Dagelijks opinie, nieuws en achtergronden

Inloggen
naar overzicht
Sjaak Nouwt
23 maart 2016 4 minuten leestijd
veiligheid

WhatsApp niet veilig, alternatieven wel

10 reacties

E-HEALTH

Andere messenger-apps doorstaan toets der kritiek beter


Veel artsen versturen via WhatsApp ook informatie, inclusief foto’s, over patiënten. Dat brengt privacyrisico’s mee, en daar is de Autoriteit Persoonsgegevens, maar ook de KNMG, niet blij mee. KNMG-beleidsadviseur Sjaak Nouwt draagt alternatieven aan.

Uit onderzoek onder het KNMG Artsenpanel vorig jaar bleek dat 44 procent van de 702 responderende artsen (n=264) een messenger-app, zoals WhatsApp, gebruikt voor werkgerelateerde doelen.1 Een derde (33%) daar weer van (n=86) verstuurt ‘weleens’ een foto, meestal van wonden of van de huid, voorzien van informatie over een patiënt. Het betreft dan dus tot individuele patiënten herleidbare gegevens die onder het medisch beroepsgeheim en andere privacyregels vallen.

Het privacyrisico hierbij lijkt misschien klein, zeker als patiënten er geen bezwaar tegen hebben gemaakt, terwijl er mogelijk veel gezondheidswinst kan worden behaald. Zo kunnen meerdere artsen die betrokken zijn bij een ingewikkelde transplantatie waarbij geen tijd mag worden verloren elkaar snel en eenvoudig informeren. Toch heeft de Autoriteit Persoonsgegevens er bezwaar tegen, en ook de KNMG adviseert artsen om geen foto’s te versturen, als die herleidbaar zijn tot individuele patiënten. Artsen zelf zijn zich overigens – aldus blijkt ook uit het onderzoek – zeer bewust van de privacy- en beveiligingsrisico’s.2

Intussen roept de Autoriteit Persoonsgegevens, die sinds 1 januari bestuurlijke boetes mag opleggen tot maximaal 820.000 euro of 4 procent van de jaaromzet van een rechtspersoon (zoals een nv, bv, stichting of vereniging), artsen op om op zoek te gaan naar alternatieven voor WhatsApp. Dit artikel wil graag aan die zoektocht bijdragen.


Scorekaart

De Amerikaanse digitaleburgerrechtenorganisatie EFF (Electronic Frontier Foundation) ontwikkelde een scorekaart voor de veiligheid van messenger-apps.3 Hoewel het onderzoek nog een vervolg krijgt, geven de resultaten tot nu toe al een indicatie van de veiligheid van messenger-apps.

Die veiligheid wordt getoetst aan de volgende criteria:

1. Wordt alle communicatie van de gebruiker versleuteld?

2. Worden de berichten zodanig versleuteld dat ze onleesbaar zijn voor de provider (end-to-end-versleuteling)?

3. Is het mogelijk om de identiteit te verifiëren van de personen met wie wordt gecommuniceerd?

4. Zijn oude berichten beveiligd als de sleutels zijn gestolen? Dus wordt een eenmalig gebruikte sleutel na de communicatie meteen vernietigd?

5. Is de broncode beschikbaar voor onafhankelijk onderzoek op de aanwezigheid van fouten, achterdeuren en structurele beveiligingsproblemen?

6. Is de versleutelingsmethode goed gedocumenteerd?

7. Is de beveiliging recentelijk (maximaal twaalf maanden terug) onafhankelijk geaudit?


Alternatieven

De scorekaart laat ook zien dat er andere, mogelijk minder bekende messenger-apps bestaan die wél op alle punten goed scoren, en dus veiliger communiceren dan WhatsApp. Dit zijn Off-The-Record Messaging for Windows (Pidgin), Signal, Silent Phone, Silent Text en Telegram (secret chats).4

Samen met enkele collega’s heb ik geheel willekeurig de messenger-app Signal van Open Whisper Systems getest op gebruiksvriendelijkheid. Signal wordt overigens aanbevolen en gebruikt door de Amerikaanse klokkenluider Edward Snowden.

Onze ervaringen zijn in het kort als volgt. Signal is gratis beschikbaar via de appstore van Apple en Google. Het gebruik ervan blijkt net zo eenvoudig als Whats-App. Het uitwisselen van berichten, foto’s, video’s, groepen aanmaken, et cetera via Signal werkt op een vergelijkbare manier als WhatsApp. Het maakt daarbij niet uit of de zender en ontvanger over een iOS- of Android-apparaat beschikt. Ook is het mogelijk om te bellen met Signal. Als de ontvanger een foto uit Signal wil opslaan op zijn telefoon, dan moet eerst op de foto worden geklikt, waarna deze kan worden ‘gedeeld’ door hem op te slaan in de filmrol. Er is dus altijd een actieve handeling van de ontvanger voor nodig. Foto’s komen dan niet onbedoeld tussen de vakantiefoto’s op de filmrol terecht.

Een mogelijk nadeel van het gebruik van een alternatieve messenger-app is dat de ontvanger dezelfde app moet hebben geïnstalleerd. Maar hier kan een zorginstelling wellicht sturend in zijn. En zo’n app is in een handomdraai geïnstalleerd.


Praktisch

Het lijkt al met al verstandig om voor professionele doeleinden over te stappen op een veiliger messenger-app. Misschien is dat ook wel zo praktisch. WhatsApp kunt u dan gewoon lekker privé blijven gebruiken. Dat maakt ook meteen de scheiding duidelijk tussen persoonlijk en zakelijk ge-app.


