ALLES WAT je MOET WETEN OVER DE NTA 7516

Voldoe aan NTA 7516 met SmartLockr

Deze norm geeft richtlijnen aan veilige ad-hoc communicatie, bij de uitwisseling van gezondheidsinformatie via e-mail en chatapplicaties. 

Update: SmartLockr is één van de weinige leveranciers die onlangs het NTA 7516 certificaat in ontvangst heeft mogen nemen.

Gratis Demo SmartLockr is NTA 7516 gecertificeerd

GRATIS whitepaper: Voldoen aan NTA 7516

Meer weten over NTA 7516? En belangrijker: wat je moet doen om aan deze norm te voldoen? Download dan onze whitepaper en weet wat je nog te wachten staat!

voldoen aan de nta 7516
nta 7516 zorg

Wat is NTA 7516?


Op 14 mei 2019 is  NTA 7516 van kracht gegaan. Nederlandse Technische Afspraak (NTA) 7516 is de norm die helderheid geeft over de voorwaarden waar veilige e-mails aan moeten voldoen. Zowel in de zorg als binnen gemeentes is er grote behoefte aan het veilig kunnen uitwisselen van patiëntgegevens.

Standaard e-mail, oftewel e-mail zonder passende technische en organisatorische maatregelen, voldoet niet aan de eisen voor veilige e-mail.

NTA 7516 vormt voor zorgprofessionals, gemeentes en de organisaties waar ze mee werken een uitgangspunt, waarmee veilige communicatie mogelijk wordt gemaakt.

→ LEES MEER: NTA 7516 in een notendop

5 Feiten over NTA 7516


- Feit # 1: NTA 7516 is er niet alleen voor organisaties in de zorg

- Feit # 2: NTA 7516 is al van kracht

- Feit # 3: Er zijn al leveranciers die voldoen aan NTA 7516

- Feit # 4: Gebruiksvriendelijkheid is een belangrijk uitgangspunt

- Feit # 5: De verschillende communicatiediensten moeten interoperabel zijn


→ Lees meer over de 5 Feiten

Waarom NTA 7516?

De zorg is wederom één van de sectoren met de meeste datalekken: in 2020 kwam maar liefst 30% van alle meldingen uit de zorg.

En dat is eigenlijk niet gek ook, want de informatiebeveiliging in de zorg is ingewikkeld. Vooral als het gaat om communicatie via de e-mail: een laagdrempelige manier van communiceren waarbij ad-hoc berichten met gevoelige informatie eenvoudig kunnen worden gestuurd.

Maar, dit maakt veilige communicatie ook weer complex.

Denk maar eens aan partijen zoals patiënten, zorgaanbieders en -verzekeraars, overheidsinstanties en andere belanghebbenden die gezondheidsinformatie verwerken, opslaan en verzenden. 

Sinds de invoering van de AVG zijn de eisen m.b.t. privacybescherming niet alleen belangrijker geworden, maar ook aangescherpt.

Om die reden is er kritischer gekeken naar richtlijnen voor veilig
e-mailen.

En wat bleek? Deze ontbraken, waardoor het veilig uitwisselen van persoonlijke gezondheidsgegevens niet altijd kon worden gegarandeerd.

De NEN heeft daarom, in opdracht van VWS (Ministerie van Volksgezondheid, Welzijn en Sport) en in samenspraak met het Informatieberaad Zorg, NTA 7516 ontwikkeld die richtlijnen geeft waar veilige e-mail onder de AVG aan moet voldoen.

Voor wie geldt NTA 7516?

NTA 7516 & Zorg

NTA 7516 Zorg

NTA 7516 heeft betrekking op het veilig uitwisselen van persoonlijke gezondheidsinformatie. De behoefte voor deze norm is vanuit de zorgsector dan ook groot, gezien het aantal datalekken in de afgelopen jaren. Maar, de zorg is niet de enige sector die geholpen is bij een duidelijke norm.

NTA 7516 & Gemeentes

NTA 7516 Gemeentes

Ook gemeentes hebben te maken met de uitwisseling van persoonlijke gezondheidsinformatie per e-mail.
Hoewel NTA 7516 is ontstaan vanuit de zorg, is deze dus ook toepasbaar op gemeentes.
→ Hoe je als gemeente op tijd kunt voldoen aan de NTA 7516.

Wanneer gaat NTA 7516 in?

NTA 7516 16 mei

NTA 7516 is onderdeel van de NEN 7510 en is gepubliceerd op 14 mei 2019. Wanneer een NEN norm wordt gepubliceerd, gaat deze direct van kracht. 

Inmiddels zijn er verschillende audits voor NTA 7516 geweest en zijn er al enkele positief afgerond, waaronder die van SmartLockr. Dit betekent dat SmartLockr NTA 7516 compliant is en voldoet aan alle uitgangspunten. 

