ALLES WAT U MOET WETEN OVER DE NTA 7516

Voldoe aan NTA 7516 met SmartLockr

Deze norm geeft richtlijnen aan veilige ad-hoc communicatie, bij de uitwisseling van gezondheidsinformatie via e-mail en chatapplicaties. 

Update: SmartLockr is één van de weinige leveranciers die onlangs het NTA 7516 certificaat in ontvangst heeft mogen nemen.

Gratis Demo SmartLockr is NTA 7516 gecertificeerd

GRATIS whitepaper: Voldoen aan de NTA 7516

Meer weten over NTA 7516? En belangrijker: wat je moet doen om aan deze norm te voldoen? Download dan onze whitepaper en weet wat je nog te wachten staat!

voldoen aan de nta 7516
nta 7516 zorg

Wat is NTA 7516?


Op 14 mei 2019 is  NTA 7516 van kracht gegaan. Nederlandse Technische Afspraak (NTA) 7516 is de norm die helderheid geeft over de voorwaarden waar veilige e-mails aan moeten voldoen. Zowel in de zorg, als binnen gemeentes, is er grote behoefte aan het veilig kunnen e-mailen van patiëntgegevens.

Standaard e-mail, oftewel e-mail zonder passende technische en organisatorische maatregelen voldoet niet aan de eisen voor veilige e-mail.

NTA 7516 vormt voor zorgprofessionals, gemeentes en de organisaties waar ze mee werken een uitgangspunt, waardoor veilige communicatie mogelijk wordt gemaakt.

→ LEES MEER: De NTA 7516 in een notendop

5 Feiten over NTA 7516


- Feit # 1: De NTA 7516 is er niet alleen voor organisaties in de zorg

- Feit # 2: De NTA 7516 is al van kracht

- Feit # 3: Er zijn al leveranciers die voldoen aan NTA 7516

- Feit # 4: Gebruiksvriendelijkheid is een belangrijk uitgangspunt

- Feit # 5: De verschillende communicatiediensten moeten interoperabel zijn


→ Lees meer over de 5 Feiten

Waarom NTA 7516?

De zorg is wederom één van de sectoren met de meeste datalekken: in 2020 kwam maar liefst 30% van alle meldingen uit de zorg.

En dat is eigenlijk niet gek ook, want de informatiebeveiliging in de zorg is ingewikkeld. Vooral als het gaat om communicatie via de e-mail: een laagdrempelige manier van communiceren waarbij ad-hoc berichten met gevoelige informatie eenvoudig kunnen worden gestuurd.

Maar, dit maakt veilige communicatie ook weer complex.

Denk maar eens aan partijen zoals patiënten, zorgaanbieders en -verzekeraars, overheidsinstanties en andere belanghebbenden die gezondheidsinformatie verwerken, opslaan en verzenden. 

Sinds de invoering van de AVG zijn de eisen ten aanzien van privacybescherming niet alleen belangrijker geworden, maar ook aangescherpt.

Om die reden is er kritischer gekeken naar richtlijnen voor veilig
e-mailen, tussen de genoemde partijen.

En wat bleek? Deze ontbraken, waardoor het veilig uitwisselen van persoonlijke gezondheidsgegevens niet altijd kon worden gegarandeerd.

De NEN heeft daarom, in opdracht van VWS (Ministerie van Volksgezondheid, Welzijn en Sport) en in samenspraak met het Informatieberaad Zorg, NTA 7516 ontwikkeld die richtlijnen geeft waar veilige e-mail onder de AVG aan moet voldoen.

Voor wie geldt NTA 7516?

NTA 7516 & Zorg

NTA 7516 Zorg

NTA 7516 heeft betrekking op het veilig uitwisselen van persoonlijke gezondheidsinformatie. De behoefte voor deze norm is vanuit de zorgsector dan ook groot, gezien het aantal datalekken in de afgelopen jaren. Maar, de zorg is niet de enige die geholpen is bij een duidelijke norm.

NTA 7516 & Gemeentes

NTA 7516 Gemeentes

Ook gemeentes hebben te maken met de uitwisseling van persoonlijke gezondheidsinformatie per e-mail.
Hoewel NTA 7516 is ontstaan vanuit de zorg, is deze dus ook toepasbaar op gemeentes.
→ Hoe je als gemeente op tijd kunt voldoen aan de NTA 7516.

Wanneer gaat NTA 7516 in?

NTA 7516 16 mei

NTA 7516 is onderdeel van de NEN 7510 en is gepubliceerd op 14 mei 2019. Wanneer een NEN norm wordt gepubliceerd, dan gaat deze direct van kracht. 

Inmiddels zijn verschillende audits voor NTA 7516 geweest en zijn er al enkele positief afgerond, waaronder die van SmartLockr. Dit betekent dat SmartLockr NTA 7516 compliant is en voldoet aan alle uitgangspunten die er kunnen worden ingeregeld door leveranciers. 

