Voor de Nederlandse Rijksgezondheidsorganisatie GGD-GHOR en commerciële COVID-19-testcentra verwerkte SecuMailer in 2021 en 2022 bijna 75% van alle COVID-19-testresultaten in Nederland, zonder datalekken en conform de strenge overheidsvoorschriften. De testresultaten werden per beveiligde e-mail met sms-code naar Nederlandse burgers verzonden. Volledig conform de AVG- en eIDAS-regelgeving.

Klanten: de Nederlandse Rijksgezondheidsorganisatie GGD-GHOR en commerciële Covid-19-testfaciliteiten.

Kunt u in een paar zinnen uitleggen waarom dit initiatief belangrijk is voor de gegevensbeveiliging en wat de drie belangrijkste punten zijn die u de lezer en het publiek wilt meegeven?

Dit initiatief is belangrijk omdat het aantoont dat de veiligheid en privacy gewaarborgd kunnen blijven bij de verwerking van grote hoeveelheden geautomatiseerde e-mails met zeer vertrouwelijke medische informatie.

3 belangrijke conclusies:

• Beveiligde e-mail kan volledig voldoen aan de AVG (Algemene Verordening Gegevensbescherming).
• Beveiligde e-mail kan worden gebruikt voor medische informatie, mits ondersteund door een goed doordachte standaard (de eIDAS-standaard voor de bescherming van medische informatie via aangetekende e-mail).
• Dataminimalisatie leidt tot betere privacygaranties.

Beschrijf in het kort eventuele belemmeringen voor de ontwikkeling van dit initiatief op het gebied van gegevensbeveiliging en privacy.

• Beveiligde e-mails met medische informatie moeten worden beschermd door middel van tweefactorauthenticatie (2FA) voor zowel de afzender als de ontvanger.
• Geautomatiseerde e-mails moeten zonder menselijke tussenkomst worden verwerkt.
• Persoonsgegevens van EU-burgers mogen in de VS niet zonder extra beveiligingsmaatregelen worden verwerkt, vanwege de Schremms II-verordening.
• Gezien de grote volumes (20.000.000 in 2 jaar tijd) was het onacceptabel dat ontvangers aanzienlijke moeite moesten doen om de e-mail te openen.
• Vanwege de AVG wordt geadviseerd om extra kopieën van e-mails in portals of de cloud te vermijden (om te voldoen aan het principe van dataminimalisatie).
• Testresultaten (medische informatie) moeten privé blijven en alleen beschikbaar zijn voor de geteste persoon en de medische specialisten.

Wat is de impact van dit initiatief op de privacy van betrokkenen en welk percentage van deze betrokkenen wordt hierdoor getroffen?

Het initiatief had impact op alle burgers en toeristen in Nederland die een Covid-19-test wilden doen voor hun reis. Dit betreft ongeveer 20.000.000 betrokkenen in twee jaar tijd.

De privacy van alle betrokkenen is volledig gewaarborgd tijdens de communicatie van de testresultaten. Er zijn geen datalekken gemeld.

Geef 2-4 concrete voorbeelden en cijfers die aantonen hoe dit privacyprogramma of -initiatief de organisatie en haar winstgevendheid heeft verbeterd.

Er zijn geen datalekken gemeld (testresultaten aan de verkeerde ontvanger bezorgd).

In twee jaar tijd zijn 20.000.000 testresultaten verwerkt.

Minder dan 0,1% van de ontvangers had hulp nodig bij het openen van de testresultaten.

De levertijd van de testresultaten is cruciaal. Minder dan 0,1% van de betrokkenen heeft de start van hun vakantie gemist omdat de testresultaten niet op tijd binnenkwamen.

Kunt u in enkele zinnen uitleggen welke risico’s op het gebied van gegevensbeveiliging en privacy door dit initiatief worden verminderd?

Door geautomatiseerde e-mails te beveiligen, worden de volgende privacyrisico’s verminderd:

• Er worden geen e-mails naar de verkeerde ontvanger verzonden.
• Er wordt geen medische informatie via e-mail openbaar gemaakt aan personen die geen recht hebben op deze informatie.
• Er werden geen e-mails verwerkt op systemen in de VS, dus er is geen sprake van een beroep op het Privacy Shield.
• Er werden geen e-mails verzonden naar onveilige mailservers.
• Dit alles leidt tot de conclusie: De klant heeft geen datalekken ondervonden dankzij haar beveiligde e-mailprogramma en heeft daarom geen boetes gekregen in verband met de AVG.

Door gebruik te maken van beveiligde e-mailtechnologie in plaats van webportalen om de ontvanger te informeren over zijn/haar testresultaten:

• Er worden geen extra kopieën van de testresultaten gemaakt.
• Er vindt geen data-concentratie plaats.

Geef concrete voorbeelden van hoe het initiatief voor gegevensbeveiliging en privacy in de organisatie is geïntegreerd.

Het volgende proces is ontwikkeld voor het testen van personen op Covid-19 en het versturen van testresultaten en reisdocumenten:

Stap 1: De te testen persoon maakt een afspraak (online boekingsproces) voor de test.

Stap 2: Het e-mailadres wordt geverifieerd op juistheid en veiligheid.

Stap 3: De te testen persoon wordt tijdens de testlocatie geauthenticeerd met tweefactorauthenticatie (2FA).

Stap 4: Binnen 12 tot 24 uur worden de testresultaten en reisdocumenten via een geautomatiseerde, beveiligde e-mail naar het geverifieerde e-mailadres verzonden.

ImplemUitvoering:entation:

Het onboardingproces met SecuMailer verloopt via de volgende stappen:

• Koop uw oplossing op de AWS Marketplace
• Volg de implementatie-instructies (30 minuten tot 2 uur werk)
• Ontvang een persoonlijke workshop om alle privacymaatregelen ook in uw organisatiebeleid te integreren
• Begin met het veilig en volledig conform GDPR en eIDAS versturen van al uw e-mails

Achtergrondinformatie SecuMailer:

SecuMailer is een besloten vennootschap. Wij bieden onze klanten een SaaS-oplossing voor het veilig verzenden van vertrouwelijke informatie via e-mail.

SecuMailer is in 2017 opgericht door Yvonne Hoogendoorn CIPP/e en Meint Post CISSP/ISSAP.

SecuMailer voldoet volledig aan de AVG (Algemene Verordening Gegevensbescherming) en is gecertificeerd volgens eIDAS, ISO 27001:2002, NTA 7516 en heeft het ECSO-label (European Cyber ​​Security Organization).

SecuMailer is beschikbaar op de AWS Marketplace.

SecuMailer is een van de grondleggers van de Nederlandse regelgeving NTA 7516 voor veilige e-mail met persoonlijke medische informatie. Deze regelgeving combineert elementen van de AVG, de eIDAS en de Nederlandse medische wetgeving.