Hoe werkt NTA 7516?

NTA 7516 stelt eisen waar veilige e-mails aan moeten voldoen. Deze zijn bedoeld voor drie doelgroepen:

  •   Organisaties, oftewel de professionals
  •   Communicatiedienstaanbieders (leveranciers)
  •   Personen, zoals de patiënten, cliënten, burgers etc.

Tussen al deze doelgroepen zijn communicatiestromen mogelijk. Een aantal voorbeelden:

  •   Een patiënt wil een bericht sturen naar zijn/haar psycholoog;
  •   Dokter A wil informatie uitwisselen met dokter B over een patiënt die pas is verhuisd;
  •   Een gemeente wil gezondheidsinformatie opvragen bij een instelling, van burger x.

Categorieën

Om ervoor te zorgen dat al deze communicatiestromen veilig plaatsvinden, zijn er vanuit NTA 7516 diverse uitgangspunten opgesteld. Deze uitgangspunten zijn vervolgens weer verdeeld over verschillende categorieën:

Het is de verantwoordelijkheid van een organisatie om een leverancier te vinden die aan al deze punten voldoet. Daarbij moeten zowel de organisatie als de personen veilig kunnen communiceren. Daarnaast moet de leverancier het product zo inrichten dat aan die punten wordt voldaan.

Wat moet ik als organisatie doen om aan NTA 7516 te voldoen?


Als organisatie voldoe je pas aan de norm, als je de maatregelen hebt getroffen voor die de norm voorschrijft. Dit doe je door de juiste leverancier te kiezen, die het product op de juiste manier heeft ingericht. Weet je niet helemaal waar je op moet letten?

Voldoe aan NTA 7516 in een aantal stappen


SmartLockr is inmiddels NTA 7516 compliant.  Organisaties die nog een keuze moeten maken, zullen met ons platform het maximaal aantal uitgangspunten voor leveranciers dekken. Dit betekent dat er zelf nog enkele punten moet worden ingeregeld. Om daarbij te helpen, hebben wij een stappenplan: 

  • Inventarisatie. Bekijk of de huidige leverancier voldoet of zal voldoen aan de NTA 7516.
  • Test en vergelijk leveranciers. Kies de leverancier die het beste aansluit op je behoeften.
  • De beslissing. Implementatie van de dienst.
  • Onboarding. Volg trainingen en communiceer dat je organisatie veilig e-mailt.
  • NTA 7516 compliancy. Je bent er nu klaar voor!

→  LEES MEER: Klaar voor de NTA 7516 in 5 stappen

Gratis NTA 7516 Checklist

Met onze NTA 7516 checklist kun je zien hoe ver je al bent in het proces. Download de checklist nu en begin maar met het aftikken van alle boxen!

NTA 7516 Checklist

Wij hebben wat tips voor je:

  •   Maak een vergelijking tussen leveranciers die hebben deelgenomen aan de werkgroep van het project “Veilige e-mail”. Deze leveranciers hebben de intentieverklaring getekend, waarbij is afgesproken om invulling te geven aan de uitgangspunten die de NTA 7516 stelt. Door het aanvragen van een demo of het activeren van een trial krijg je betere inzichten in de verschillende leveranciers.

  •   Kies voor een leverancier die zowel NTA 7516:2019 als ISO-27001 gecertificeerd is. De audits voor deze norm worden in april-mei gestart, waarna het certificaat zekerheid kan bieden dat de leverancier voldoet aan de norm. 

  •   Ga na aan hoeveel punten van NTA 7516 wordt voldaan. Van de gegeven uitgangspunten, kunnen er 17 door de leverancier worden geregeld. De overige punten moet je als organisatie zelf regelen. Het is handig om een leverancier te kiezen die aan de 17 punten kan voldoen. Dit betekent namelijk dat je geen aanvullende maatregelen of zelfs een aanvullende oplossing hoeft te kiezen.

 

Wist je dat...

 

experts uit de zorg en belanghebbenden zich hebben samengevoegd tot een werkgroep, om samen invulling te geven aan de norm?

SmartLockr is actief betrokken bij deze werkgroep en biedt veilige communicatie aan organisaties in de zorg, volgens de NTA 7516.

Lees meer: SmartLockr tekent intentieverklaring Veilige Mail in de zorg

smartLockr Blog Post
Lees Meer
SmartLockr tekent intentieverklaring Veilige Mail in de zorg

Veilig mailen met SmartLockr

SmartLockr is één van de organisaties die de intentieverklaring voor veilig mailen in de zorg heeft getekend. Hiermee bindt het SmartLockr Intelligent Data Protection Platform zich aan de standaard die wordt vereist, als het gaat om integriteit, vertrouwelijkheid, gebruiksvriendelijkheid en  beschikbaarheid.

