In het sociaal domein worden veel gegevens uitgewisseld tussen gemeenten, huisartsen en zorgaanbieders onderling en met cliënten. Zeker in het sociaal domein is het dan ook van groot belang dat deze gegevens veilig op hun bestemming aankomen.

Technisch zijn er inmiddels vele mogelijkheden om dit te realiseren: van specifieke beveiligde platformen met certificaten en versleutelde bestanden tot aan beveiligde mail. Het probleem van deze systemen is echter dat de veiligheid afneemt naarmate de gebruiksvriendelijkheid toeneemt. Beveiligde e-mail is op zich prima, maar dan moet het ook goed worden gebruikt. De praktijk wijst echter uit dat vooral het onjuiste gebruik leidt tot problemen. En dat is zeker niet alleen af te schuiven op een onzorgvuldige gebruiker. Het proces om te komen tot een veilige uitwisseling van gegevens is veelal niet alleen een druk op de knop. Zelfs niet bij een mailtje dat wordt verstuurd vanuit een veilige omgeving. Dit maakt een systeem niet echt gebruiksvriendelijk. Aan de andere kant zijn gebruikers vaak gedwongen om de ‘gewone’ mail te gebruiken, omdat het alternatief er niet is. De cliënt zelf beschikt bijvoorbeeld meestal niet over een veilige e-mailvoorziening.

Digi-koppelpunten

Maar laten we het eens vanuit de overheid bekijken. We kunnen er in ieder geval voor zorgen dat we de communicatie met andere overheden en ketenpartners zoveel als mogelijk via standaard uitwisselingsplatformen laten lopen. We beschikken binnen de overheid over diverse ‘Digi-netwerken’ en Digi-koppelpunten. Waarom maken we daar dan niet meer gebruik van? Ik krijg op dat vlak steeds meer het gevoel dat overheden er van alles aan doen om zo dicht mogelijk langs elkaar heen te communiceren. Iedereen zijn eigen technische hoogstandjes, maar we komen op het gebied van veiligheid geen stap dichter bij elkaar.

Het probleem van e-mail

Echter, we moeten ook communiceren met anderen, en daarvoor hebben we eigenlijk alleen de beschikking over e-mail. En als we daarnaar kijken, dan moet dat in ieder geval vanuit de kant van de overheid zo veilig mogelijk worden gebruikt. De beveiliging van de e-mailservers van de overheid mag geen punt van discussie meer zijn, maar dat is nog wel steeds het geval. Er zijn voldoende open standaarden die e-mailservers in de kern voorzien van een beveiligingslaag die zonder meer moet worden toegepast. Ik heb het dan over het installeren van DMARC, DKIM, SPF, DNSSEC en STARTTLS en eventueel aanvullende nieuwe technieken op e-mailservers. Hier heeft de gebruiker op zich niet zoveel aan, maar dit zijn wel eisen die een overheid kan stellen aan de beheerders van de e-mailservers om de technische veiligheid op een zo optimaal mogelijk niveau te brengen en te houden.

Ten tweede moeten overheden kiezen voor een product dat het beveiligd mailen ondersteunt, zonder dat het ‘gewone’ e-mailproduct (meestal Outlook en soms nog GroupWise) overboord wordt gegooid. Er zijn meerdere producten die aansluiten bij het sociaal domein, maar ook producten die organisatiebreed kunnen worden ingezet. Een probleem is wel dat deze producten niet altijd goed met elkaar gesynchroniseerd zijn. We zouden ze als overheid eens moeten uitnodigen voor een goed gesprek. Communiceren met elkaar: dat was toch de bedoeling van e-mail?

Verantwoordelijkheidsgevoel

En ten slotte, nee, misschien wel het allerbelangrijkste: de gebruikers moeten zich zeer verantwoordelijk voelen in het veilig mailen. Zo verantwoordelijk, dat ze ’s ochtends badend in het zweet wakker worden, omdat ze in hun droom vergeten waren om een e-mail veilig te versturen.

In dit artikel wordt met name het sociaal domein genoemd waar het beveiligd e-mailen een punt van zorg is, omdat er juist in dit domein veel persoonsgegevens tussen partijen worden uitgewisseld. Uiteraard is het beveiligd mailen niet alleen daar een belangrijk issue. Juist op plaatsen waar niet zo regelmatig persoonsgegevens met elkaar worden uitgewisseld, is het misschien nog wel belangrijker om medewerkers bewust bekwaam te maken op dit gebied.

Meer weten?

Voor meer informatie kunt u contact opnemen met Eric Leroi, adviseur bij Telengy, via tel. nr. 06 22 77 63 63 of via e-mail: e.leroi@telengy.nl.

Partner en verbinder van de publieke zaak

Gemeente Geertruidenberg

Gemeente Hengelo

Gemeente Veenendaal

Gemeente Oosterhout/Equalit

Gemeente Voorst

Gemeente Meierijstad

Land van Cuijk

Gemeente Boxtel/MijnGemeenteDichtbij

Werkorganisatie Duivenvoorde

Gemeente Uitgeest/BUCH

Gemeente Maasgouw/MER

Liemers

Gemeente Almelo

Gemeente Alphen aan den Rijn

Gemeente Apeldoorn

Gemeente Arnhem

Gemeente Best

Gemeente Beuningen

Gemeente Borsele

Gemeente Breda

Gemeente Brummen

Gemeente Brunssum

Gemeente 's-Hertogenbosch

Gemeente Den Haag/VNG Realisatie

Gemeente Doesburg

Gemeente Dordrecht/Drechtsteden

Gemeente Drimmelen

Gemeente Eemsdelta i.o.

Gemeente Eindhoven

Gemeente Goirle

Gemeente Groningen

Gemeente Hoeksche Waard

Gemeente Hulst

Dijk en Waard

Gemeente Leiden/VRHM

Gemeente Moerdijk/ICTWBW

Gemeente Montferland

Gemeente Oisterwijk

Gemeente Overbetuwe

Gemeente Reimerswaal

Gemeente Roerdalen

Gemeente Rotterdam

Gemeente Sittard- Geleen

Gemeente Uden

Gemeente Utrechtse Heuvelrug

Gemeente Waddinxveen

Gemeente Westland

Gemeente Wijchen

Gemeente Zeist

Zwolle/GBLT

Digi-koppelpunten

Het probleem van e-mail

Verantwoordelijkheidsgevoel

Meer weten?

Over Eric LeroiAdviseur

Andere publicaties van Eric Leroi

Over Eric Leroi
Adviseur