Onze eerste huisarts was een wat norse man. Om zijn spreekuur te
bezoeken moest je een lange trap op, van de stoep in de Bosstraat tot aan de
voordeur van het statige pand. Ja, je moest goed ter been zijn als je dokter
Van Wessum had. Als je die eerste horde had genomen, dan mocht je plaatsnemen
in de altijd volle wachtkamer, want in die tijd kwam je nog niet op afspraak. Wanneer
de volgende patiënt aan de beurt was, ging de zoemer. Klonk de zoemer lang, dan
moest je er rekening mee houden dat de dokter minder goed gehumeurd was. Des
dokters vulpen zweefde al boven het receptenblok voordat je een woord gesproken
had, klaar om je pillen voor te schrijven ter genezing van welke kwaal dan ook.
En als je dan zo’n briefje meekreeg, moest je maar hopen dat de apotheker kon ontcijferen
wat daar stond.
Onze huidige huisarts meldt zich aan de telefoon met een vrolijk “met
Sylvia”, komt je persoonlijk in de wachtkamer ophalen en zapt eventuele
recepten direct door naar de apotheek. Op mijn telefoon draait een app waarmee
ik herhaalrecepten kan aanvragen, een afspraak kan maken en zelfs kan chatten
met Sylvia. Ik heb dat alles nog nooit geprobeerd, maar het kán.
Het ziekenhuis nabij ons kantoor maakt ook gebruik van een app. Daarmee
kun je “direct in gesprek met uw arts of zorgverlener” en je kunt zelfs foto’s
opsturen (“Kijk eens dokter, die knobbel hier, is dat normaal na die
behandeling?”) Een collega toonde mij het bijbehorende foldertje. Daarin wordt
diverse keren aangehaald dat de app veilig en betrouwbaar is en dat je privacy
“uiteraard” gegarandeerd wordt. Dat maakt mij nieuwsgierig, want we hebben hier
natuurlijk wel te maken met wat in de AVG ‘bijzondere persoonsgegevens’ heet. (Naast
gegevens over je gezondheid gaat het daarbij ook om ras of etnische afkomst,
politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het
lidmaatschap van een vakbond, genetische en biometrische gegevens en gegevens
met betrekking tot je seksueel gedrag of seksuele gerichtheid.) Die mag een
organisatie alleen gebruiken als de wet daarvoor een uitzondering maakt. Als
het in het belang van jouw gezondheid en “de samenleving als geheel” is, dan
mag medische informatie wel verwerkt worden, staat in de AVG.
De eerste horde is dus genomen, het gebruik van zo’n app dient immers
jouw gezondheid. Maar waaruit blijkt nou dat de app daadwerkelijk veilig en
betrouwbaar is en dat je je geen zorgen over je privacy hoeft te maken? Op naar
de website van BeterDichtbij, zoals de app heet. Ze passen “de meest uitgebreide
technieken toe voor de veiligheid van de app en achterliggende systemen” en
laten de systemen meerdere keren per jaar extern auditen, lees ik. De gegevens
worden bewaard op “sterk beveiligde Europese servers”. Die locatie-aanduiding
is van belang omdat persoonsgegevens van Europeanen niet zonder toestemming
elders mogen worden opgeslagen. De app bewaart geen gegevens op je telefoon en
voldoet aan “strengere dat de wettelijke eisen”, ronkt de website nog even
door.
Tijdens de registratie ontvang je per sms een activatiecode, en aan het
einde nog een bevestigingscode. In beveiligingskringen haalt men tegenwoordig
de neus op voor sms als authenticatiekanaal, omdat sms-verkeer kan worden
onderschept, je sim-kaart kan worden gekloond en personeel van je provider de sms’jes
kan inzien. Maar, zo haast men zich daaraan toe te voegen, sms is beter dan
niks, dus als dat de enige optie is, maak er dan vooral gebruik van. Bovendien
kun je je afvragen welk belang een aanvaller zou kunnen hebben om de
activatiecode voor een medische app te onderscheppen – bij de legitieme
gebruiker zal de activatie falen en dan gaat hij aan de bel trekken. Nee, het
afkeuren van sms richt zich vooral op twee-factor-authenticatie
(2FA) voor het regulier ergens inloggen met behulp van iets wat je weet
(wachtwoord, pincode) én iets wat je hebt (je telefoon of een token, waarop een code verschijnt).
In de privacyverklaring van BeterDichtbij staat dan hun servers voldoet
aan de informatiebeveiligingsnorm ISO27001. Ai, daar heeft iemand iets niet
goed begrepen: een apparaat, zoals een server, kán helemaal niet voldoen aan de
ISO27001, want dat is een norm die (kort door de bocht) iets zegt over wat je
in je organisatie allemaal moet inrichten om ervoor te zorgen dat het werk
veilig gebeurt. Zo’n zin is dan toch een beetje een afknapper waardoor je je
gaat afvragen of er nog meer missers in die verklaring staan. O ja, daar is er
al eentje: in de inleiding refereren ze keurig aan de AVG, maar een stukje
verderop noemen ze nog de oude wet, de Wbp. Slordigheidje.
Artsenorganisatie KNMG heeft een Medische App Checker, bedoeld om artsen
te laten beoordelen of een bepaalde app geschikt is voor een bepaald doel. De
checker bevat onder andere vragen over privacy en de beveiliging van
persoonsgegevens. Zonder heldere privacymededeling valt een app sowieso af. Is
die er wel, dan vraagt de checker nog even door. Over bijvoorbeeld toestemming
vragen voor het verzamelen van gegevens en het gebruik daarvan. Als je twee of
meer vragen met nee beantwoordt, dan wordt de app afgeraden. Het is natuurlijk
prima dat zo’n tool er is, maar zou het niet beter zijn als dergelijke apps
door een centrale instantie (de overheid?) getoetst zouden worden? Artsen hebben
nou eenmaal een heel ander specialisme dan informatiebeveiliging en privacy.
Schoenmaker, blijf bij je leest; dokter, blijf bij je stethoscoop.
En in de grote boze buitenwereld …
... is privacy veel te moeilijk voor de gewone burger.
... wil het kabinet bijzondere persoonsgegevens vastleggen van mensen
die een wapenvergunning aanvragen. (Ik denk dat echte terroristen geen
wapenvergunning aanvragen.)
... wedden we gelukkig niet op één paard als het om
terrorismebestrijding gaat.
... denkt de Britse overheid alvast na over hoe het verder moet met
gegevensbescherming na de Brexit. Vooral de overdracht van gegevens vanuit de
EU naar het VK is een zorgpunt.
... heeft het onderwijs een eigen privacywet.
... stapt Microsoft af van wachtwoorden.
... vormen usb-sticks nog steeds een belangrijke dreiging. Vooral in
ontwikkelingslanden.
... lees je hier nog eens waarom en hoe je een VPN gebruikt.
... lekte de VN wachtwoorden, interne documenten en technische details.
... was er commotie over het automatisch aanloggen bij Google Chrome.
Hier staat hoe je dat kunt omzeilen.
... heeft Google zich de kritiek aangetrokken en kun je er in de
volgende versie van hun browser iets aan doen.
... is reputatiemanagement ook voor jou van belang.
... filtert deze app de beveiligingsadviezen van het NCSC voor jou.
... heeft AV-Test weer virusscanners voor Windows getest. Tip: er zit al
een goede virusscanner in Windows zelf... (Windows Defender).