters waren geïnstalleerd, en hoe veilig dat was (wie konden er bij die data).

Aangezien tegenwoordig elke commerciële partij (ook ISP's) lijken te willen bijverdienen "om de kosten voor de klant zo laag mogelijk te houden" (om competitieve redenen waardoor iedereen dat doet) zou het mij ontzettende verbazen als er ISP's zijn (of services zoals GMail, Live mail etc.) die dat nu niet inzetten en data verkopen aan de hoogste bieder (al dan niet met instemming van de betreffende security en/of privacy officer). Cambridge Analytica is echt niet de enige data hoarder...

Je bent naïef (en vermoedelijk wettelijk in overtreding) als je onversleutelde e-mail gebruikt is voor het uitwisselen van medische gegevens. Voor papieren post geldt nog steeds een briefgeheim (niet zaligmakend, maar veiliger dan e-mail).

[1] https://www.security.nl/posting/487879/Yahoo+scande+inkomende+e-mails+van+gebruikers+voor+Amerikaanse+inlichtingendienst

Briefpost wordt wettelijk beschermd door het briefgeheim en de fysieke bescherming van een envelop. Het is niet triviaal om zonder medewerking van de PTT (of een PTT-medewerker) een brief te onderscheppen. Het is zelfs voor een PTT-medewerker niet triviaal om een specifieke brief te onderscheppen.
Standaard email wordt van server naar server gekopieerd (en als het goed is na succesvol doorsturen weer gewist). Daarnaast is het mogelijk dat het bericht onversleuteld over het internet verstuurd wordt, waarbij iedere tussenliggende router ook een kopie kan maken.

Medische gegevens hebben geen militaire kwaliteit encryptie nodig, maar wel een zekere bescherming (geen onafgesloten archiefkast in de hal). Gegevens open en bloot naar info@verzekering.hier mailen toont onvoldoende respect voor de privacy van de patient.

Formeel valt briefpost onder het briefgeheim. Tappen van een internet verbinding is ook illegaal, dus dat argument houdt niet lang stand. Mail kan inderdaad over diverse netwerken gaan voordat het bij de eindbestemming komt. Maar je zal met me eens zijn dat een (backbone)router onderweg niet een van de meest waarschijnlijke plekken is om e-mails te onderscheppen. Die dingen worden beheerd door grote providers, staan in beveiligde datacenters - niet eenvoudig.
Maar hoe veilig is de postzak van de postbode? Met z'n karretje dat hij soms onbeheerd achterlaat om wat huizen langs te lopen met een handzamer stapeltje post?

Anyway - ik ben niet tegen encryptie, niet tegen beveiliging van gevoelige data. Maar we zijn zo overgevoelig tegenwoordig (moet de huisarts dat weten? ;) dat iedereen in een kramp springt zodra er data verplaatst moet worden. En dat lijkt me niet altijd nodig...

Email is in al die tijd niet veranderd dus dit soort dingen zijn nog steeds mogelijk.

Ik verstuur al jaren e-mail berichten met vertrouwelijke info.
Nooit achteraf problemen mee gehad wat betreft interceptie of fraude.

Het issue met privacy is dat degene die "slachtoffer" wordt van een lek niet degene is die het lek veroorzaakt. De verzekeringsmaatschappij zegt "we doen het per onbeschermde email" (Modernisme? Kostenbesparing?) terwijl de klant niet weet hoe het achtereinde van het verzekeringssysteem met zijn privacy omspringt.
Geen kramp, maar ik kan me mateloos aan dit soort slordigheid (onnadenkendheid) irriteren.

Hallo Hans,

De nieuwe wet AVG kan grotere impact hebben als het fout gaat. Bij een datalek (bijvoorbeeld: iemand maakt een fout met BCC) dan kun je al de poppen aan het dansen krijgen. De boete die kan worden uitgedeeld door de Autoriteit Persoonsgegevens (AP) is echt niet mals. Zou de tendens toenemen dat meer bedrijven via het makkelijke medium "e-mail" informatie willen krijgen, dan moet er zeker over databescherming, zoals versleuteling van e-mails worden gesproken en niet alleen over een versleutelde verbindingen. Als dit niet op korte termijn is op te lossen, dan is de envelop met brief nog steeds de meest aanvaardbare weg.

