Gemeenten die een specifieke oplossing voor veilige e-mail eisen, overtreden de NTA 7516 en eisen van de Wvggz

shutterstock_517227541

shutterstock_517227541

In ons eerdere blog stonden we al stil bij de gevolgen voor gemeenten van de norm voor veilige ‘ad hoc communicatie’ van gezondheidsinformatie, de NTA 7516, die de NEN in mei uitbracht. Voldoen aan deze norm is een verplichting voor alle organisaties die gezondheidsinformatie uitwisselen. Dus ook voor gemeenten en voor zorginstellingen.

Het doel van de NTA 7516 is helderheid geven over de eisen waaraan oplossingen voor veilige ad hoc communicatie, waaronder e-mail, moeten voldoen. Maar ook dat NTA 7516-compliant oplossingen voortaan met elkaar koppelen, zodat partijen niet altijd dezelfde oplossing hoeven te gebruiken om efficiënt en veilig met elkaar te communiceren.

Toch horen we van verschillende kanten dat gemeenten in hun aanbestedingen nog steeds specifieke oplossingen eisen. Dit is echter een onwenselijke beperking van de keuzevrijheid en gaat in tegen het doel van de NTA 7516. Daar komt nog bij: de oplossingen die worden geëist missen elementen die volgens de NTA 7516 essentieel zijn voor de veiligheid. Gemeenten moeten dus eisen dat oplossingen “voldoen aan de NTA 7516”, in plaats van vragen om specifieke oplossingen. Omdat we in contact met zorginstellingen merken dat bovenstaande tot frustratie leidt en dit bij gemeenten lijkt voort te komen uit onwetendheid, besteden we hier in dit artikel aandacht aan.

Over de NTA 7516

De NTA 7516 beschrijft wat de eisen zijn die gelden voor veilige ad hoc communicatie waaronder e-mail. Een ander belangrijk doel van de norm is regelen dat oplossingen van veilige e-mail voortaan ‘met elkaar praten’. Zodat ontvangers die zelf een oplossing gebruiken die voldoet aan de NTA 7516 berichten gewoon kunnen lezen in hun eigen omgeving. Deze zogenaamde interoperabiliteit is iets waar vanuit zorgorganisaties en gemeenten veel behoefte aan is. Want niets is zo vervelend als elke keer te moeten inloggen op een, vaak onhandig, portaal van een ander product. Of wellicht nog erger: te worden gedwongen om ook de oplossing te kopen van degene met wie je communiceert. Want aangezien iedere organisatie diverse communicatiepartners heeft met verschillende oplossingen, zorgt dit voor dubbele kosten.

Met de NTA 7516 hoeft dit dus niet meer. De norm stelt interoperabiliteit verplicht zodat elke organisatie een keuze kan maken voor een NTA 7516-compliant oplossing, op basis van de eigen business case.

Gemeenten overtreden onbedoeld de NTA 7516

De afgelopen weken zijn we door verschillende zorgaanbieders geattendeerd op eisen in aanbestedingen van gemeenten met de volgende strekking:

“De Aanbieder dient voor de uitwisseling van (persoons)gegevens, zoals het Ondersteuningsplan, gebruik te maken van Oplossing X

Het doel van gemeenten hierbij is natuurlijk perfect, namelijk zorgen dat informatie veilig wordt uitgewisseld. Maar sinds de NTA 7516 is het dus niet meer nodig om een specifieke oplossing te vragen. De norm stelt namelijk interoperabiliteit verplicht, zodat elke organisatie een keuze kan maken voor een NTA 7516-compliant oplossing op basis van de eigen business case. Maar misschien nog erger: de ‘geëiste oplossingen’ voldoen vaak niet aan criteria die volgens de NTA 7516 essentieel zijn voor veiligheid. Denk aan twee-factor-authenticatie voor zowel medewerkers als ontvangers, ondertekening van e-mails, security by default, logging en meer.

Eis voldoen aan de NTA 7516

Zoals gezegd is het positief dat gemeenten informatiebeveiliging serieus nemen. Maar de invulling die sommige gemeenten hiervoor kiezen zorgt voor onwenselijke beperking van keuzevrijheid en wellicht zelfs beïnvloeding van de markt en hogere kosten. Want verschillende gemeenten eisen verschillende oplossingen, maar ook onveilige communicatie! Het tegenovergestelde wat waarschijnlijk bedoeld is.

Het zou beter zijn als gemeenten in de aanbesteding opnemen:

“De Aanbieder dient voor de uitwisseling van (persoons)gegevens, zoals het Ondersteuningsplan, te voldoen aan de eisen opgenomen in de NTA 7516”.

Op deze manier voldoe je aan de norm, laat je de markt zijn werk doen en worden zorgaanbieders niet gedwongen dubbele kosten te maken. Daarmee voldoe je gelijk aan de eisen die de Wvggz stelt aan veilige informatie-uitwisseling in de keten. Want ook de Wvggz stelt de NTA 7516 als verplichting!

Kortom, ‘voldoen aan de NTA 7516’ als eis stellen zorgt voor een win-win-winsituatie!

Alles over de norm NTA 7516

In dit blog heb je meer kunnen lezen over de NTA7516. Er is meer informatie beschikbaar over dit onderwerp op onze pillar page. Meer informatie over de nieuwe norm over ad hoc communicatie vind je via onderstaande knop.

Lees alles over de NTA 7516

Geschreven door
Picture of Rick Goud

Rick Goud

Rick heeft ruim 6 jaar gewerkt als strategieconsultant in de gezondheidszorg bij Gupta Strategists. Hij studeerde medische informatiekunde aan de UvA en Zorgmanagement aan de Erasmus Universiteit. Daarnaast is hij gepromoveerd in de Geneeskunde aan de UVA op de ontwikkeling, implementatie en evaluatie van beslissingsondersteunende systemen in de zorg. Tijdens zijn studie heeft Rick een aantal jaar als programmeur gewerkt. Het idee achter ZIVVER ontstond tijdens zijn werk als strategieconsultant. Overal waar hij kwam werd veel met gevoelige data gewerkt zoals patiëntgegevens, prijsafspraken, marktprestaties, contracten etc. Bij elke klant speelden vragen over veiligheid van de data, hergebruik van de data, etc. Regelmatig zag hij dat gebruik gemaakt werd van oplossingen waarbij de veiligheid en beheersbaarheid onduidelijk was. Op basis hiervan zag hij dat er een duidelijke behoefte was aan een oplossing zoals ZIVVER die biedt.

Gepubliceerd op september 24, 2019

Laatst gewijzigd op juni 26, 2020