In het webinar ‘Veilig beeldbellen in de zorg’ hebben onze experts laten zien hoe belangrijk het voor zorgorganisaties is om veilig te videobellen. We lieten bovendien zien hoe je tijdens het videobellen aan de privacywetgeving kunt blijven voldoen. We hebben het webinar samengevat in een handleiding voor veilig beeldbellen in de zorg. De belangrijkste vragen uit het webinar hebben we hieronder voor je beantwoord.
Wat is het verschil tussen de verschillende soorten beeldbeltoepassingen?
De verschillende toepassingen voor beeldbellen zijn onder te verdelen in drie categorieën: consumentenproducten, zakelijke producten en producten die specifiek voor de zorg zijn gemaakt. Consumentenproducten zoals Skype en WhatsApp zijn gratis, je hebt enkel een internetverbinding nodig. Zakelijke producten (Microsoft Teams, Skype for Business, Zoom) zijn over het algemeen wel betaald en ontwikkeld voor het digitaal samenwerken in teamverband. Tot slot zijn er ook beeldbelproducten die specifiek voor de zorg(processen) zijn ontwikkeld. Enkele voorbeelden hiervan zijn Webcamconsult, Mobiléa, Quli en Jouw Omgeving. Voor zorgspecifieke producten moet de organisatie meestal betalen, de patiënt kan deze gratis gebruiken. Deze zorgspecifieke producten voldoen doorgaans aan de strenge veiligheidseisen die gelden in de zorg voor het uitwisselen van medische gegevens.
Welke producten bevelen jullie aan voor zorgverlener-patiëntcommunicatie en collegiale communicatie?
Goede voorbeelden van beeldbelproducten zijn Webcamconsult, Mobiléa, Quli en Jouw Omgeving. Kijk voor meer informatie ook eens op de websites van de Landelijke Huisartsen Vereniging of Het Koninklijk Nederlands Medisch Genootschap. Let er vooral op dat ook bij collegiale communicatie bijzondere persoonsgegevens uitgewisseld kunnen worden. Kijk dus goed naar welke gegevens er worden uitgewisseld en pas daar de applicatie zo veel mogelijk op aan. En het is belangrijk om te onderzoeken of de leverancier een duidelijk statement heeft gepubliceerd ten aanzien van privacy en security (privacyverklaring, NEN7510-certificering). Daarnaast is het van belang goed te kijken naar de functionaliteiten die je nodig hebt. Een risicoanalyse kan aanvullend richting geven.
Wat zijn voorbeelden van zorgspecifieke producten voor beeldbellen?
Er zijn veel verschillende zorgspecifieke beeldbelproducten. Elk product heeft zijn eigen focus. Een aantal pakketten waar wij ervaring mee hebben worden hier kort aangestipt. Zo is Webcamconsult zeer geschikt voor het voeren van een consultafspraak tussen behandelaar en de patiënt of cliënt. Hiervoor biedt het bijvoorbeeld een virtuele wachtkamer van waaruit de patiënt opgeroepen kan worden zodra de behandelaar beschikbaar is. Ook kent het een digitaal inloopspreekuur. Het pakket Quli is helemaal gericht op het (zorg)netwerk van de patiënt of cliënt. Het is daarmee zeer geschikt voor bijvoorbeeld beeldcontact tussen cliënten in verzorg- en verpleeghuizen en hun familie thuis. Zo nodig kan een behandelaar ook in het gesprek aansluiten. Het bijzondere aan Quli is dat het naast een beeldbelproduct ook een persoonlijke gezondheidsomgeving omvat, waarin de patiënt of cliënt controle heeft over al zijn of haar gezondheidsinformatie. Een erg breed inzetbare oplossing is Mobiléa. Dit product ondersteunt zowel beeldbelconsult tussen behandelaar en patiënt, als beeldbelzorg voor VVT- en VG-instellingen. Daarnaast kan aanvullende hard- en software gekoppeld worden voor bijvoorbeeld thuisalarmering en dwaaldetectie, zodat een systeem ontstaat voor veilig en zelfredzaam thuis wonen. Er zijn nog veel meer zorgspecifieke producten op de markt met elk z’n eigen voor- en nadelen. Welk product geschikt is voor jouw specifieke situatie hangt af van waar het product voor ingezet gaat worden. Wij adviseren je hier graag over.
Onlangs heeft de Autoriteit Persoonsgegevens een keuzehulp voor beeldbelapps gepubliceerd. Zijn dit soort lijstjes geschikt voor het maken van de juiste keuze?
In sommige lijstjes worden met name zakelijke producten als veilig aangemerkt, terwijl in andere lijstjes deze gemarkeerd worden als twijfelachtig of onduidelijk of ze veilig zijn. In algemene zin zijn zorgspecifieke beeldbeloplossingen zo ontworpen dat ze voldoen aan de Nederlandse wetten en normen ten aanzien van privacy en security. Ons advies is om als organisatie altijd vooraf je eisen vast te stellen (o.a. functionaliteit, security, certificeringen), daar passende oplossingen bij te zoeken en dan met een risicoanalyse (DPIA) en opvolging daarvan de privacyrisico’s te minimaliseren.