Hieronder vind je een paar punten waar het platform aan voldoet:

Artikel 39 van de GDPR noemt het vergroten van awareness als belangrijke maatregel.

Ook moeten medewerkers eenvoudig voor veiligheid kunnen kiezen. Zo schrijft artikel 25, dat veiligheid de standaard moet zijn.

Bij een fout is het essentieel om een bericht te kunnen terugtrekken. Daarnaast is het ook belangrijk om te zien of het bericht al is gelezen. Dit wordt genoemd in artikel 33.

In artikel 32 staat dat het gebruik van passende encryptie vereist is. Dit betekent dat de inhoud onderweg niet te onderscheppen mag zijn.

Ook meldt dit artikel dat informatie sterk versleuteld opgeslagen moet zijn, zonder toegang door de leverancier.

Tot slot stelt artikel 32 ook dat er ‘passende technische maatregelen’ moeten worden getroffen.

SmartLockr platform

 

Veilig mailen en NTA 7516

Met SmartLockr mail je veilig volgens deze norm. Benieuwd hoe? Ontdek het in een gratis demo.

GRATIS DEMO

Veelgestelde Vragen over NTA 7516

De norm is in mei 2019 geïntroduceerd door de NEN. Dit betekent dat hij op dat moment van kracht is gegaan. Sinds 20 mei 2020 is certificering tegen NTA 7516 mogelijk.

De NTA 7516 stelt 21 uitgangspunten waar je aan moet voldoen en die je zelf moet inregelen. Dit doe je het eenvoudigst door te kiezen voor een leverancier die al deze punten dekt. Mocht je kiezen voor een leverancier die slechts aan een aantal punten kan voldoen, heb je nog een extra leverancier nodig voor de ontbrekende punten. Dit kan veel geld kosten en gaat ten koste van de gebruiksvriendelijkheid.

Je kan er dus voor kiezen om met een leverancier in zee te gaan die niet alle punten dekt, maar houd er dan wel rekening dat je hiermee niet NTA 7516 compliant zal zijn.

Als je niet aan de 21 uitgangspunten van de NTA 7516 voldoet, ben je als organisatie verantwoordelijk voor een datalek. Daarnaast betekent dit dat je geen e-mail en chatapplicaties mag gebruiken, voor de uitwisseling van persoonlijke gezondheidsinformatie. NTA 7516 verplicht je namelijk om aan de uitgangspunten te voldoen. Kies je ervoor om níet aan deze norm te voldoen? Dan mag je ook geen chat- en e-mailapplicaties gebruiken voor gezondheidsinformatie.

Interoperabiliteit wil zeggen dat verschillende systemen met elkaar gekoppeld kunnen worden. Specifiek voor de NTA 7516 wil dit zeggen dat niet-NTA 7516 diensten moeten kunnen communiceren met diensten die wel NTA 7516 compliant zijn.

Ja, dat is mogelijk. SmartLockr maakt gebruik van gedeelde mailboxen, die door meerdere personen binnen de organisatie gebruikt kunnen worden. De opties voor veilig mailen met gedeelde mailboxen staan gelijk aan die van mailen vanuit persoonlijke mailboxen.  Het aanmaken van deze mailboxen vindt echter niet plaats in het beheerdersportaal, omdat SmartLockr deze mailboxen niet telt als extra licenties. Werknemers die hiervoor bevoegd zijn, zullen via de beheerder van de e-mailomgeving toegang krijgen tot de gedeelde mailbox.

Houd er rekening mee dat gedeelde mailboxen vanuit NTA 7516 niet wenselijk zijn. SmartLockr registreert de logs van de gebruikers met een licentie. Het versturen via een gedeelde mailbox zal dus worden geregistreerd op de licentie van de gebruiker die het verstuurt.

De eisen zijn de punten die de NTA 7516 verplicht aan organisaties. Dit zijn er 21. Hiervan zijn er 17 die door de leverancier moeten worden voldaan. De overige 4 moet je als organisatie zelf inregelen.

Deze punten hoeven niet perse bij de leverancier vandaan te komen. Echter kan je deze wel als wens opgeven bij de leverancier. Daarnaast kan je bij het maken van een overzichtelijk plan in kaart brengen welke wensen je nog meer hebt voor je organisatie.  Dit kunnen aanvullende punten zijn op bijvoorbeeld gebruiksvriendelijkheid en veiligheid.

NTA 7516 richt zich slechts op de veilige uitwisseling van persoonlijke gezondheidsinformatie. Dit betekent dat je alle andere informatie via andere kanalen mag uitwisselen. Let wel op: de AVG stelt dat alle persoonsgegevens op de juiste manier moeten worden gedeeld. Het is dus van belang om de juiste oplossing te kiezen die altijd veilige communicatie kan aanbieden.