Medische gegevens faxen? Daar kan volgens zorgorganisatie Liberein onder de Algemene verordening gegevensbescherming (AVG) geen sprake meer van zijn. De zorgorganisatie uit Enschede deed de fax in de ban en stapte voor de uitwisseling van gevoelige informatie volledig over op e-mail. Beveiligde e-mail uiteraard. “Je redt het dan niet met een firewall.”
Het is misschien moeilijk voor te stellen, maar nog altijd maken zorginstanties veelvuldig gebruik van de fax. Voor apothekers is de fax zelfs onmisbaar. In 2016 wees onderzoek onder 140 apothekerspraktijken uit dat 99 procent dit apparaat nog altijd gebruikt om veilig te communiceren met ziekenhuisartsen, medisch specialisten of andere hulpverleners.
Bij dat ‘veilig communiceren’ plaatst ICT-manager Jaap van der Schoor van Liberein zijn vraagtekens. “Bij het uitwisselen van informatie via fax is er een groot risico op datalekken. Documenten met persoonsgegevens blijven nog weleens op zo’n apparaat liggen.” Onder de AVG is een organisatie verplicht om zo’n lek te melden bij de Autoriteit Persoonsgegevens, met mogelijk imagoschade, een waarschuwing of zelfs een boete tot gevolg.
Bedrijfskritisch proces
De AVG was voor Liberein de belangrijkste reden om de fax uit te faseren en voor de uitwisseling van informatie volledig over te stappen op e-mail. “E-mail was voor ons altijd al een bedrijfskritisch proces. In onze uitwijkscenario’s is het zelfs een van de belangrijkste processen”, schetst Van der Schoor. “Als de mail niet beschikbaar is, dan komt de communicatie met onze klanten en leveranciers en eigenlijk het hele bedrijf langzaam tot stilstand.”
“Maar mede door de uitfasering van fax wisselen we ook steeds meer medische gegevens – en dus bijzondere persoonsgegevens – uit per e-mail”, vervolgt de ICT-manager. “Dan volstaat beveiliging met een firewall en een virusscanner niet meer.”
Wasstraat voor e-mail
Samen met ICT-partner Deltics ging Liberein op zoek naar een oplossing voor e-mailsecurity. Een belangrijke eis die aan het nieuwe pakket werd gesteld, is dat zowel de inkomende als uitgaande mail ‘door de wasstraat’ wordt gehaald. Ook e-mailscanning op mobiele devices was voor Liberein een belangrijk punt. “Dan vallen er al snel veel oplossingen af”, constateert Van der Schoor.
Mimecast doorstond wel de toets der kritiek. Het grote gebruiksgemak is een bijkomend pluspunt van de e-mailsecurityoplossing van Mimecast. Van der Schoor: “In tegenstelling tot bij veel andere oplossingen hoeven Mimecast-gebruikers geen code in te voeren voor het ontvangen van e-mail. Ze merken dus eigenlijks niets van de security.”
Implementatie Mimecast S1
Liberein koos voor Mimecasts S1 Advanced Threat Security-oplossing, die de 1400 medewerkers volledig beschermt tegen geavanceerde aanvallen zoals spearphishing (een gerichte vorm van phishing) en whaling (gerichte aanvallen op hooggeplaatste personen). Ook helpt deze cloudgebaseerde oplossing datalekken voorkomen. Secure Large File Send (LFS) is voor een aantal medewerkers ingesteld.
Naar de twee maanden durende implementatie heeft Liberein nauwelijks omkijken gehad. “Die is volledig verzorgd door Deltics”, licht Van der Schoor toe. “Deltics is al jaren onze partner op het gebied van ICT en heeft ook een adviserende rol. Daarnaast zijn zij onze partner als het gaat om 24/7 monitoring en beheer.”
“We hebben S1 in twee fases aangezet”, vervolgt Van der Schoor. “In de eerste fase hebben we geanalyseerd met welke partners per e-mail wordt gecommuniceerd en bepaald of die communicatie veilig moet zijn.” Vervolgens hebben we gecontroleerd of die partners met Mimecast beveiligde e-mail kunnen lezen en ook veilig e-mail naar ons toe kunnen sturen. In fase 2 hebben we de beveiliging geactiveerd.”
AVG-proof
Mimecast S1 functioneert naar alle tevredenheid. Net als alle organisaties heeft ook Liberein te maken met dreigingen zoals spam, phishing en ransomware. “Van een ransomware-aanval herstelden we redelijk eenvoudig door een back-up terug te zetten”, zo geeft de ICT-manager als voorbeeld. “Nu wordt echter alles tegengehouden nog voordat er sprake is van schade. Bijvoorbeeld phishingmails komen er niet meer door.”
“En nu zijn we op het gebied van e-mail AVG-proof”, besluit de ICT-manager. “Daarvoor is het niet alleen belangrijk dat we e-mail goed beveiligen, maar ook dat we het e-mailverkeer kunnen volgen. Als er sprake is van een incident kunnen we met Mimecast precies zien wie wat heeft gedaan en wanneer. We zijn dan beter in staat om het incident te reconstrueren en verantwoording af te leggen. Met een standaard Exchange-oplossing met alleen een firewall is dat lastig.”