Waarom is de privacy bij beeldbellen in de zorg zo belangrijk?
Dat heeft vooral te maken met de privacywetgeving die geldt voor het verwerken van persoonsgegevens in de zorg. Elke vorm van medische gegevens zijn bijzondere persoonsgegevens en daarop is de AVG-wetgeving van toepassing. Dat betekent dat deze gegevens alleen onder strenge voorwaarden mogen worden verwerkt.
Wanneer praat je over veilig?
Tijdens het webinar is gesproken over veiligheid in het kader van beeldbellen in de zorg. De NEN7510 schrijft in dat geval richtlijnen voor om de veiligheid te waarborgen. De AVG-richtlijnen focussen specifiek op de privacyaspecten en in dit kader het verwerken van bijzondere persoonsgegevens zoals medische gegevens.
Is beeldbellen via mobiele devices veilig?
Het mobiele device vormt één onderdeel in de gehele keten om een veilige beeldbelverbinding op te zetten. De veiligheid is afhankelijk van de zwakste schakel. Elk van deze schakels moet op orde zijn om een veilige beeldbelverbinding te garanderen: de beeldbelapplicatie, het device, de internetverbinding, de fysieke omgeving en tot slot de wijze waarop de personen zelf handelen. Het is daarom belangrijk dat het mobiele device voorzien is van de meest recente veiligheidsupdates. Datzelfde geldt voor de gebruikte beeldbelapplicatie. Een goede beeldbelapplicatie controleert of de versie van de applicatie en het onderliggende besturingssysteem aan de andere kant van de lijn up-to-date zijn. De keuze voor de beeldbeltoepassing en internetverbinding zijn tevens van invloed op de veiligheid. Maak altijd gebruik van gecertificeerde apps die beschikbaar worden gesteld voor het device dat je gebruikt. Kijk hierbij ook naar de certificering van de leverancier die de applicatie levert.
Uit nood worden MDO’s gewoon via de mobiele telefoons van zorgverleners gedaan (zonder beeld). Mag dit in het kader van privacy en security?
Ja, de Autoriteit Persoonsgegevens vindt reguliere telefoongesprekken een veilig communicatiemiddel. Wij adviseren wel altijd een risicoanalyse (DPIA) uit te voeren, waarin bijvoorbeeld wordt bekeken wat het risico is dat andere applicaties op de telefoon het gesprek kunnen afluisteren. Bij mobiele telefoons is dit risico tegenwoordig laag, omdat je als gebruiker specifiek toestemming moet geven aan apps voor het gebruik van bijvoorbeeld de camera en bellen.
Zijn Microsoft Teams en Jitsi geschikt voor MDO’s?
In een MDO worden bijzondere persoonsgegevens verwerkt. Deze verwerking moet conform de AVG-richtlijnen voorzien zijn van passende technische en organisatorische maatregelen om de verwerking te beveiligen en de privacy te waarborgen. Bij de twee genoemde applicaties vallen in die context twee zaken op: de versleuteling van de verbinding en de gegevens die de applicaties verzamelen. Bij Microsoft Teams worden de gegevens wel versleuteld, maar gebeurt dit niet met de veilige end-to-end-versleuteling. Hierdoor bestaat het risico dat onbevoegden mee kunnen luisteren met het gesprek. Ook worden de gespreksgegevens en de metadata geanalyseerd. Bij het uitwisselen van bijzondere persoonsgegevens vormt dit een privacy risico. Bij Jitsi worden de gegevens bij een-op-eengesprekken en bij groepsgesprekken met enkele deelnemers wel end-to-end versleuteld. Ook worden de gespreksgegevens niet geanalyseerd (bron: Autoriteit Persoonsgegevens). Jitsi lijkt dus beter geschikt voor het uitwisselen van bijzondere persoonsgegevens dan Teams. Overweeg je om voor het MDO Microsoft Teams te gebruiken? Dan adviseren wij vanwege de genoemde privacyrisico’s om eerst te onderzoeken of het mogelijk is om hiervoor een andere applicatie in te zetten en daarnaast een risicoanalyse (DPIA) uit te voeren.
Is de tijdelijke gratis bedrijfsversie van Microsoft Teams veilig genoeg om beeldzorg uit te voeren?
