Alles over de NTA 7516 en veilig mailen
voor overheden, zorg en verzekeraars

In dit hoofdstuk lees je meer over de doelstellingen van de NTA 7516 normering - voor het beveiligen van medische data.

Wat zijn de twee belangrijkste doelstellingen van de NTA 7516 norm?

1. Zorgen dat er duidelijke randvoorwaarden zijn gesteld aan het gebruik van e-mail, chat, messaging (al dan niet aangeboden via een berichtenportaal). Dit borgt veilige en betrouwbare uitwisseling van persoonlijke gezondheidsinformatie. Zo worden dit volwaardige oplossingen voor de elektronische uitwisseling van gezondheidsinformatie naast gestructureerde berichtenuitwisseling.
2. Zorgen dat er berichten uitgewisseld kunnen worden tussen de verschillende oplossingen die er voor professionals beschikbaar zijn, ongeacht de leverancier. Dit is beter bekend als interoperabiliteit of multikanaal communicatie.

Wat is de NTA 7516?

De NTA 7516 is de norm voor veilige ad hoc communicatie van gezondheidsinformatie. Deze norm is gemaakt door de NEN, in opdracht van het ministerie van VWS, het Informatieberaad Zorg en gemeenten. Onder ad hoc communicatie valt e-mail, maar ook chat, portalen, messengers, enzovoorts. Oftewel: alle vormen van communicatie die tussen mensen plaatsvindt. De norm beschrijft aan welke ruim twintig eisen organisaties en de oplossingen die zij gebruiken moeten voldoen als ze willen claimen veilig te zijn. Dit zijn eisen ten aanzien van beschikbaarheid, integriteit, vertrouwelijkheid, gebruiksvriendelijkheid, interoperabiliteit, beleid en logging.

Voor wie is de NTA 7516?

De NTA 7516 geldt voor alle organisaties die gebruikmaken van ad hoc communicatie voor het delen van gezondheidsinformatie. Dus bijvoorbeeld het e-mailen van afspraakbevestigingen of onderzoeksuitslagen aan patiënten, chatten met collega’s, of het delen van medische gegevens via e-mail voor een verzekering of beschikking. Verder vormt de NTA 7516 de basis voor informatieuitwisseling in de keten van de WvGGZ. Hiermee geldt de NTA 7516 dus niet alleen voor ziekenhuizen, GGZ-instellingen, ouderenzorgorganisaties, huisartsen en andere zorgorganisaties en -professionals, maar ook voor gemeenten, het openbaar ministerie (OM), juristen, verzekeraars, etc.

Hoewel organisaties moeten voldoen aan de NTA 7516, kunnen ze dat alleen als ze gebruik maken van een (of meer) NTA 7516-gecertificeerde oplossingen. Daarmee geldt (een groot deel) van de NTA 7516 ook voor leveranciers van oplossingen die willen kwalificeren als een oplossing voor veilige e-mail of veilige chat.

Vooralsnog is de NTA 7516 een Nederlandse norm. De NEN heeft laten weten dat zij de intentie heeft om een traject te starten om deze norm tot een Europese CEN-norm te maken. Nederland is namelijk het eerste land dat een dergelijke norm voor veilige ad hoc communicatie heeft opgesteld. Vaak worden dit soort normen centraal of decentraal overgenomen door andere bij de CEN aangesloten landen, waaronder alle 28 Europese lidstaten.

Benieuwd hoe Zivver omgaat met compliance? Raadpleeg onze wet- en regelgeving pagina. 

Ja! Tenminste, als je een oplossing gebruikt die NTA 7516-compliant is en degene aan wie je een bericht verstuurt of waarvan je een bericht ontvangt ook. Een eis in de NTA 7516 is zogenaamde interoperabiliteit, ook wel multi-kanaalcommunicatie genoemd in de norm. Dit betekent dat producenten moeten zorgen dat hun product ‘kan praten’ met andere producten, zodat ontvangers geen last meer hebben van het feit dat de verzender wellicht voor een andere veilige oplossing heeft gekozen. Door deze interoperabiliteit kan iedere partij veilige berichten in zijn eigen NTA 7516-compliant applicatie naar keuze ontvangen. Net zoals je nu met iedereen kunt bellen, zonder dat je dezelfde provider hebt.

Voor interoperabiliteit is het nodig dat producten ‘dezelfde taal’ kunnen spreken. Het ministerie van VWS heeft, in samenwerking met de betrokken leveranciers, een zogenaamde Technische Handreiking opgesteld waarin deze koppeltaal staat beschreven. Leveranciers moeten hun producten aanpassen aan de eisen in deze technische handreiking. Anders kunnen zij niet NTA 7516-gecertificeerd worden en mogen deze oplossingen dus niet door organisaties worden gebruikt als oplossing voor veilige communicatie van gezondheidsinformatie.