Ik rijd al jaren te hard en door rood, nooit problemen mee gehad.

OK, voorbeeld van vandaag dan.....
https://www.nu.nl/internet/5184053/erasmus-medisch-centrum-lekte-e-mailadressen-jonge-hiv-patienten.html

Kan ook gebeuren met de gewone post. Zal niet de eerste keer zijn, dat men een verkeerde brief verstuurd naar iemand.

Waar mensen werken, worden fouten gemaakt.

Zou je willen dat b.v. Google over die medische gegevens kan beschikken? Ik in elk geval niet en als jij naar iemand mailt weet je nooit zeker of dit via een server van b.v. Google loopt en dus misbruikt wordt.

1/ Een mail versturen is net als een brief. Je moet voorzichtig zijn welk adres je er op zet en wat je er in stopt.
De bijlage werkelijke inhoud met je beveiligen (encrypten), Rechtstreeks op de site van de verzekeraar bevestigen is een andere optie mits de site van verzekeraar voldoende veilig is.

Je noemt het doel en het waarom dit gebeurt. Het doel":
- een onderbouwde risicoverzekering waarbij het risico et overlijden van een persoon is.
Kan een onderdeel van een hypotheek zijn of los. Dat de klant er voordeel van heeft dat de verzekeraar gelooft dat de persoon lang leeft (premie tevens laag) en dat er misbruik bestaat (premie hoog) is een deel van de risicoafdekking.
http://www.levensverzekering.net/gezondheidsverklaring/ het komt ook bij het CBR voor. [ur]https://www.cbr.nl/11372.pp?[/url]

Dat ICT nerds deze doelstelling niet willen zien en daar niet ov er willen helpen nadenken is een probleem op zich.
Laat ik een voorzet doen:
- bij een standaard vragenlijst lijdt aan: ja/nee waar overal nee geantwoord wordt is de arts een onderbouwing dat de klant niets achter houdt. Niet publiekelijk leesbaar doorsturen / niet veranderbaar direct aan klant geven zijn dan de opties.

Wat mij verbaasd:
- niets te vinden bij het AP hierover.
- https://www.rijksoverheid.nl/onderwerpen/eerstelijnszorg/vraag-en-antwoord/gezondheidsverklaring geen standaard
- https://autoriteitpersoonsgegevens.nl/nl/nieuws/een-loondienstagent-mag-onder-voorwaarden-gegevens-over-de-gezondheid-inzien-%C2%A0

Beste Hans246, (veilige) medische communicatie gebeurt tegenwoordig toch via de Siilo app?

https://www.siilo.com

E-mail is ongeveer 40 jaar oud. Dat het oud is wil niet zeggen dat het slecht is, integendeel. Maar toen het ontwikkeld werd, waren alleen universiteiten aangesloten op ARPANET en was er geen noodzaak voor versleuteling en integriteitscontrole.

E-mail is hetzelfde gebleven maar de omgeving ervan is na openstelling voor het publiek veel gevaarlijker geworden. Daarom is de enige juiste oplossing een end-to-end beveiligingslaag op deze e-mail.

De grote kracht van e-mail boven alle andere uitwisselingsmethoden is dat het in die 40 jaar is uitgegroeid tot een wereldwijd geaccepteerd open standaard die niet eigendom is van een bedrijf of staat. Dus bij het uitwisselen van vertrouwelijke gegevens is er geen enkele partij die het kan claimen, uitmelken, laten leegbloeden of er idiote bedragen voor kan gaan vragen. En het is 1 op 1 compatibel met de manier hoe we al 40 jaar mailen.