Nee, er zijn diverse argumenten waarom de gratis versie niet voldoet aan de informatieveiligheidsnormen van de zorgsector. Doordat Teams for Free niet gekoppeld is aan je werkomgeving zijn de beheermogelijkheden beperkt. Hierdoor ontbreken naast governancefuncties ook rapportage- en auditingmogelijkheden en is de controle op gastentoegang en gedeelde informatie beperkt. Daarnaast biedt Microsoft geen beschikbaarheidsgarantie op de gratis variant van Teams. Verder dient de organisatie er rekening mee te houden dat de gratis variant niet geïntegreerd kan worden met een bestaande of nieuwe Microsoft 365-omgeving, waardoor je bij een eventuele migratie naar Microsoft 365 helemaal opnieuw moet beginnen. Qua functionaliteit is het in de gratis versie overigens niet mogelijk om (video)meetings in te plannen.
Is Facetimen geschikt voor medisch contact met een cliënt, zoals het controleren van medicatie-inname?
Nee, Facetime is niet geschikt. Een overzicht van de Autoriteit Persoonsgegevens laat zien dat bij Facetime onder andere locatiegegevens en gegevens over gesprekken worden verzameld. De medisch gerelateerde contacten met cliënten en de gegevens die daarin worden verwerkt moeten echter strikt privé blijven. Het verzamelen en verwerken van deze gegevens voor andere redenen dan het leveren van zorg is in strijd met de AVG. Verder is het afsluiten van een verwerkersovereenkomst lastig in dit geval. Ons advies is om voor deze categorie beeldbelafspraken een ander product te kiezen.
Met welke eisen moet je bij de keuze van de beeldbelapplicatie rekening houden?
De applicatie moet in ieder geval voldoen aan de eisen uit de NEN7510 en aan de AVG-richtlijnen. Bekijk daarnaast of er een goede verwerkersovereenkomst afgesloten kan worden en er geen informatie op servers buiten de EER-zone wordt opgeslagen. Europese zorgspecifieke producten zijn doorgaans op basis van deze uitgangspunten ontwikkeld. Vanwege de veiligheid adviseren we voor beeldbellen in de zorg daarom bij voorkeur om een dergelijk zorgspecifiek product in te zetten. Verder is het essentieel om een goede risicoanalyse (DPIA) uit te voeren en op te volgen.
Hoe kun je de privacyrisico’s van je beeldbeltoepassing testen?
Met een Data Protection Impact Assessment (DPIA) kun je de privacyrisico’s van je beeldbeltoepassing en het werkproces in kaart brengen. Neem vervolgens de benodigde maatregelen om de risico’s zoveel mogelijk te beperken. Heb je geen tijd voor een uitgebreide risicoanalyse? Voer dan minimaal een verkorte DPIA uit!
Wat zijn de technologische eisen voor het beeldbellen?
Zorg dat je een veilige verbinding hebt (kabel of 4G-hotspot, maar geen wifi). Maak bij voorkeur gebruik van een VPN-verbinding, als de applicatie deze niet zelf voorziet. Sluit overbodige applicaties af, zodat je niet per ongeluk verkeerde informatie deelt en deze applicaties niet in staat stelt om vertrouwelijke gegevens te onderscheppen.
Kun je verschillende typen devices zoals iPhone, Windows en Android met behoud van kwaliteit gebruiken in een gedeeld gesprek?
De meeste beeldbelapplicaties zijn te installeren op diverse typen devices. Enkele applicaties hoeven niet te worden geïnstalleerd en zijn afhankelijk van de browser die aanwezig is op het device en of deze overweg kan met de audio- en videomogelijkheden. Bepaal voordat je een beeldbelapplicatie selecteert of je bepaalde vereisten oplegt en bekijk welke applicaties hieraan voldoen. Een applicatie als Webcamconsult werkt prima op alle platformen. Deze maken meestal gebruik van het WebRTC-protocol, wat langzaamaan de standaard is geworden voor videocommunicatie via het web.
Hoeveel bandbreedte heb je nodig om goed te kunnen beeldbellen?
De benodigde bandbreedte om goed te kunnen beeldbellen varieert per applicatie en hoe je die gebruikt. In eerdere metingen hebben wij vastgesteld dat een kwalitatief goede verbinding met intensief gebruik (gelijktijdig gebruik van video, audio en het delen van beeldscherm) ongeveer 4Mbps aan bandbreedte vereist. Veel applicaties schakelen overigens bij onvoldoende bandbreedte over op een lagere videokwaliteit (geluid blijft meestal wel goed). Bij sommige applicaties is het verder mogelijk dat er in de organisatie maatregelen worden getroffen om dit type verkeer te prefereren boven het overige verkeer door middel van QoS en routeringsregels. Wij adviseren je graag verder over het gebruik van deze technieken.
Hoe is het beeldbellen binnen jouw organisatie geregeld? Maak je voor privacygevoelige gesprekken gebruik van zorgspecifieke software? Wij adviseren zorgorganisaties om periodiek te evalueren of ze de juiste applicatie, onderliggende techniek en werkwijze voor beeldbellen in de zorg hanteren. En we weten dat het vaak moeilijker is om een bestaande werkwijze of gewoonte af te leren dan een nieuwe werkwijze of passend systeem te introduceren. Daarom begeleiden we ook het adoptietraject in jouw organisatie.