Artikelen / 05/04/2019

Voorzichtig met E-mails!

Geen reacties
Lees verder
Marleen hoopt een nieuwe baan te vinden en komt voor een assessment terecht bij Yvo, A&O psycholoog NIP en ook psycholoog NIP. Na een intensieve testdag ontvangt Marleen een dag later per e-mail het conceptrapport als PDF-bestand. Het bestand is niet beveiligd en dat zint Marleen niet. Zij dient een klacht in bij het College van Toezicht van het NIP. Krijgt zij gelijk?
Henk Geertsema

Marleen1 is van mening dat Yvo in strijd met de Beroepscode heeft gehandeld door haar het conceptrapport per e-mail als onbeveiligd PDF-document toe te sturen. Ook twee herziene versies ontvangt ze op dezelfde wijze. Het definitieve rapport stuurt Yvo eveneens als onbeveiligd PDF-bestand naar de opdrachtgever. Marleen verwijt Yvo in strijd te handelen met geldende wetgeving op het gebied van bescherming van persoonsgegevens, met de Beroepscode en met de Vuistregels beveiliging digitale cliëntendossiers, die te vinden is op de website van het NIP2. Ook is deze handelswijze in strijd met het privacyreglement van Yvo’s bureau, zoals te vinden is op de website van dit bureau.

Yvo’s verweer

Waarschijnlijk is Yvo verrast door de klacht, want hij vraagt de systeembeheerder van zijn bureau een analyse te maken van de e-mailuitwisseling. Deze systeembeheerder concludeert: ‘Kijkend naar bovenstaande punten dan is de communicatie via e-mail op een zo veilig mogelijke manier verlopen.’ Met de bovengenoemde punten worden allerlei technische aspecten van het ICT-systeem van Yvo’s bureau bedoeld.

Ondanks deze conclusie geeft Yvo aan dat op zijn kantoor inmiddels is afgesproken dat privacygevoelige documenten zullen worden versleuteld en voorzien van een wachtwoord. Dit wachtwoord zal apart verstuurd worden.

Transport via het internet

Het College vindt dat voor de beantwoording van de vraag of de privacy al dan niet geschonden is deskundigheid op het gebied van digitale informatieverstrekking is vereist. Daarom wordt advies gevraagd aan een deskundige op het gebied van ICT, informatiebeveiliging en privacy.

Deze stelt dat de apparatuur op het bureau van Yvo en het traject naar de server wel van alle beveiliging is voorzien, maar dat het transport via het internet toch onbetrouwbaar is. In zijn rapport concludeert hij dat het verstandig is alle tussenliggende schakels als onbetrouwbaar te beschouwen. Dat betekent dat de verzender maatregelen moet treffen die ervoor zorgen dat een bericht gedurende transport niet door onbevoegden verwerkt kan worden. Een methode daartoe is het versleutelen van het bericht. Hij beschrijft in zijn rapport de verschillende encryptiemethoden, zowel handmatig als automatisch. Als verzachtende omstandigheid noemt hij het feit dat bij veel organisaties en bij heel veel personen het besef ontbreekt dat e-mail niet veilig is. E-mail is nu eenmaal erg gemakkelijk en gebruiksvriendelijk.

Wat vindt het college van toezicht?

Het College sluit zich aan bij het oordeel van deze deskundige en Yvo wordt uitgenodigd om te reageren op het rapport van de deskundige. Voor het oordeel van het College is artikel 72 van de Beroepscode 2015 van belang: ‘Psychologen nemen in redelijkheid alle voorzorgen dat er in de schriftelijke, telefonische of elektronische communicatie met de cliënt of met andere betrokkenen geen vertrouwelijke gegevens over de cliënt, zonder diens instemming, ter kennis komt van derden. In een vroeg stadium overleggen psychologen daartoe met de cliënt of met betrokken derden hoe de communicatie het best kan verlopen en hoe deze moet worden vormgegeven om de vertrouwelijkheid met betrekking tot de cliënt te bewaren.’ Ook wijst het College naar de Vuistregels beveiliging digitale cliëntendossiers van het NIP uit 2011.

Alles overwegend beoordeelt het College de klacht van Marleen als gegrond. Omdat Yvo heeft erkend dat het rapport beter versleuteld had kunnen worden en omdat hij inmiddels beter overleg voert met zijn cliënt over de wijze van communicatie, acht het College het niet nodig om een maatregel op te leggen.

Wat valt op?

Het College, dat in meerderheid uit psychologen bestaat, vraagt een ICT-deskundige om advies. Dit geeft al aan dat de technische aspecten van e-mailverkeer door psychologen meestal niet goed worden overzien. Daardoor worden de risico’s van privacy schending onderschat. Dit overkwam dus ook Yvo, die terecht stelde dat alle apparatuur op zijn bureau state of the art was, maar desondanks onvoldoende besefte dat er risico’s zitten in het verdere traject. Yvo wees erop dat het e-mailverkeer met Marleen had plaatsgevonden voor de inwerkingtreding van de AVG en dus in een periode waarin het bewustzijn op het gebied van privacy beperkt was. Ook de deskundige wees op het gebrek aan bewustzijn op dit punt.

De NIP Vuistregels en de Beroepscode dateren echter al van voor deze tijd. Reden genoeg voor alle psychologen om hun eigen werkwijze op dit punt kritisch tegen het licht te houden.

1. Voor alle duidelijkheid: ik baseer me alleen op de gegevens, zoals die te vinden zijn in de uitspraak, die onder nummer 17/32 te vinden is op de website van het NIP. De uitspraak is geanonimiseerd. De door mij gebruikte namen zijn verzonnen. Het verslag van de behandeling door dit College is onze enige bron. We hebben geen inzage in de stukken, die door de partijen zijn ingebracht. Marleen levert nog twee andere klachten in, die we hier buiten beschouwing laten, maar die overigens wel over een zorgvuldige omgang met cliëntgegevens gaan. Zie indien hiervoor het originele verslag.

2. www.psynip.nl/actueel/themas/thema/beroepsgeheim-privacy/