Mailservice voor zorgbedrijf

Zivver, Zorgmail, Sophos, begin daar eens te kijken. Let op kosten en gebruiksgemak voor verzender en ontvanger.

Edit: en maak onderscheid tussen “gewone” mails (any mail provider die redelijk aan versleuteling doet) en mails met bijzondere persoonsgegevens.

[ Voor 40% gewijzigd door F_J_K op 09-10-2019 22:06 ]

gmail, protonmail enz gaan over heel andere eigenschappen; de NEN/ISO/wetten/whatever die met zorg te maken hebben werken niet zomaar met standaard consumenten of random commerciële maildiensten.

Afhankelijk van juridische afwegingen kan het bijvoorbeeld al een eis zijn dat alles in NL blijft. Of dat er gegarandeerd e2e encryptie aanwezig is. Of dat er geen mail in een onbeveiligde mailbox terecht mag komen (waardoor je feitelijk slechts notificaties mailt en het echte bericht in een portal staat, denk aan MijnOverheid).

Daarnaast wil in dit soort sectoren de term : mailservice nog wel eens heel veelomvattend zijn.
Omdat er bijv niet met alle partijen ge-emailed mag worden maar er bijv een alternatieve berichtenservice is voor partij x en partij y.

Voordat je begint te roepen qua softwarepakketten zou ik simpelweg eerst eens een goede lijst van requirements overeenkomen met de klant.

Want zeker bij dit soort dingen (en zeker na GDPR) zijn er naast de klant-requirements ook nog idd een heleboel juridische requirements bijgekomen.

Stel dat je zoals johnkeates zegt een requirement hebt dat alles in NL blijft, dan kan je bijna sowieso een mail-systeem of uberhaupt een systeem wat werkt met internet dns-adressen afschrijven. Omdat een ipv4 adres weinig zegt over de fysieke locatie van het ip-adres.
Er bestaan lijsten en er worden databases bijgehouden met locaties van ip-adressen, alleen sinds ipv4 schaarser en schaarser wordt wordt er steeds meer geruild en naderhand pas de lijsten/dbases bijgewerkt.

noot vooraf: ik werk niet in de zorgsector en weet daar ook niet veel van af maar ik weet wel veel van e-mail en beveiliging

t link schreef op woensdag 9 oktober 2019 @ 21:58:
Iemand die ik ken benaderde mij met de vraag welke mailservice nou een beetje veilig is om als zorgbedrijf te gebruiken, en GDPR complient is. Ik ben zelf niet erg bekend in deze markt, protonmail komt in me op maar ik weet niet in hoevere dat nou goed genoeg is voor een zorgbedrijf. via de mail word ook gevoelige clienteninformatie gecommuniceert met bijvoorbeeld de gemeente.

Niet. Veilige e-mail bestaat eigenlijk niet. E-mail heeft de veiligheid van een ansichtkaart; de postbode kan zo meelezen.

Je hebt grofweg twee opties:
1.) Je gebruikt een speciaal stuk software om berichten uit te wisselen met de gemeente. Het nadeel is dat de gemeente diezelfde software zal moeten installeren en gebruikers leren om er mee om te gaan. Dat zullen ze niet zomaar voor iedere partner doen want dan zitten ze al snel met tientallen verschillende systemen. Misschien heeft de gemeente zelf een standaard oplossing waar je bij aan kan sluiten. Als jij echter met verschillende gemeentes (of anderen) moet communiceren kom je in hetzelfde schuitje terecht.
Daarbij is het moeilijk om zo'n systeem "fool-proof" te maken als je tegelijkertijd "gewoon" wil kunnen blijven mailen. Als de gebruiker zelf moet beslissen of een mail beveiligd moet worden of niet, dan zal het af en toe fout gaan, of dat nu door een foute inschatting komt of door een misklik.

2). Je gebruikt e-mail alleen als notificatie-systeem.
Je stuurt dan niet het bericht zelf per e-mail, alleen een bericht "Er staat een nieuw bericht voor u klaar". Vervolgens gaat de gebruiker naar een beveiligde website waar het echte bericht te lezen is. Dan moet je wel zorgen dat die website goed beveiligd is en al je partners/gebruikers een account aanmaken , 2FA instellen, hun wachtwoord goed beveiligen, etc., etc., etc., maar dat zijn zaken waar we een stuk betere oplossingen voor hebben dan voor de beveiliging van e-mail.