Daar kan geen enkele webportal tegenop: bij dergelijke webportals ligt het beheer van de ontvangen mail bij de verzender en dat is niet alleen juridisch waardeloos maar ook totaal niet praktisch. Daarbij is een webportal een centraal punt en kan niemand bij een storing of DDOS bij zijn postvak; het decentrale e-mail heeft daar geen last van en biedt een sterkere versleuteling dan het TLS protocol dat zeer regelmatig gaten in de implementatie heeft (POODLE), MITM certificaten, etc. De e-mail notificatie van deze portals is een ideale vector om mensen met nep notificaties naar malafide websites te lokken.

En allerlei apps om gevoelige informatie van patiënten te versturen moeten we al helemaal niet willen omdat die in handen van bedrijven zijn die grof geld verdienen door deze data stiekem door te verkopen. Bovendien krijg je een vendor lockin die steeds meer partijen verplicht zaken met een bepaald bedrijf te doen.

Uiteindelijk kom je dus toch weer bij e-mail uit. En met de juiste beveiligingslaag heb je een uiterst robuuste, veilige betrouwbare en toekomstzekere manier van berichten uitwisselen zonder dat je aan een bepaalde partij vast zit. Wat iedereen moet doen die nu ineens wakker schrikt met de AVG voor de deur is: je IT leverancier aanspreken dat je ondersteuning voor S/MIME en PGP wil en als dat te moeilijk voor ze is je ze niet meer serieus kan nemen als specialisten en naar een partij gaat die dat wel kan regelen (er zijn er genoeg die het wel kunnen/snappen). Op een gegeven moment moet je gewoon keuzes maken waar je voor staat. En als je voor halve prutsoplossingen staat gaan die niet toekomstbestendig zijn dan moet je vooral met berichtenboxen of apps aan de slag. E-mail bestaat al 40 jaar en dat zou eigenlijk genoeg moeten zeggen.

Als u weet heeft van verzekeraars en bedrijfsgeneeskundigen dan zou u dat op minst kunnen melden bij de Autoriteit Persoonsgegevens. Het is ook zonder de AVG al verboden om persoonsgegevens van anderen zonder toestemming te verwerken zonder passende beveiliging. Email heeft geen beveiliging. Ik raad u met klem aan om een melding bij de Autoriteit Persoonsgegevens te doen, desnoods anoniem.

En weer een email blunder:
https://www.security.nl/posting/554610/Erasmus+MC+lekt+pati%C3%ABntgegevens+door+e-mailblunder

Klopt. Het gaat alleen wel vaker en op grotere schaal fout bij gebruik van email. Op een envelop zet je niet zo gauw de namen van alle anderen die ook een brief krijgen....

Ben het overigens met je eens dat het risico soms wordt overdreven maar het risico is wel degelijk een stuk hoger dan bij de papieren post". PostNL maakt niet op elk postkantoor/ distributiecentrum even een kopie van je brief die ze tijdelijk opslaan voordat ze hem doorsturen. Dat is wel wat er gebeurt bij e-mail.

Punt blijft dat e-mail (zonder additionele beveiligingsmaatregelen) niet geschikt is voor het versturen van vertrouwelijke informatie. De perceptie of het veilig genoeg is ligt voornamelijk bij de waarde die je toekent aan de informatie die je via e-mail verstuurd en dat is persoonlijk. Er is waarschijnlijk niemand die e-mail veilig genoeg zou vinden om opdrachten voor telebankieren mee uit te voeren.

LMFAO. Mensen met verstand van zaken, weten dit wel.

Kijk even bij het AP en je vind dat het CBP zaken had waarbij zoiets van de persoonsgegevens gewoon toegestaan is.
Gewoon vereist wegens de onderliggende transactie

Daarom krijg je ook een bevestiging van een transactie per email als je het ergens ingevoerd hebt. mutiple factor in de kennisgeving is juist belangrijk.

