<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-T9KZHQ3" height="0" width="0" style="display:none;visibility:hidden">
SmartLockr - jun 3, 2020

Voldoe aan de NTA 7516 in een aantal stappen

Voldoe aan de NTA 7516 in een aantal stappen

Het is inmiddels mei en de NTA 7516 komt steeds dichterbij. Veel organisaties zijn al druk in de weer of hebben zelfs al gekozen voor een passende oplossing. Maar dit geldt nog lang niet voor iedereen, en dat is tricky. Want gebeurt dit niet op tijd, dan zijn de gevolgen voor de organisatie.  Wat mist er nog en wat kan er nog gedaan worden? U leest het hier. 

Wat is de NTA 7516? How werkt het? Wat moet ik als organisatie doen om aan de NTA 7516 te voldoen? Lees alles wat u moet weten over de NTA 7516 

 

In een aantal stappen naar de NTA 7516:

 

1.  De inventarisatie. Hoe staat u er nu voor?

Het is belangrijk te begrijpen wat er allemaal geregeld moet worden. Maar, voordat u hiermee aan de slag gaat, moet er eerst worden gekeken naar de huidige situatie.


   1.1. De huidige leverancier

Heeft u al een veilige communicatiedienstaanbieder? Dan is het goed om te kijken of deze aanbieder op tijd zal voldoen aan de NTA 7516. Niet alle leveranciers zullen de juiste maatregelen nemen om om hier op tijd gehoor aan te geven.

Leveranciers die de intentieverklaring Veilige mail in de zorg hebben ondertekend - en onderdeel zijn van de werkgroep - zitten in een langdurig traject waarbij momenteel de laatste aanpassingen worden gedaan om binnenkort in audit te kunnen voor deze norm. Leveranciers die zich hier de afgelopen tijd niet mee bezig hebben gehouden, zullen hoogstwaarschijnlijk niet aan deze norm voldoen.


   1.2. Weet wat er speelt

De NTA 7516 heeft 21 uitgangspunten opgesteld waar u als organisatie aan moet voldoen. Maar weet u wat dit precies betekent in de praktijk en wat er voor uw organisatie gaat veranderen?

Weet u bijvoorbeeld:

  • Of gedeelde inboxen nog mogen worden gebruikt?
  • Welke informatie u binnen uw organisatie via de "gewone weg" mag uitwisselen en welke via het beveiligde kanaal
  • Welke informatie met patiënten/burgers via de mail wordt gedeeld?
  • Hoelang gegevens mogen worden bewaard?
  • Of gegevens via een ander mogen worden verzonden?
  • Op welke manier berichten moeten worden versleuteld?
Het is belangrijk om na te gaan welke processen er nu binnen de organisatie zijn, om te kijken of deze met de komst van de NTA 7516 moeten worden aangepast.

 

Tip #1 - Breng alle eisen van uw organisatie in kaart en breng deze samen in een plan.

Door inzichtelijk te hebben wat belangrijk is voor uw organisatie, naast de wettelijke eisen vanuit de NTA 7516, kunt u bepalen of u met de huidige leverancier zal voldoen aan de norm.

 

 

2. De vergelijkingen. Welke aanbieders zijn er?

Er zijn verschillende leveranciers van een e-mailoplossing, maar niet alle leveranciers zullen (op tijd) voldoen aan de NTA 7516. Welke leverancier het best aansluit op uw behoeftes, hangt deels af van uw wensen en van de verplichte eisen van de norm.

Met het plan dat u heeft opgesteld, heeft u inzichtelijk aan welke eisen de leverancier moet voldoen. Vanuit hier kunt u verder oriënteren en de verschillende leveranciers vergelijken.

 

   2.1. Maak een selectie van leveranciers

Op basis van uw lijst, kunt u leveranciers selecteren. Het is daarbij goed om te kijken naar de functionaliteiten en hoe deze aansluiten op uw organisatie. Wilt u er zeker van zijn dat single sign-on mogelijk wordt gemaakt, zodat uw werknemers beter worden beschermd tegen onderschepping van inloggegevens? Of vindt u een eigen huisstijl bijvoorbeeld belangrijk?