CAPSLOCK2000 schreef op donderdag 10 oktober 2019 @ 12:37:
[...]
1.) Je gebruikt een speciaal stuk software om berichten uit te wisselen met de gemeente. Het nadeel is dat de gemeente diezelfde software zal moeten installeren en gebruikers leren om er mee om te gaan.

Dit nadeel is in de praktijk niet zo heel erg groot (behalve als je een nieuw systeem wilt implementeren), voor de meeste industrieen etc zijn er gewoon industriestandaarden voor hoe berichten buiten mail om gaan etc, daar kan je dan gewoon op aansluiten en je kan met iedereen die die standaard hanteert communiceren.

Sterker nog, mail is over het algemeen een twijfelachtig systeem of je moet het enkel als transportmiddel gebruiken. Aangezien je qua automatiseringscommunicatie toch gewoon via vastgestelde berichten / API's wilt werken etc zodat je niet de doublures en vergeten dingen van geschreven woord gaat hebben.

Dan kan je denken aan EDI-berichten met hot-folders op sftp systemen oid. Maar er zullen binnen elke industrie weer andere berichtenvormen zijn en daarmee gekoppeld andere transportmiddelen.

2). Je gebruikt e-mail alleen als notificatie-systeem.

Tja, dit vind ik altijd persoonlijk zulke waardeloze oplossingen gericht op het regelmatig handmatig lezen van e-mails. Wil je een notificatie systeem opzetten, hanteer er dan in ieder geval 1 die ook oude notificaties weer kan verwijderen.
Ik vind het super irritant om na een vakantie oid allemaal notificaties te vinden die doodlopen omdat de berichten maar eens levensduur van 1 dag hadden.

https://www.nictiz.nl/boeken/ict-standaarden-in-de-zorg/

Is dat iets?

MSteverink schreef op donderdag 10 oktober 2019 @ 15:56:
https://www.nictiz.nl/boeken/ict-standaarden-in-de-zorg/

Is dat iets?

Twijfelachtig denk ik, het is leuke achtergrond info etc en zeker leerzaam wil je je verder erin verdiepen dan deze opdracht.

Echter voor deze opdracht zijn andere standaarden dan daadwerkelijk gebruikt in de keten van dat zorgbedrijf totaal niet relevant. De vraag is niet om de hele keten van zorgbedrijven GDPR veilig te maken etc.
Enkel dit ene zorgbedrijf.

En in zo'n keten wordt de standaard meestal afgedwongen door 1 gigant binnen die keten en die heeft er ook heel wat geld in geinvesteerd en heeft een los zorgbedrijfje zoals waar ik vermoed dat het hier om gaat slechts te werken binnen de paden gebaand door de gigant.
Zoals ik al zeg, het is leuk als achtergrondinfo en je kan (indien van toepassing) terloops eens laten vallen dat hun huidige implementatie niet het meest veilige is oid en dat x of y beter is.
Echter qua advies heeft het weinig zin om x of y aan te raden als die niet binnen de keten bekend zijn.

Zo ken ik een voorbeeld van een zelfstandige huisarts die een eigen softwarepakket kocht wat echt veilig was, echt overal in Europa gebruikt werd, echt voldeed aan de GDPR etc. etc. etc.
Alleen het kon niet communiceren met het lokale ziekenhuis of de lokale apotheek, oftewel 99% van het "digitale" verkeer ging eruit een softwareprinter-to-fax koppeling.
Die huisarts had vast 100% digitaal kunnen communiceren met het AMC-ziekenhuis of VU-ziekenhuis of een giga-ziekenhuis in londen of in zweden of weet ik veel waar, maar niet met het lokale streekziekenhuis...

Maar hij had technisch wel de beste oplossing uit de omgeving.
(ok, ok, half jaar later werd er een ander pakket geinstalleerd en de kosten van het "beste" pakket werd een beetje over gehandjeklapt omdat wellicht de informatievoorziening vanuit leverancier toch niet 100% was geweest etc)