Hoe vereist een onderliggende transactie het gebruik van unencrypted email voor het versturen van persoonsgegevens ? Misschien dat je het nog wat verder uit kan leggen, als er logica achter je opmerking schuil gaat ;)

Ik ben geen deskundige, hooguit ervaring deskundige en zie dat in alle topics briefpost als betrouwbaar gezien wordt.
Bij gefrankeerd versturen is de bezorgdienst niet verantwoordelijk voor de bezorging en heeft de ontvanger geen recht op ontvangst. Volgens de wet is de verzender verantwoordelijk voor de bezorging, etc. In de praktijk is dat niet zo. Mijn ervaring is dan ook dat geld, kosten, etc. voor het bedrijfsleven, overheid en justitie boven privacy gaat anders had men de gegevens wel beveiligd evt. aangetekend verstuurd.
Doordat jarenlang de voor mij bedoelde post voor het grootste gedeelte verdween en bij een voor mij onbekend persoon terecht is gekomen zijn er namelijk grote problemen ontstaan. Je verliest dan behalve privacy ook al je rechten, kunt op een gegeven ogenblik geen gebruik meer maken van internet bankieren omdat de nieuwe Digi code alleen per brief verstuurd kan worden, etc.
Anderen hebben wel geld van de rekening kunnen afschrijven, etc. Nu ik sinds februari wel de voor mij bedoelde post binnen krijg heb ik al twee brieven ontvangen die o.a. van een voor ons onbekende internet bestelling die anders onverwacht een loonbeslag hadden opgeleverd.
Mijn voorkeur gaat voor alles per mail versturen, met alle gevolgen. Uiteraard kan “iedereen" die onderscheppen, maar dan had ik de gegevens tenminste ook gehad.

Dank je, juist de bevestiging van een transactie dat er wat gebeurt en dat je op de hoogte bent is belangrijker dan het een compleet dossier. De mail-bevestiging email-bevestiging SMS (liefst meerdere als iets niet zeker gebleken is)
Zo te zien wordt er bewust misbruik van jouw situatie gemaakt. Je zou een postadres kunnen hanteren voor officiele stukken belangrijke financiën mogelijk via een advocatenbureau of wat dan ook. Email zal als je met een bevestigingsoptie werkt wat betere zekerheid bieden als je ergens reclameert. http://blog.wetrecht.nl/e-mail-juridisch-bekeken-de-voor-en-nadelen/

Daarmee heeft anoniem 13:16 antwoord op zijn vraag.
De logica er achter is fundamenteel hoe moet je iets weten wat je niet bereikt heeft?

Ik ken ze niet, collega's vrienden familie en buren wiens e-mail berichten door derden zijn onderschept en misbruikt.
Iemand hier die frequent problemen heeft ondervonden met onderschepte e-mail berichten,de laatste tijd ?

Beste Dokter Bibber,

Ongetwijfeld bent u het liefst gewoon een goede dokter, maar ik weet hoe u in de decennia overspoeld bent met administratieve eisen en verplichtingen. (Ik heb nog aan het bed van de Vektis record beschrijvingen gestaan, in Zeist, terwijl op een duidelijk verhoogd podium bijna griezelig de nog antieke wereld absoluut aan de automatisering moest.)

Ik ben ook vele jaren met medisch gevoelige data omgegaan. Maar omdat ik een techneut ben, nooit een eed gezworen, altijd netjes mee omgegaan. Zoals het vroeger ging, was namelijk helemaal zo slecht nog niet! Ik wist echt wel donders goed wat ik zelf wel of niet mocht zien. En was het iets voor de zorgverzekeraar, dan ging het wel via de arts van de verzekeraar. Want die.. had een eed gezworen.

Medische gegevens per email versturen is is ongeveer het meest onhandige wat men kan doen. Het is het meest onveilige informatie protocol. Dat overigens al lang voor de Vektis declaratie standaarden uitgevonden was. Als dat nog steeds een geaccepteerde praktijk is, dan hebben toch wel enkele ambtenaren inmiddels decennia liggen pitten. Maar uw beroeps vereninging ook natuurlijk.

Per post is al een stuk beter. Want voor post geldt nog steeds het briefgeheim. Net als voor uw handgeschreven recept.

Voor email is dat een stuk lastiger. Dat wordt eigenlijk al vanaf de eerste dag in transparante enveloppen gestuurd. Dus daar kun je wel een briefgeheim wet over maken, maar dat heeft weinig zin als elke postbode er recht doorheen kan kijken.

