Partijen die werkzaam zijn in de zorg krijgen te maken met een grote verscheidenheid aan wet- en regelgeving, gedragscodes en richtlijnen. De hoeveelheid is enorm en de bepalingen zijn vaak aan verandering onderhevig. Dit leidt ertoe dat er veel onduidelijkheid bestaat over de interpretatie van de relevante regels en handreikingen. Hoe moet er bijvoorbeeld worden omgegaan met e-mailverkeer in de zorg nu de Algemene Verordening Gegevensbescherming (AVG) van toepassing is? In deze blogserie worden veelgestelde vragen uit het zorgveld behandeld. Deze week: het gebruik van e-mail in de correspondentie tussen arts en patiënt.
Vraag #1: Mag ik als zorgaanbieder in de correspondentie met mijn patiënt gebruik maken van e-mail?
Het gebruik van e-mail in de zorg is een heikel en gevoelig punt, omdat er in het e-mailverkeer tussen zorgaanbieder en patiënt medische gegevens van de patiënt kunnen worden verzonden. Mag een zorgaanbieder gebruik maken van conventionele e-mail in de correspondentie met zijn patiënt?
Het al dan niet gebruiken van conventionele e-mail in de correspondentie tussen zorgaanbieder en patiënt hangt dan af van de inhoud van de e-mail. Bij online gegevensuitwisseling dienen maatregelen getroffen te worden die de privacy van de patiënt, en de veiligheid en betrouwbaarheid van de gegevensuitwisseling waarborgen. Zowel de zorgaanbieder als de patiënt dienen zich te realiseren dat online communicatie vooralsnog niet volledig veilig is. De zorgaanbieder dient de patiënt op grond van zijn zorgplicht hierop te wijzen (zie: KNMG Richtlijn online arts-patiënt contact, herziene versie september 2007).
Mailt u medische gegevens?
Wanneer er medische gegevens (gezondheidsgegevens) in de e-mail worden verzonden, dan raden wij het gebruik van conventionele e-mail af. Op grond van de AVG moeten er namelijk passende technische en organisatorische maatregelen zijn getroffen ter beveiliging van de persoonsgegevens. Dat betekent dat de e-mail een hoog niveau van beveiliging moet hebben als hier medische gegevens in staan. Medische gegevens zijn bijvoorbeeld gegevens die wat zeggen over de ziekte die de patiënt heeft of gegevens die wat zeggen over welke specialist de patiënt behandelt (zoals een neuroloog of psychiater). Bij een onversleutelde e-mail is er dan geen sprake van voldoende beveiliging.
Er zijn zeker wel beveiligde mailsystemen voorhanden waarmee wel “gewoon” gemaild mag worden, ook als er gezondheidsgegevens met de e-mail worden verzonden. Het is dan altijd goed om als klant aan uw leverancier te vragen: “Is uw systeem passend beveiligd voor het verwerken van bijzondere persoonsgegevens?”. De Koninklijke Nederlandsche Maatschappij ter bevordering der Geneeskunst geeft een aantal handvatten. Zo kan er voor versleuteling gebruik worden gemaakt van de in de markt beschikbare ‘secure-email’ oplossingen. Daarnaast adviseert zij onder andere het gebruik van een encrypted server en het gebruik van Virtual Private Networks (VPN).
Wanneer er tussen de zorgverlener en de patiënt gemaild wordt zonder dat er gezondheidsgegevens (of andere bijzondere of gevoelige persoonsgegevens) in de e-mail staan, dan kan conventionele e-mail voldoende zijn. Hier geldt wel, zoals eerder aangegeven, de zorgplicht van de zorgaanbieder om de patiënt te wijzen op de risico’s.
