Wat is NTA 7516 en hoe voldoet u eraan?

NTA 7516 veilig mailen

NTA (Nederlandse Technische Afspraak) 7516 is een norm voor het uitwisselen van gezondsheidsgegevens via e-mail of chat. Het gaat om verkeer tussen een (zorg)professional en een gebruiker of tussen twee professionals. Mail of chat worden in de norm ‘ad hoc’ berichten genoemd. In dit artikel gaan we op de NTA 7516. We staan stil bij de volgende vragen: waarom deze norm, wat houdt de norm in en hoe moet u daarmee omgaan?

Waarom NTA 7516?

Veel communicatie in de zorg vindt op gestructureerde wijze plaats. Deze communicatie is over het algemeen voorspelbaar en goed beveiligd. Er vindt daarnaast veel ‘ad hoc’ berichtenverkeer (lees: e-mail en chat) plaats. Dat verkeer is niet altijd goed beveiligd, terwijl het wel om zeer gevoelige informatie gaat. NTA 7516 is een nieuwe gedeelde beveiligingsstandaard waaraan alle professionals en leveranciers van communicatiediensten moeten voldoen. De NTA geldt voor zowel partijen die medische gegevens delen als voor partijen die hiervoor de faciliteiten bieden. Daarmee wordt beoogd om mail en chats met medische informatie te beveiligen.

De beveiliging van medische persoonsgegevens is geregeld in de AVG en NEN 7510. In de AVG staat, kort gezegd, dat passende technische en organisatorische maatregelen moeten worden getroffen. In NEN 7510 staat dat e-mail met persoonsgegevens tussen professionals versleuteld moet worden verstuurd. Deze algemene normen worden nader ingevuld door NTA 7516. In de NTA 7516 zijn daarnaast verschillende gebruikerswensen opgenomen.

Wat houdt NTA 7516 in? (Criteria)

De NTA vereist een goede beveiliging van e-mail en chatberichten. Daarvoor zijn de volgende criteria opgesteld:

We zien criteria in verschillende dimensies. De drie dimensies van informatiebeveilging (beschikbaarheid, integriteit en vertrouwelijkheid) zien we daarin terug. De norm stelt bijvoorbeeld de eis dat een dienst minimaal 99,8% van de tijd beschikbaar is. Dat percentage mag hoger zijn, maar niet lager. Alle criteria in de norm worden op deze manier uitgewerkt. De eis herkomstbevestiging (6.1.5) kan bijvoorbeeld betekenen dat de verzender alleen met behulp van 2-factorauthenticatie toegang krijgt tot de communicatiemiddelen. Daarnaast zijn de dimensies gebruikersvriendelijkheid en interoperabiliteit toegevoegd. Deze laatste eis geldt voor leveranciers onderling en is bedoeld om ervoor te zorgen dat verschillende leveranciers veilige berichten onderling doorgeven.

De professional

De professional moet ten aanzien van bovenstaande criteria aangeven welk niveau gewenst en passend is. De professional moet bijvoorbeeld aangeven of deze een beschikbaarheidsniveau van 99,8% of hoger wenst. Op basis van de eisen ten aanzien van de verschillende criteria moet de professional een match maken met een leverancier die voldoet aan alle eisen op de verschillende criteria. Om dit mogelijk te maken, moet de leverancier (communicatiedienstenaanbieder) “in een publiek toegankelijk register” bekend maken aan welke criteria wel en niet wordt voldaan. Om professionals verder te helpen kunnen leveranciers hun bekwaamheid aantonen door certificering voor verschillende onderdelen van NTA 7516.

Daarmee is de kous voor de professional nog niet af. De professional is verplicht om beleid vast te stellen rondom het versturen van e-mail en chatberichten met zorginhoudelijke informatie (zie pagina 34 pdf). Het beleid moet bovendien worden gecontroleerd en gelogd.

Hoe gaat u om met NTA 7516?

De NTA 7516 is al van kracht (ingegaan vanaf 16 mei 2019). U moet daar als organisatie dus al aan voldoen. Op dit moment is dat lastig omdat er nog geen gecertificeerde leveranciers zijn waaruit u kunt kiezen. Het toetsingskader voor certificering van leveranciers is namelijk nog in ontwikkeling. Dit wordt op zijn vroegst eind 2019 afgerond. Leveranciers zullen daarna certificering gaan aanvragen.

Als u bezig bent met het aanschaffen van nieuwe communicatievoorzieningen kunt u al wel vast de eisen uit de NTA 7516 uitvragen.

Daarnaast draagt u zelf verantwoordelijkheid voor het maken van beleid op het gebied van het mail van gezondheidsgegevens. Dat kan een leverancier niet doen. U dient ook zelf zorg te dragen voor logging van uw systemen conform NEN 7516, ook dat kan een leverancier niet doen. De andere eisen kunnen wel worden ingevuld door (gecertificeerde) leveranciers.

De norm (technische afspraak) is kosteloos te downloaden (registratie vereist) op de website van NEN.

Zie ook het NEN Factsheet (hier)

2 Trackbacks / Pingbacks

  1. Advies aan minister over medische data in de cloud - PrivacyPortaal.nl
  2. LSP (Landelijk Schakelpunt): vier bevindingen - PrivacyPortaal.nl

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*