Checklist NTA 7516 compliance

Deze artikel geeft je een beeld van wat je te wachten staat. Nu is het de hoogste tijd om actie te ondernemen. In onze checklist staan precies die stappen beschreven die je moet nemen naar NTA 7516 compliance. 

Benieuwd hoe Zivver omgaat met compliance? Raadpleeg onze wet- en regelgeving pagina. 

Om als organisatie te voldoen aan de NTA 7516 moet je zorgen dat je voldoet aan alle eisen die in de norm staan over beschikbaarheid, integriteit, vertrouwelijkheid, gebruiksvriendelijkheid, interoperabiliteit, beleid en logging. Op dit moment werken onder andere VWS en koepels aan checklists en handreikingen om organisaties hierbij te helpen. Waarschijnlijk mogen organisaties (vooralsnog) zelf met een verklaring aangeven dat zij voldoen, mits zij een ‘communicatiedienstenaanbieder’ (= leverancier) gebruiken waarvan de ‘productdienstcombinatie’ (= product) NTA 7516-gecertificeerd is.

Op dit moment werkt de NEN nog aan het toetsingskader voor certificering van leveranciers en de voorwaarden voor de zelfverklaring van organisaties. Officieel kan en mag dus nog geen enkele organisatie of leverancier stellen te voldoen aan de NTA 7516, omdat dit (gebruik van) een NTA 7516-gecertificeerd product vereist. Wat op dit moment wél al duidelijk is:

• De leverancier moet een geldig ISO 27001‐certificaat of een geldig NEN 7510‐certificaat hebben. Het certificaat moet afgegeven zijn door een CBI-geaccrediteerde organisatie. De onderdelen van NTA 7516 moeten opgenomen zijn binnen de scope van het certificaat.
• Het product (van de leverancier) kan al worden gecertificeerd als het maar aan twee van de ruim twintig eisen van de NTA 7516 voldoet. Een van deze twee moet de interoperabiliteitseis zijn, oftewel het kunnen uitwisselen van berichten met andere NTA 7516-gecertificeerde oplossingen. VWS werkt op dit moment aan een beschrijving van het koppelvlak in de zogenaamde technische handreiking.

Dit betekent dat je bij het selecteren of vernieuwen van een leverancier moet denken aan de volgende punten:

• Een (geldig) ISO 27001- of NEN 7510-certificaat. Als een product of leverancier dit niet heeft, kan het/hij NIET aan de NTA 7516 voldoen!
• Zorg dat je commitment eist aan NTA 7516-certificatie zodra dit mogelijk is.
• Eis dat de leverancier expliciet maakt aan welke eisen van de NTA 7516 hij zich committeert. Het is dus niet genoeg om te vragen ‘of de leverancier gaat voldoen aan de NTA 7516’. Want dit zou kunnen betekenen dat hij aan slechts twee van de eisen voldoet. En dan moet jij als organisatie  zelf, met een of meer andere leveranciers, zorgen dat je aan de circa twintig andere eisen voldoet. Met waarschijnlijk dubbele kosten en een lange doorlooptijd tot gevolg.

Leer van de experts

Benieuwd hoe Zivver omgaat met compliance? Raadpleeg onze wet- en regelgeving pagina of download onze NTA 7516 checklist om te zien welke stappen je nog moet zetten om compliant te worden. 

Naast de impact op de huidige processen, kan de norm ook een aantal voordelen bieden.

Communiceert jouw organisatie persoonlijke gezondheidsinformatie via e-mail, chat, messaging of een portaal aan andere organisaties of patiënten/cliënten/verzekerden/klanten/burgers? Dan moet jouw organisatie voldoen aan de NTA 7516! Concreet betekent dit je moet zorgen dat alle ad hoc communicatie van gezondheidsinformatie via een veilig weg gebeurt. Daarvoor moet je dus enerzijds zorgen dat je jouw beleid op orde hebt conform de eisen in de norm. Anderzijds dat je een of meerdere leveranciers/producten gebruikt voor dit soort communicatie die NTA 7516 gecertificeerd (zullen) zijn. Als je dit soort oplossingen gebruikt, dan kan dit verschillende gevolgen hebben voor jouw digitale communicatie. De impact voor de organisatie is afhankelijk van hoe je nu gewend bent te communiceren.