Door vooraf een selectie te maken, kunt u de verschillende diensten makkelijker vergelijken. Bekijk hierbij de websites van de leveranciers en houd uw wensenlijst ernaast.

Daarnaast is het goed om te kijken hoe de verschillende leveranciers invulling geven aan deze eisen. Is de oplossing gebruiksvriendelijk en makkelijk in gebruik?

Aanvullend hebben wij enkele punten waar u rekening mee dient te houden:

  • Richt de organisatie zich op bewustwording? De grootste oorzaak van datalekken is de menselijke fout (67%)
  • Is de dienst gebruiksvriendelijk? Het moet eenvoudig genoeg zijn om door iedere werknemer binnen de organisatie gebruikt te worden.
  • De mate van veiligheid: wordt er bijvoorbeeld gebruik gemaakt van end-to-end encryptie met zero knowledge?
  • Kan de dienst met andere (niet) NTA-diensten communiceren? Wordt er gebruik gemaakt van een API? Is het interoperabel?
  • Is het mogelijk een uploadverzoek te verzenden voor het veilig ontvangen van bestanden, zodat onveilige diensten als WeTransfer en Dropbox niet meer gebruikt hoeven te worden? Kunnen hiermee ook grote bestanden worden ontvangen?
  • Zijn verzonden e-mails terug te vinden in de verzonden items, voor e-mails die zowel binnen als buiten de keten worden verzonden? Dit is belangrijk, zodat deze kunnen worden gekoppeld met bijvoorbeeld verschillende DMS-systemen.
  • Kunnen alle beheerinstellingen eenvoudig worden beheerd en veranderd in het Beheerdersportaal?
  • Is er vóór verzending een check op de ontvangers en de bestanden?
  • Kunnen verzonden e-mails worden gevolgd en zo nodig worden teruggetrokken? Is het mogelijk om zowel ontvangers, bestanden en het gehele e-mailbericht te blokkeren ná verzending?

Als u duidelijk in kaart heeft gebracht waar u op moet letten, dan is het handig om te kijken hoe het in de praktijk werkt. Het inplannen van een demo kan hier heel nuttig bij zijn, omdat u dan volledig wordt meegenomen in het product.

 

Tip #2 - Doe de check met onze NTA 7516 checklist. Zo kunt u direct zien of de leverancier gaat voldoen aan de verplichte punten.

 

 

3. De beslissing. Implementatie van de dienst

U heeft een overzicht van de leveranciers en u heeft inzichtelijk wat deze leveranciers uw organisatie te bieden hebben. Het is nu tijd om te kiezen!

 

   3.1. Tips bij het kiezen van een leverancier

  1. Kies een leverancier die (na de audit) NTA 7516 gecertificeerd zal zijn;

  2. Niet alle diensten zullen voldoen aan alle - voor de leverancier gewenste - 18  punten. Ga voor een dienst die alle punten dekt en voorkom dat u een aanvullende dienst moet aanschaffen. Vraag aan de leverancier een overzicht aan welke punten zal worden voldaan. Dit zal u veel tijd, kosten en ongemak schelen.

  3. Vraag goed na waar de prijs uit is opgebouwd. Is het een vaste prijs per gebruiker of komen er nog additionele kosten bij, afhankelijk van het gebruik van de dienst?

   3.2. De beslissing

U heeft een keus gemaakt. Dit betekent dat er nu verschillende zaken geregeld moeten worden. Denk hierbij aan de implementatie van de dienst, het toepassen van de praktijkregels die voor uw organisatie gelden en het onboarding proces. De dienst gaat nu namelijk organisatiebreed gebruikt worden en daarbij is het belangrijk dat iedere medewerker op de juiste manier omgaat met de gekozen veilige e-mailoplossing.

