Waarom is “gewone” e-mail niet voldoende veilig in de correspondentie tussen zorgaanbieder en patiënt?

In reactie op de blog over het gebruik van e-mail in de correspondentie tussen zorgaanbieder en patiënt, werd door een lezer de volgende vraag gesteld:

“Waarom wordt gewone (conventionele) e-mail niet veilig geacht voor het delen van medische gegevens?”

De techniek achter gewone e-mail is naar mening van de betreffende lezer immers niet onveilig.

Daar kan ik de lezer uiteraard geen ongelijk in geven. Het idee achter gewone e-mail lijkt inderdaad best veilig. E-mail is dan ook een van de meest gebruikte communicatiemethoden binnen organisaties. Toch zijn er bezwaren als gewone e-mail wordt gebruikt in de correspondentie waarbij medische gegevens worden gedeeld.

Het “gewone” e-mailverkeer vindt namelijk ‘onversleuteld’plaats. Het gevolg daarvan is dat iedereen die de e-mail ontvangt, de e-mail ook daadwerkelijk kan lezen. Het is dan niet alleen een risico dat de verkeerde persoon de e-mail ontvangt, maar nog erger: deze persoon krijgt ook toegang tot de inhoud van de betreffende e-mail.

Inhoud e-mail scannen

Verder kan de inhoud van de e-mail worden gescand. In het verleden analyseerde Google de inhoud van Gmail-berichten om gepersonaliseerde advertenties te tonen. Daar is de internetgigant naar eigen zeggen mee gestopt. Het lezen van e-mail van Gmail-gebruikers wordt nog wel in bepaalde gevallen gedaan, waarbij de gebruiker dit aan Google vraagt of wanneer Google dit noodzakelijk acht.

Onbedoelde toegang tot de inhoud van een e-mail is bezwaarlijk, zeker als het gaat om medische gegevens. Deze gegevens zijn op grond van de privacywetgeving namelijk aan te merken als “bijzondere” persoonsgegevens en verdienen daarom een hoog niveau van bescherming. Deze bescherming kan onder andere worden gevonden in versleuteling. Goede versleuteling zorgt ervoor dat alleen de verzender van de e-mail en de bedoelde ontvanger de inhoud van de e-mail kan lezen.

Een ander bezwaar is dat conventionele e-mail niet traceerbaar is. Als u per ongeluk een e-mail verstuurt naar de verkeerde persoon, bent u al te laat. Er valt dan niet meer te achterhalen wat er met de gegevens in de e-mail gebeurt. De mogelijkheid tot het intrekken van foutief verzonden e-mails is er vaak niet. Laat staan dat er technische mogelijkheden zijn om inzicht te krijgen in de datastroom die op gang is gekomen. Bovendien zijn standaard e-mailboxen eenvoudig te hacken door middel van phishing, het hebben van een zwak wachtwoord of het niet gebruiken van een tweefactor-authenticatie.

Oplossingen voor het beveiligen van e-mails

Gelukkig zijn er goede oplossingen voorhanden waarmee u onder andere e-mails standaard kunt voorzien van goede versleuteling en die u de mogelijkheid geven om een bericht in te trekken als het fout is gegaan.


Deze blog is geschreven door oud-stagiaire Ge’ez Engidashet, in samenwerking met Sari Jansen.

Terug naar overzicht