Wordt er al e-mail gebruikt en kies je voor een veilige oplossing die integreert met de manier van werken, dan is de impact zeer klein. Als je voor een oplossing kiest die veel gedragsverandering vraagt in termen van wisselen van applicatie of veel gebruikershandelingen, dan is de impact veel groter.

Deze norm kan ook heel veel voordelen bieden voor organisaties en personen. Je ziet namelijk dat veel organisaties nu nog werken met brieven, faxen of ingewikkelde portalen, omdat ze bang waren om gevoelige informatie via gewone e-mail te sturen. Als organisaties voldoen aan de NTA 7516 dan kan digitale ad hoc communicatie via bijvoorbeeld e-mail wel met een gerust hart worden ingezet. Dit kan veel kosten besparen, communicatie versnellen en elektronische gegevensuitwisseling in de gezondheidszorg sterk bevorderen.

Tot slot zorgt de NTA 7516 ervoor dat organisaties voortaan veilige berichten in hun eigen omgeving kunnen lezen, door de zogenaamde interoperabiliteitseis voor leveranciers. Oftewel: niet meer inloggen op de omgeving van iemand anders! Met hogere gebruiksvriendelijkheid en efficiëntie tot gevolg.

Welke rol speelt gebruiksvriendelijkheid in de NTA 7516?

Gebruiksvriendelijkheid speelt een centrale rol in de NTA 7516. Het is dan ook het onderdeel met de meeste eisen. Want veiligheid en gebruiksvriendelijkheid moeten hand in hand gaan, anders gebruiken mensen het niet en wenden ze zich tot makkelijke, maar onveilige oplossingen. 

De norm stelt eisen aan zaken als veilig antwoorden op berichten, veilig doorsturen van berichten, veiligheid als standaard (security by default), geen account moeten hoeven aanmaken, geen aparte software moeten installeren, berichten kunnen downloaden voor eigen gebruik/archief en berichten als professionals eenvoudig kunnen opnemen in je EPD/ECD etc. Kortom; veilig communiceren moet makkelijk zijn!

Onze ervaring is dat de adoptie van veilige e-mail en bestandsuitwisseling ook veel sneller en beter gaat bij organisaties die gebruiksvriendelijkheid centraal hebben staan. Dit betekent kunnen blijven werken vanuit de tools die je gewend bent, niet te veel extra handelingen hoeven doen, en snel te leren zijn. Het mes snijdt hierbij aan twee kanten; meer tevreden gebruikers en meer veiligheid!

Checklist NTA 7516

De NTA 7516 beschrijft ruim twintig eisen waaraan organisaties moeten voldoen voor veilige ad hoc communicatie van gezondheidsinformatie. De checklist is een handreiking waarmee de organisatie met een aantal vragen kan nagaan hoe een leverancier invulling heeft gegeven aan deze eisen.

Benieuwd hoe Zivver omgaat met compliance? Raadpleeg onze wet- en regelgeving pagina. 

Een oplossing om aan alle technische aspecten van de norm te voldoen.

Zivver is een van de partijen die actief betrokken waren bij de totstandkoming van de NTA 7516 en de ontwikkeling van de technische handreiking die het koppelvlak voor leveranciers beschrijft. Ook zijn wij betrokken bij het opstellen van het toetsingskader voor certificering. 

Zivver schudde de markt voor veilige communicatie in de zorg drie jaar geleden flink op. We presenteerden een visie voor echte veiligheid in combinatie met gebruiksgemak. Dat resulteerde er onder andere in dat afgelopen paar jaar ruim 45% van de gemeenten en ziekenhuizen voor Zivver koos. We zijn het aan onze klanten en aan onszelf verschuldigd om zo volledig mogelijk aan deze door het veld gevraagde, gemaakte en geaccepteerde norm te voldoen! We melden dan ook trots dat we de eerste leverancier zijn die de certficering voor de norm heeft behaald.

Zivver was ook de eerste leverancier die publiekelijk haar commitment aan het voldoen aan de NTA 7516 kenbaar maakte. We zijn door de certificatie-instelling EY CertifyPoint getoetst en kregen de bevestiging dat we voldoen aan de NTA 7516. Goed nieuws voor onze klanten, die we hiermee voor een lange periode het comfort van veilige communicatie kunnen bieden. 

Als je benieuwd bent naar de oplossing van Zivver voor veilige mail, bekijk dan welke prijsplannen het beste bij jouw organisatie past.

Benieuwd hoe Zivver omgaat met compliance en security? Raadpleeg onze wet- en regelgeving pagina.