 

   3.3. Hulp bij het implementeren

Ga in overleg met de leverancier na wat er precies moet worden geregeld en maak hier duidelijke afspraken over. Denk hierbij aan:

  • Uw medewerkers die getraind moeten worden. Zijn er trainingsmogelijkheden? Worden deze op locatie gegeven of dient u een trainingsdag ergens anders te regelen?
  • De deadline waarop de implementatie klaar moet zijn;
  • Duidelijke communicatie bij vragen of problemen met het product. Hoe goed is het supportteam bereikbaar en via welke kanalen?
  • Het gebruik van de dienst zolang het contract loopt. Zorg dat er met regelmaat naar het gebruik van de dienst wordt gekeken. Mocht er binnen de organisatie minder gebruik worden gemaakt of minder zorgvuldig, dan moet er een plan worden opgesteld om zo slim en veilig mogelijk te kunnen werken.

Tip #3 - Maak duidelijke afspraken en zorg dat iedereen binnen de organisatie voldoende wordt getraind.

 

nta 7516 checklist

 

4. Training & communicatie

Het is tijd om aan de slag te gaan! Trainingen geven u en uw werknemers betere inzichten en zullen helpen om de e-mailoplossing op de juiste manier te gebruiken.

Maar, niet alleen moet het intern duidelijk worden dat er veilig wordt gecommuniceerd. Ook personen buiten de organisatie, zoals patiënten en burgers horen dit te weten. Door iedereen bewust te maken van de veilige manier van werken die er nu zal zijn, zal er ook veiliger worden gecommuniceerd.

 

   4.1. Communiceer over veilig e-mailen

U kunt op verschillende manieren communiceren dat uw organisatie nu veilig e-mailt. Dit kunt u doen door het volgende:

  • Vermeld het duidelijk op uw website;
  • Integreer in uw e-mail handtekening dat de e-mail veilig is verzonden met de gekozen dienst;
  • Zet een handleiding/filmpje op de website;
  • Maak duidelijk waarom er met een veilige e-mailoplossing wordt gewerkt en waarom de NTA 7516 van belang is;
  • Beperk andere (onveilige) communicatiemiddelen zoveel mogelijk, om te voorkomen dat de uitwisseling van gezondheidsinformatie alsnog via onveilige kanalen gaat.
  • Houd collega's, die geen NTA 7516 compliant oplossing hebben, op de hoogte van de verandering. Zij kunnen berichten niet meer direct lezen en zullen nu een extra stap moeten nemen. Communiceer dit duidelijk, zodat ook zij weten dat er nu veilig wordt gecommuniceerd.

Dit zijn niet alleen collega's binnen uw branche, maar bijvoorbeeld ook relaties in hetzelfde domein, zorgverzekeraars, en overheidsinstellingen.

 

Tip #4 - Zorg voor materiaal waarmee iedereen wordt voorbereid op het gebruik van de dienst.

 

 

5. Done? U bent NTA 7516 compliant

Gefeliciteerd, u maakt gebruik van een veilige e-mailoplossing!

Uw organisatie is er nu klaar voor, uw medewerkers hebben de nodige trainingen gehad en ook de patiënten, burgers en/of relaties zijn op de hoogte van de veilige communicatie die u nu biedt.

Het is belangrijk om ook tijdens het gebruik kritisch naar de gekozen leverancier te blijven kijken. Het evalueren en verbeteren hoort hier bij.

 

   5.1. Evaluatie

Een eis vanuit de NTA 7516 is namelijk dat de e-maildienst jaarlijks moet worden geëvalueerd, om te kijken of de oplossing nog voldoet aan de eisen en wensen van de organisatie.

Om te kijken of dat zo is, kunt u rekening houden met de volgende vragen:

  • Zijn de werkwijzen van uw organisatie veranderd en heeft dit invloed op de manier waarmee u op dit moment communiceert?
  • Is de oplossing gebruiksvriendelijk genoeg? Maken uw werknemers er nog steeds goed gebruik van?
  • Kunnen uw relaties probleemloos op een veilige manier met u blijven communiceren?

Door de processen op de juiste manier te bewaken en te blijven evalueren, kunt u tijdig merken als dingen veranderen in het gebruik van de dienst.

Tip #5 - Met een interne audit heeft u inzichtelijk in kaart of er nog moet worden bijgestuurd.

 

NTA 7516

Written by SmartLockr