End-to-end-encryptie (e2e) wordt geen onderdeel van de wettelijk verplichte standaard bij het uitwisselen van medische gegevens. Demissionair minister Hugo de Jonge van Volksgezondheid geeft aan de encryptie-eis niet door te voeren in een nieuwe wet ‘vanwege de systematiek van het wetsvoorstel’.
Kamervragen
Demissionair minister de Jonge reageerde hiermee op vragen vanuit de Partij voor de Dieren (PvdD) over een wetsvoorstel met betrekking tot de Wet elektronische gegevensuitwisseling in de zorg. Deze wet moet onder andere vastleggen aan welke eisen zorginstellingen moeten voldoen wanneer zij onderling patiëntgegevens uitwisselen.
De PvdD vroeg aan de minister of de end-to-end-encryptie in deze wet is opgenomen. Hierop reageerde De Jonge dat end-to-end encryptie zelf niet expliciet wordt opgenomen in de wet, maar dat de instellingen zich aan de al geldende zogeheten NEN-normen moeten houden. In deze normen worden al eisen gesteld aan de informatiebeveiliging in de zorg. De minister geeft aan dat als end-to-end encryptie onderdeel gaat worden van de beveiliging van medische gegevens, dit dan hoogstwaarschijnlijk via de NEN-normen worden opgenomen in plaats van via een wetsvoorstel.
De juiste oplossing?
Het blijft de vraag of end-to-end encryptie wel de juiste oplossing is voor data die met een complex netwerk aan zorgverleners moet worden uitgewisseld. End-to-end encryptie is bijvoorbeeld wel wenselijk bij een chat-applicatie zoals WhatsApp waarbij de gegevensuitwisseling tussen slechts twee apparaten plaatsvindt. Hierbij hebben alleen de verzender en de ontvanger toegang tot de decryptiesleutel.
Bovendien geeft beveiligingsnorm NEN 7510 al een kader waarbinnen “iedere proceseigenaar de voor zijn/haar proces relevant geachte informatiebeveiliging kan specificeren, inclusief de daarbij behorende maatregelen”. Deze normen zijn al van toepassing op alle zorgaanbieders en organisaties in de zorg- en welzijnssector die persoonlijke gezondheidsinformatie beheren, “ongeacht de aard en omvang van het bedrijfsproces”.