Auteur:

Sjaak Nouwt, beleidsadviseur gezondheidsrecht KNMG


contact:

s.nouwt@fed.knmg.nl

cc: redactie@medischcontact.nl

Geen belangenverstrengeling gemeld


Voetnoten:

[1] Zie ook Heleen Croonen, ‘Veilig whatsappen een must voor dokters’. Medisch Contact 25 november 2015, pag. 2314.

[2] KNMG, Mag een arts patiëntgegevens uitwisselen via WhatsApp? Praktijkdilemma 20 november 2015.

[3] Electronic Frontier Foundation, Secure Messaging Scorecard. (laatste update 13-3-2016).

[4] De messenger app Signal is de vervanger van de Android chat-app TextSecure en de Android bel-app RedPhone. Bron: Tweakers, ‘Crypto-chat-app Signal vervangt TextSecure en RedPhone op Android’, 3 november 2015. .

 

Lees ook: 


Download het artikel (PDF)

Beeld: Getty Images
Beeld: Getty Images
print dit artikel
veiligheid privacy beroepsgeheim whatsapp social media
Dit artikel delen
Op dit artikel reageren inloggen

Reacties

  • Sjaak Nouwt, Beleidsadviseur Gezondheidsrecht, 06-04-2016 00:00

    "Sinds 5 april 2016 is communiceren via WhatsApp een stuk veiliger geworden. De nieuwste versie maakt nu gebruik van end-to-end encryptie. Berichten, inclusief groepsberichten, foto’s en video’s, worden nu versleuteld verzonden. Zie ook: http://www.wired.com/2016/04/forget-apple-vs-fbi-whatsapp-just-switched-encryption-billion-people/. De EFF scorekaart is eveneens op 5 april 2016 ge-update en daarop scoort WhatsApp nu op 6 van de 7 beveiligingscriteria een voldoende. De broncode is echter nog altijd niet beschikbaar voor onafhankelijke controle. Zie ook: https://www.eff.org/secure-messaging-scorecard. Overigens zijn er andere messenger apps die nog steeds veiliger zijn dan WhatsApp."

  • Antoinette Quiel Koopman, Arts c.q. Specialist ouderengeneeskunde, 01-04-2016 00:00

    "Geachte redactie,
    In uw artikel over whatsapp mis ik de basisuitleg dat ieder telefoonsignaal een radiosignaal is en dat het kiezen voor een andere messenger/ boodschapper simpel kiezen is voor een bedrijf die boodschappen automatisch voor u codeert. Dit is nooit geheel veilig omdat ieder radiosignaal af te luisteren is en iedere code te kraken is.
    Dit is ook de reden dat de NSA haar echt belangrijke berichten op papier en in een koffer begeleid door een mens verzendt.
    Dit bericht van een arts zonder opleiding op het gebied van computers wordt gesteund door het bericht van vandaag door BNR dat het de FBI gelukt is om de code van Apple van hun zogenaamd veilige telefoon te kraken. Ook kunt u eens wat Google tijd steken in het zoeken naar informatie hoe een beveiligde computer en telefoon afgeluisterd kunnen worden doordat er een besmette telefoon in de buurt komt.
    Wil een arts medische informatie geheim houden is dus papier nog steeds het veiligste medium.
    "

  • Joost Zwartenkot, KNO-arts i.o., Nijmegen 25-03-2016 00:00

    "Dat veel van de medische gegevens via de prive-telefoon worden verstuurd, blijft in mijn ogen toch een vreemde zaak, ondanks dat deze goed beveiligd zijn. Berichten staan in de historie van de telefoon, welke meestal slecht gecodeerd is. In het bedrijfsleven kan een telefoon of tablet niet worden opgestart zonder eerst meerdere veiligheidsprocedures te doorlopen. Dit voorkomt dat de telefoon bereikbaar is zonder eerst de sim-kaart te blokkeren. Foto's betreffende patiënten zouden niet eerst op de telefoon moeten worden opgeslagen om daarna gedeeld te worden. Hierdoor worden ze onnodig naar iCloud, dropbox of andere backup servers gedeeld. Dedicated apps zoals haiku van het Epic elektronisch patiëntendossier ondersteunen de mogelijkheid om klinische foto's gelijk in het EPD op te slaan en op deze manier met collega's te delen. Eigenlijk zou de communicatie (-historie) buiten de smartphone of tablet om moeten gaan of met een dedicated zakelijk apparaat dat met een extra beveiliging is verzekerd."

  • M. Luitse, huisarts, SCHOONEBEEK Nederland 25-03-2016 00:00

    "Met iets meer moeite communiceer je veilig over patienten met het eGPO. "

  • L.D.S. Jap Tjoen San, Waarnemend huisarts, ZOETERWOUDE Nederland 24-03-2016 00:00

    "Volgens de tekst worden o.a. off the record messaging en telegram aangeraden, maar staan er wel een aantal rode kruisjes in de scorekaart. Kan je met Signal de verstuurde foto meteen zien of moet je hem eerst opslaan?"

 

Cookies op Medisch Contact

Medisch Contact vraagt u om cookies te accepteren voor optimale werking van de site, kwaliteitsverbetering door geanonimiseerde analyse van het gebruik van de site en het tonen van relevante advertenties, video’s en andere multimediale inhoud. Meer informatie vindt u in onze privacy- en cookieverklaring.