Hoe werkt NTA 7516?

NTA 7516 stelt eisen waar veilige e-mails aan moeten voldoen, die bedoeld zijn voor drie doelgroepen:

  •   Organisaties, ofwel de professionals
  •   Communicatiedienstaanbieders (leveranciers)
  •   Personen, zoals de patiënten, cliënten, burgers etc.

Tussen al deze doelgroepen zijn communicatiestromen mogelijk. Een aantal voorbeelden:

  •   Een patiënt wilt een bericht sturen naar zijn/haar psycholoog;
  •   Dokter A wilt informatie uitwisselen met dokter B over een patiënt die pas is verhuisd;
  •   Een gemeente wilt gezondheidsinformatie opvragen bij een instelling, van burger x.

Categorieën

Om ervoor te zorgen dat al deze communicatiestromen veilig kunnen plaatsvinden, zijn er vanuit NTA 7516 diverse uitgangspunten opgesteld. Deze uitgangspunten zijn vervolgens weer verdeeld over verschillende categorieën:

Het is hiermee taak aan de organisatie om een leverancier te vinden die aan al deze punten voldoet. Daarmee moeten zowel de organisatie als de personen veilig kunnen communiceren. Tegelijkertijd, moet de leverancier het product inrichten zodat aan die punten kan worden voldaan.

Wat moet ik als organisatie doen om aan NTA 7516 te voldoen?


Als organisatie voldoe je pas aan de norm, als je maatregelen hebt genomen voor de maatregelen die de norm voorschrijft. Dit doet je door de juiste leverancier kiezen, die het product op de juiste manier heeft ingericht. Weet je niet helemaal waar je op moet letten?

Voldoe aan de NTA 7516 in een aantal stappen


SmartLockr is inmiddels NTA 7516 compliant.  Organisaties die nog een keuze moeten maken, zullen met ons platform het maximaal aantal uitgangspunten voor leveranciers dekken. Dit betekent dat er zelf nog enkele punten moet worden ingeregeld. Om daarbij te helpen, hebben wij een stappenplan: 

  • Inventarisatie. Bekijk of de huidige leverancier voldoet of zal voldoen aan de NTA 7516.
  • Test en vergelijk leveranciers. Kies de leverancier die het best aansluit op je behoeften.
  • De beslissing. Implementatie van de dienst.
  • Onboarding. Volg trainingen en communiceer dat je organisatie veilig e-mailt.
  • NTA 7516 compliancy. Je bent er nu klaar voor!

→  LEES MEER: Klaar voor de NTA 7516 in 5 stappen

Gratis NTA 7516 Checklist

Met onze NTA 7516 checklist kun je zien hoe ver je al bent in het proces. Download de checklist nu en begin maar met het aftikken van alle boxen!

NTA 7516 Checklist

Wij hebben wat tips voor je:

  •   Maak een vergelijking tussen leveranciers die hebben deelgenomen aan de werkgroep van het project “Veilige e-mail”. Deze leveranciers hebben de intentieverklaring getekend, waarbij is afgesproken om invulling te geven aan de uitgangspunten die de NTA 7516 stelt. Door het aanvragen van een demo of het activeren van een trial krijg je betere inzichten in de verschillende leveranciers.

  •   Kies voor een leverancier die zowel NTA 7516:2019 & ISO-27001 gecertificeerd is. De audits voor deze norm worden in april-mei gestart, waarna het certificaat zekerheid kan bieden dat de leverancier voldoet aan de norm. 

  •   Ga na aan hoeveel punten van NTA 7516 wordt voldaan. Van de gegeven uitgangspunten, kunnen er 17 door de leverancier worden geregeld. De overige punten moet je als organisatie zelf inregelen. Het is handig om een leverancier te kiezen die aan de 17 punten kan voldoen. Dit betekent namelijk dat je geen aanvullende maatregelen of zelfs een aanvullende oplossing hoeft te kiezen.

 

Wist je dat...

 

experts uit de zorg en belanghebbenden zich hebben samengevoegd tot een werkgroep, om samen invulling te geven aan de norm?

SmartLockr is actief betrokken in deze werkgroep en biedt veilige communicatie aan organisaties in de zorg, volgens de NTA 7516.

Lees meer: SmartLockr tekent intentieverklaring Veilige Mail in de zorg

smartLockr Blog Post
Lees Meer
SmartLockr tekent intentieverklaring Veilige Mail in de zorg

Veilig mailen met SmartLockr

SmartLockr is één van de organisaties die de intentieverklaring voor veilig mailen in de zorg heeft getekend. Hiermee bindt het SmartLockr Intelligent Data Protection Platform zich aan de standaard die wordt vereist, als het gaat om integriteit, vertrouwelijkheid, gebruiksvriendelijkheid en de mate van beschikbaarheid.

