Zoom en veiligheid

Het is nu 4 weken geleden dat de Coronacrisis er voor zorgde dat GGNet van de één op de andere dag met haar groepsbehandelingen moest stoppen. Ook konden er geen vergaderingen meer georganiseerd worden en werden veel 1-op-1-gesprekken vervangen door telefonische gesprekken. Crisis dus. Het door laten gaan van de zorg is hoogste prioriteit bij GGNet. Daarom is er in een paar dagen tijd naar oplossingen gezocht om zorgafspraken toch door te laten gaan.

Gepubliceerd: 14 april 2020

GGNet heeft na grondig onderzoek gekozen voor de betaalde versie van de applicatie Zoom voor de online (groeps)behandelingen. We werken in de betaalde versie volgens de eisen vanuit de AVG. Voor de veiligheid hebben we een aantal accountinstellingen in Zoom vastgezet en onze behandelaren geïnstrueerd hoe zij zelf ook voor een veilige behandeling kunnen zorgen. Hiermee beperken wij het veiligheidsrisico tot een minimum.

Wij vinden het belangrijk te vermelden dat het gebruik van een app altijd veiligheidsrisico’s met zich meebrengt. Dat is nooit 100 procent uit te sluiten. Belangrijk blijft dat we de berichtgevingen en de ontwikkelingen rondom Zoom uitermate kritisch blijven volgen. Daarom heeft ons veiligheidsteam nauw contact met Zoom Nederland. En blijven we continu alert op berichtgeving in de gespecialiseerde media. Zo kunnen we ingrijpen waar en wanneer nodig.

Hieronder kunt u lezen hoe onze keuze voor de applicatie Zoom tot stand is gekomen.

Marktonderzoek

Een groep van 8 collega’s heeft marktonderzoek gedaan naar beschikbare applicaties voor groepsgesprekken. Op de achtergrond adviseerde een bureau met expertise op dit vlak. Er zijn na een eerste selectie slechts 2 applicaties (apps) goed genoeg bevonden voor een test; Zoom en Zaurus.

Na de testronde met beide apps viel Zaurus af omdat het niet gebruiksvriendelijk genoeg werd bevonden door de collega’s.

Informatieveiligheid en AVG

Al in het onderzoek is de harde eis dat de app veilig en AVG-conform was, meegenomen. Zoom werkt AVG-conform. Verder moet een app in de zorg ook over een ISO27001 of NEN7510 certificering beschikken. Dat heeft Zoom niet, echter zij beschikt wel over een SOC Type II verklaring. Dat betekent dat de genomen beveiligingsmaatregelen voldoen en zijn vastgesteld. GGNet heeft de bijbehorende SOC II rapportage ook ontvangen en ingezien. 

Veiligheid van gebruik en gegevens

We zijn direct in gesprek gegaan met Zoom en Duppal (partner van Zoom die organisaties helpt bij het implementeren). Beide gesprekken gingen over de waarborgen die Zoom kon doen over veiligheid van gebruik en omgang met gegevens. En over het inrichten van de betaalde omgeving zodat veiligheidsrisico’s minimaal worden.

Gebruik van Zoom

Na beide gesprekken en de inzage van alle achtergrondstukken over veiligheid, besloot GGNet tot aanschaf van accounts voor haar zorgprofessionals. De accounts zijn pas uitgegeven toen deze instellingen ingeschakeld waren voor alle GGNet-accounts:

  1. Als een deelnemer een uitnodiging van GGNet ontvangt voor een videogroepsgesprek van Zoom, komt deze automatisch in de ‘wachtkamer’ terecht, de waitingroom. Dit geldt voor alle deelnemers. De GGNet-organisator kijkt eerst of de deelnemers bekend zijn bij hem/haar. Pas dan laat de organisator de deelnemers toe.
  2. Onze collega’s kregen de instructie om het groepsgesprek af te sluiten nadat ze alle deelnemers uit de wachtkamer hebben gehaald. De deur zit dus als het ware op slot.
  3. Bij GGNet kan er niet gechat worden binnen Zoom. Dit hebben we uitgeschakeld voor alle gesprekken die via Zoom lopen. Reden is dat we niet willen dat behandelgegevens in Zoom kunnen worden bewaard.
  4. Bij GGNet kan er geen enkele opname gemaakt worden binnen Zoom zelf. De zogenoemde ‘recordbutton’ staat uit.
  5. Voordat de deelnemer in de wachtkamer komt, moet de deelnemer 2 codes invoeren: de zogenoemde meeting-id en een wachtwoord (‘password’).
  6. Zowel de meeting-id als het wachtwoord worden voor elke ontmoeting binnen Zoom uniek aangemaakt. Dat betekent dat de combinatie van codes en de codes zelf vervallen zodra het groepsgesprek is afgelopen.
  7. De zogenoemde “attendee attention tracking” stond uit. Op 2 april besloot Zoom zelf ook tot het uitschakelen van deze tracker.

Conclusie

  • Zoom werkt in haar betaalde versie voor GGNet volgens de eisen vanuit de AVG.
  • Zoom bezit een SOC Type II verklaring.
  • GGNet heeft voor al haar accountinstellingen vastgezet, dus ook voor de groepsbehandelingen. Dit verkleint het veiligheidsrisico tot het minimum.
  • We blijven op zoek naar en testen regelmatig gebruiksvriendelijke én veilige apps voor groepsbehandelingen.
  • Alle behandelaren hebben aanvullende adviezen ontvangen om zelf ook voor een veilige behandeling te zorgen.

 

Lees hier ook alle vragen & antwoorden over de veiligheid van Zoom voor patiënten