Er zijn echter wel systemen om zulke communicatie mooi versleuteld te versturen. Veilige systemen. Waarvan ik dan bijvoorbeeld ook weer van hoop dat het "aan de andere kant", net zo netjes als vroeger, enkel iemand die een medische eed gezworen heeft, die post kan openmaken. Het kan. Tuurlijk. Beetje een rommeltje van gemaakt door alles te willen centraliseren, met dat patienten dossier. Ik heb wat dat betreft een beetje spijt dat ik destijds een andere carriere weg ben ingeslagen. Het zit wat klem. Organisatorisch en heeft weer heel veel geld gekost aan grote IT bedrijven. En een grote chaos wat nu kan helemaal jan en alleman bij dat dossier.

Doe het over de post. Nog altijd het veiligste. Mooi rood blokstempel erop met medisch geheim. Met de nieuwe wet mag immers niemand u kosten aanrekenen voor de administratie daarvan. Al zeker niet als uw aangewezen weg een flagrante schending kan betekenen voor het medisch geheim.

Gaat er bij jou thuis een rood lampje branden als iemand jouw e-mail leest of gegevens uit die e-mail doorverkoopt?

Recent wel de problemen met de fysieke mail. Berichten die verstuurd zouden zijn maar nooit aangekomen waarna wel de dreigbrieven komen. Was tijd om met die zaak te kappen. Mogelijk was het zelfs opzettelijk om mij als afnemer te lozen.

Emails zijn niet rechtsgeldig met het spel van een antwoord uitlokken krijg je de bevestiging van ontvangst.
Als er mee gelezen wordt des te beter. Er is behalve een financiële onenigheid niets echt bijzonders.

In jet kader van de oorspronkelijke vraag. Die medische vragen ter acceptatie van een verzekering is dat geen verboden profilering?

Sorry.

Het blijft aan de rechter om een email toe te laten als bewijs of niet.

Zowel het komt wel van een hele dure kompjoeter als het is maar een data vodje dat iedereen kan spoofen.

De rechter laat toe of niet. Bepaalt of de email "aannemelijk" is of niet. Zoekt dan ook nog de "redelijkheid". En kijkt naast de regels en punten en komma's ook nog eens naar de uiteindelijke bedoeling van de wet. En niet eens, kun je nog altijd in beroep.

Alle websites die "eigen wetten" schrijven zijn sukkels. En daar zitten een paar hele grote sukkels bij. Komt er morgen eentje een bakkie thee drinken in het Europees parlement. Nog werkelijk niets gezien of gehoord dat die vent er ook maar iets van begrijpt!

Communicatie via Zorgmail of anders niet.

E-mail zelden of nooit problemen. Brievenpost daarentegen frequent.

Dat is wel de beste oplossing. Werkt goed en veilig.

Communicatie via klassieke e-mail + beveiligingslaag, alles wat een derde (commerciële) partij gebuikt blokkeren.

https://www.rijksoverheid.nl/actueel/nieuws/2017/04/18/grondwet-bij-de-tijd-e-mail-ook-onder-briefgeheim

Duh.

Als een onbevoegde dus email probeert mee te lezen dan is dat strafbaar.
(maar het kan geen kwaad om dat er even bij te zetten in de email, en een veilig communicatie-kanaal te gebruiken.
Op mijn brievenbus zit ook een slotje, dus...)

Ik ben bedrijfsarts. Wij sturen met regelmaat medische gegevens in enveloppes richting UWV. Dat gaat dus ook met regelmaat mis, ergens verdwijnt die post. Voorheen mochten we emailen naar een inbox van het UWV die alleen gelezen werd door professionals die dat mochten. Dat werkte altijd wel, daarnaast had ik de zekerheid dat e.e.a. verstuurd was en aangekomen.

Er zou eens een objectief onderzoek moeten komen hoe vaak het mis gaat via de post en hoe vaak het mis gaat via de email.