Menu

Privacy by design

Met Inforium krijgt een patiënt van zijn eigen dokter informatie op maat, gewoon in de eigen mailbox. Dat persoonlijke aspect wordt door zowel dokter als patiënt als de bron van ons succes gezien en is precies wat we met Inforium willen bereiken. Maar hoe zit dat dan met de AVG-privacywet die eraan komt?

 

 

Het interessante is dat het persoonlijke aspect van Inforium op juridisch, technisch en functioneel opzicht niet klopt. Inforium is juist ontwikkeld met respect voor de privacy van zowel zorgverlener als patiënt. Privacy by design noemen we dat. Inforium is geen databedrijf, maar een NADA-bedrijf: we verwerken of bewaren geen onnodige gegevens: nada dus. Hieronder leg ik het uit.

 

 

Inforium-mail
De Inforium-mail die de patiënt ontvangt, bestaat uitsluitend uit openbare informatie. Elk Inforium is qua inhoud immers door iedereen te benaderen. In de gebruiksvoorwaarden van Inforium staat dan ook dat informatie die ingebracht wordt meteen openbaar is en dat persoonsgegevens verboden zijn. Dit heeft als gunstig bijeffect dat samenwerking sterk gestimuleerd wordt omdat inhoud makkelijker gedeeld kan worden. En ondanks dat er dus nooit persoonsgegevens in de mails staan, maakt het feit dat de informatie op maat door de dokter uitgekozen is voor een specifieke patiënt het tóch persoonlijk.

 

 

Verzenden
Juridisch gezien stuurt de dokter ook niets. Dat denkt hij alleen. Wat er technisch gebeurt, is dat de dokter aan een “third trusted party” (Inforium, dus) via een webpagina een verzoek doet om met toestemming van de patiënt een bepaald Inforium naar een bepaald adres te sturen. Maar wij sturen het, niet de dokter. Die krijgt alleen een verzendbevestiging op het scherm. Zo’n verzendfunctionaliteit kom je op vele websites tegen. Maar nu komt het bijzondere. Bij Inforium weten we niet van wie het verzoek komt. Aangezien Inforiums openbaar te versturen zijn, kan het iedereen zijn. Op het moment dat een Inforium verzendknop ingedrukt wordt, wordt het bericht verzonden en worden er geen persoonlijke gegevens opgeslagen. Niemand kan ooit nog traceren wie welk Inforium verzonden heeft. Er is geen enkel technisch verband tussen dokter en patiënt. De verificatie is persoonlijk en menselijk; de zorgverlener heeft de patiënt laten weten dat hij informatie ging verzenden. Aangezien de patiënt zelf al toestemming en mailadres heeft gegeven komt het in zijn reguliere mailbox terecht die ook beschermd is met een wachtwoord. Doordat de patiënt alleen nog zijn mail hoeft te checken, iets wat hij altijd al doet, is de acceptatie door patiënten meer dan 80 procent.

 

 

Persoonsgegevens?
Ook dit heeft een bijeffect. Inforium is uitsluitend eenrichtingsverkeer en het mailadres van de afzender (de dokter) blijft onbekend. Dat houdt de drempel voor de zorgverleners ook laag. Tegelijkertijd is het verplicht om in een Inforium een contactmogelijkheid voor de patiënt op te geven, zoals een mailadres, telefoonnummer of een link naar een portaal, app of PGO. Een patiënt mag een dokter of zorgverlener altijd mailen. De heen-en -terug communicatie is dus gescheiden. De zorgorganisatie kan hiermee echter wel zijn eigen preferente contactmethode pushen naar de patiënt. Met één klik zit patiënt bij die communicatieapp of zorgportaal.

Juridisch gezien is het overigens nog de vraag in hoeverre een mailadres een persoonsgegeven is. Pietje3456@mail.nl kun je moeilijk een persoonlijk gegeven noemen. Zie voor achtergrondinformatie https://autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/wbp-naslag/hoofdstuk-1-algemene-bepalingen-art-1-tm-5/artikel-1-sub-wbp In ieder geval is wel duidelijk dat een emailadres geen persoonsgegeven van gevoelige aard is, zoals vele andere zorggegevens. Het IP-adres van opdrachtgever al helemaal niet. Bovendien vernietigt Inforium het emailadres en IP-adres na verzending. Geen enkele persoonlijke data-analyse wordt toegepast.

 

 

Veilig
Dan blijft de vraag over of mail an sich een veilig medium is. Inforium wordt beschermd door het ontbreken van technische verificatie en persoonlijke gegevens. Het ontvangen van mail over een onderwerp betekent niet dat je er iets mee te maken hebt. Iedere spam box zit er vol mee.

 

 

Op het moment dat iemand een mailadres opgeeft, wordt het Inforium naar dat mailadres gestuurd. Ik zie mensen in de praktijk vaak een Gmail-, hotmail- of zelfs een werkmailadres opgeven. Het laatste lijkt me onverstandig, aangezien de werkgever kan meekijken, maar voor de rest zijn het persoonlijke keuzes. De patiënt wordt eigenaar van de informatie, dus mag dat zelf weten. Met meer mogelijkheden komen meer verantwoordelijkheden.

 

 

Privacy by design, zo is Inforium al in 2011 opgezet. De combinatie van openbare informatie, ontraceerbaarheid, vernietiging van IP-adres en mailadres en persoonlijke in plaats van technische verificatie zorgen ervoor dat Inforium en zijn klanten met een rustig gevoel de nieuwe AVG-wet kunnen afwachten. En had ik al gezegd dat het doodsimpel en betaalbaar is, patiënten en dokters er blij mee zijn en er minder vragen, telefoontjes en betere therapietrouw mee bereikt worden?