Onlangs heeft de NEN het besluit genomen om de huidige NTA 7516 certificering van alle leveranciers in te trekken. In dit artikel leggen we uit waarom de NEN hiertoe is overgegaan en welke gevolgen dit kan hebben voor jouw organisatie.
Waarom de NTA 7516 certificering van leveranciers is ingetrokken
De NEN heeft besloten om per 15 mei 2022 de NTA 7516 certificering voor leveranciers in zijn geheel in te trekken. Dit betekent dat op dit moment geen enkele leverancier nog NTA 7516 gecertificeerd kan zijn. De reden dat de NEN hiervoor heeft gekozen is dat is gebleken dat er in veel gevallen certificaten aan leveranciers zijn verstrekt op basis van onjuiste en onvolledige toetsing, mede als gevolg van onduidelijkheid in de hiervoor gestelde criteria. Het certificaat bood zodoende in veel gevallen niet de zekerheid en duidelijkheid die het aan organisaties juist zou moeten bieden.
De situatie rondom incorrecte certificeringen is mede door Zivver bij de NEN onder de aandacht gebracht gemaakt. Daarop hebben VWS, de NEN en certificeerders geprobeerd om met leveranciers tot betere afspraken rondom toetsing te komen. Helaas is hiermee niet het gewenste resultaat bereikt, wat de NEN heeft doen besluiten om de NTA 7516 certificering in zijn geheel in te trekken.
Gevolgen voor organisaties
Het is belangrijk om te benoemen dat de NTA 7516 onverminderd van kracht blijft. Hierdoor moeten zorginstellingen, gemeenten en andere organisaties die persoonlijke gezondheidsinformatie mailen, blijven voldoen aan de NTA 7516. Het intrekken van de certificering van leveranciers heeft als grootste gevolg dat het voor organisaties nog belangrijker wordt om zelf onderzoek te doen of leveranciers de organisatie kunnen helpen voldoen aan de NTA 7516, en zo ja, tot in hoeverre en op welke onderdelen.
Voor klanten van Zivver die reeds NTA 7516 compliant zijn verandert er niets, omdat Zivver daadwerkelijk alle mogelijke technische functionaliteiten biedt die voor het voldoen aan de NTA 7516 benodigd zijn.
Voor organisaties die een andere leverancier gebruiken voor veilig e-mailen is het belangrijk om (opnieuw) te controleren tot in hoeverre betreffende leverancier daadwerkelijk de benodigde functionaliteiten biedt om als organisatie echt te kunnen voldoen aan de NTA 7516. Veel organisaties dachten in het verleden onterecht dat het contracteren van een NTA 7516 gecertificeerde leverancier voldoende zou zijn om te voldoen aan de NTA 7516. Dit misverstand werd mede veroorzaakt door de onduidelijkheid die de onterecht verleende certificaten met zich meebrachten. Het intrekken van de certificeringen heeft als beoogd doel om deze onduidelijkheid weg te nemen en organisaties ‘te dwingen’ zelf te onderzoeken of en tot in hoeverre een leverancier kan helpen met het voldoen aan de NTA 7516. Dit geldt dus ook voor organisaties die veronderstellen reeds aan de NTA 7516 te voldoen. Het voldoen aan de NTA 7516 blijft namelijk de verantwoordelijkheid van organisaties zelf.
Bezoek onze NTA 7516 informatiehub voor meer informatie en antwoorden op de meest gestelde vragen over de wetgeving en recente wijzigingen.
