Mag ik volgens de privacywet AVG medische gegevens verstrekken per e-mail?

Casus

Een medewerker van een gemeentelijk sociaal team vraagt mij (arts) om medische gegevens over een patiënt te verstrekken en deze per e-mail te versturen. Ik krijg wel vaker, ook van andere instanties, verzoeken om gegevens over mijn patiënten te mailen. Mag dat wel volgens de privacywet AVG?

Advies

Verstuur geen medische gegevens via onbeveiligde e-mail, maar gebruik een veiligere manier: versleutel het document met medische gegevens en verstuur het wachtwoord van het bestand via een ander medium, zoals sms of WhatsApp. Of gebruik beveiligde mailtoepassingen zoals Zorgmail, of gebruik een online portaal dat met multifactor authenticatie is ingericht.

Alleen per e-mail wanneer voldoende beveiligd

Er bestaat geen wettelijke bepaling voor het gebruik van e-mail bij het uitwisselen van medische gegevens, ook niet in de AVG (Algemene verordening gegevensbescherming). Uit de algemeen geformuleerde regels over de omgang met medische gegevens volgt dat een hulpverlener tot patiënten herleidbare medische gegevens alleen per e-mail mag verstrekken als deze voldoende beveiligd zijn.

Voordat de gegevens per e-mail naar een ander worden verzonden moet wel eerst vaststaan dat de ontvanger de te verzenden gegevens mag ontvangen. Het beroepsgeheim van de arts verhindert namelijk dat de arts medische gegevens aan derden verstrekt. Lees hier meer over in de ‘KNMG-richtlijn Omgaan met medische gegevens’.

Is vastgesteld dát gegevens mogen worden verstrekt, dan rest de vraag of dat via e-mail mag. Het communiceren via e-mail is niet zonder risico. Wanneer u bijvoorbeeld Gmail gebruikt, heeft Google toegang tot de vertrouwelijke patiëntinformatie in de e-mailberichten die u verzonden of ontvangen heeft. Ook uit het feit dat vanuit of naar een bepaald e-mailadres is gecommuniceerd, kan medisch-inhoudelijke informatie worden afgeleid (denk aan psychiater@psychiater.nl).

Tips bij het gebruik van e-mail

Dit wil niet zeggen dat patiëntgegevens nooit per e-mail mogen worden verstrekt. Wel adviseren wij om daarbij de volgende tips in het oog te houden (in navolging van de AVG Helpdesk Zorg en Welzijn):

1.     Verbeter de awareness van uzelf en uw collega’s/medewerkers over de regels hoe e-mail wel en niet kan worden gebruikt, bijvoorbeeld:

·         beperk zoveel als mogelijk de gevoelige persoonsgegevens in de tekst van de mail zelf;

·         stuur geen bijlagen mee waar gevoelige persoonsgegevens staan;

·         dubbelcheck altijd de geadresseerde voor u op ‘verzenden’ drukt;

·         vraag de ontvanger om een bevestiging van ontvangst (dan ontdekt u het sneller als het onverhoopt toch is misgegaan);

·         als er een collega weggaat bij de praktijk of deze juist tijdelijk komt versterken: regel goed in wie waarbij mag (autorisaties) en hef een mailadres op als de collega niet meer in dienst / werkzaam is.

2.     Gebruik alleen gewone mail als er geen vertrouwelijke (bijzondere) persoonsgegevens, zoals patiëntgegevens, worden verwerkt.

3.     Kijk naar alternatieven voor het uitwisselen van informatie, zoals:

3.1 Uitwisseling tussen medewerkers van dezelfde instelling onderling:

  • Neem in uw mail een link op naar het bestand, in plaats van het bestand zelf mee te sturen.

3.2 Uitwisseling tussen zorgverleners en zorginstellingen (en ook met leveranciers, gemeenten):

Gebruik een veiligere manier dan het meesturen van een onbeveiligde bijlage in een mail, zoals:

·         versleutel het Word-document (eenvoudig via 7-Zip) en verstuur het wachtwoord van het bestand via een ander medium, zoals sms of WhatsApp;

·         informeer bij collega’s of zij al gebruik maken van beveiligde mailverbindingen en sluit waar mogelijk aan; gebruik hiervoor bijvoorbeeld Zorgmail, Voltage, Zivver, e.d.;

·         gebruik een online portaal dat met multifactor authenticatie is ingericht: naam en wachtwoord + een derde kenmerk (zoals bij online bankieren met een token, sms-code etc.).

3.3 Uitwisseling tussen zorgverleners en cliënten / patiënten

Voor het e-mailverkeer tussen arts en patiënt hanteert de Autoriteit Persoonsgegevens de norm van versleuteling. Een arts mag dus met zijn patiënt mailen, mits de arts heeft gezorgd voor:

·         Het versleutelen van de persoonsgegevens in een bijlage bij het e-mailbericht.

·         Het versleutelen van het e-mailverkeer tussen mailservers met een of meerdere moderne internetstandaard(en). Voorbeelden van moderne internetstandaarden zijn STARTTLS, SPF, DKIM, PGP en S/MIME. Ook met patiënten kan worden -gemaild via veilige mailprogramma’s zoals Voltage, Zivver, e.d.

En als de patiënt zelf als eerste met u wil mailen met gevoelige gegevens in een bijlage?

·         Attendeer de patiënt op de mogelijkheid tot het versleutelen van een document met gevoelige gegevens (via 7-Zip) en vraag hem het wachtwoord op het bestand via een ander medium, zoals sms of WhatsApp aan u te versturen.

 

Bron: KNMG 6 september 2018