Hieronder vind je enkele punten waar het platform aan voldoet:

Artikel 39 van de GDPR noemt het vergroten van awareness als belangrijke maatregel.

Ook moeten medewerkers eenvoudig voor veiligheid kunnen kiezen. Zo schrijft artikel 25, dat veiligheid de standaard moet zijn.

Bij een fout is het essentieel om een bericht te kunnen terugtrekken, met daarbij inzicht of het bericht al is gelezen. Dit wordt genoemd in artikel 33.

In artikel 32 staat dat het gebruik van passende encryptie vereist is. Dit betekent dat de inhoud onderweg niet te onderscheppen mag zijn.

Ook meldt dit artikel dat informatie sterk versleuteld opgeslagen moet zijn, zonder toegang door de leverancier.

Tot slot stelt artikel 32 ook dat er ‘passende technische maatregelen’ moeten worden getroffen.

SmartLockr platform

 

Veilig mailen en NTA 7516

Met SmartLockr mail je veilig volgens deze norm. Benieuwd hoe? Ontdek het in een gratis demo.

GRATIS DEMO

Veelgestelde Vragen over de NTA 7516

De norm is in mei 2019 geïntroduceerd door de NEN. Dit betekent dat een norm op dat moment van kracht gaat. Officieel hebben organisaties en leveranciers tot 14 mei 2020 om de juiste maatregelen te nemen.

Als u niet aan de 21 uitgangspunten van de NTA 7516 voldoet, dan bent u als organisatie verantwoordelijk als er data lekt. Daarnaast betekent dit dat u geen e-mail en chatapplicaties mag gebruiken, voor de uitwisseling van persoonlijke gezondheidsinformatie. De NTA 7516 verplicht namelijk om aan de uitgangspunten te voldoen. Kiest u ervoor om níet aan deze norm te voldoen? Dan mag u ook geen chat- en e-mailapplicaties gebruiken voor gezondheidsinformatie.

Interoperabiliteit wil zeggen dat verschillende systemen met elkaar gekoppeld kunnen worden. Specifiek voor de NTA 7516 wil dit zeggen dat niet-NTA 7516 diensten moeten kunnen communiceren met diensten die wel NTA 7516 compliant zijn.

Ja, dat is mogelijk. SmartLockr maakt gebruik van functionele inboxen, die door meerdere personen binnen de organisatie gebruikt kunnen worden. De opties voor veilig mailen met functionele inboxen staan gelijk aan die van mailen vanuit persoonlijke inboxen.  Het aanmaken van deze inboxen vindt echter niet plaats in het beheerdersportaal, omdat SmartLockr deze inboxen niet rekent als extra licenties. Werknemers die hiervoor bevoegd zijn, zullen via de beheerder toegang krijgen tot de functionele inbox.

Houd er rekening mee dat functionele inboxen vanuit NTA 7516 niet wenselijk zijn, omdat niet te herleiden is wie iets heeft verstuurd vanuit een dergelijke inbox.

De NTA 7516 stelt 21 uitgangspunten waar u aan moet voldoen en die u zelf moet inregelen. Dit doet u het makkelijkst, door te kiezen voor een leverancier die al deze punten dekt. Mocht u kiezen voor een leverancier die slechts aan een aantal punten kan voldoen, dat heeft u nog een extra leverancier nodig voor die ontbrekende punten. Dit kan u veel geld kosten en zal ten koste van de gebruiksvriendelijkheid.

U kunt er dus voor kiezen om met een leverancier in zee te gaan die niet alle punten dekt, maar houd dan wel rekening dat u hiermee niet NTA 7516 compliant zal zijn.

De eisen zijn de punten die de NTA 7516 verplicht aan organisaties. Dit zijn er 21. Hiervan zijn er 17 die door de leverancier moeten worden voldaan. De overige 4 moet u als organisatie zelf inregelen.

Deze punten hoeven niet perse bij de leverancier vandaan te komen. Maar, deze kunt u wel als wens opgeven bij de leverancier. Daarnaast kunt u bij het maken van een overzichtelijk plan in kaart brengen welke wensen u nog meer heeft voor uw organisatie. Dit kunnen aanvullende punten zijn op bijvoorbeeld gebruiksvriendelijkheid en veiligheid.

De NTA 7516 richt zich slechts op de veilige uitwisseling van persoonlijke gezondheidsinformatie. Dit betekent dat u alle andere informatie via andere kanalen mag uitwisselen. Maar, gezien de AVG stelt dat alle persoonsgegevens op de juiste manier moeten worden gedeeld, is het van belang om de juiste oplossing te kiezen die altijd veilige communicatie kan aanbieden.