NTA 7516: een Q&A

NTA 7516 gecertificeerd

NTA 7516 gecertificeerd

In mei dit jaar is de nieuwe normering voor ad hoc communicatie ingegaan: de NTA 7516. Veel organisaties voldoen nog niet aan de norm en er zijn nog veel vragen. Onze CEO Rick Goud beantwoordde de vragen uit de markt. Hieronder vind je een overzicht:

Vraag: Ik hoor van verschillende kanten dat de NTA 7516 het werken met functionele mailboxen verbiedt. Klopt dat?

Antwoord: Nee, dat klopt (uiteraard) niet. Dat zou het werken voor veel organisaties onmogelijk maken. Wel is het zo dat de NTA eist dat gebruikers met/via hun persoonlijk account inloggen bij de functionele mailbox, zodat op persoonsniveau gelogd kan/moet worden wie toegang heeft gehad tot en gehandeld heeft vanuit een functionele mailbox. Daarom is het zo dat ondersteuning voor gedelegeerde authenticatie met bijbehorende logging essentieel is. Als je een oplossing hebt die dit niet ondersteunt, dan kun je als organisatie kiezen voor een andere/aanvullende oplossing of besluiten om niet meer met functionele e-mailadressen te werken.
Tot slot; de NTA 7516 verplicht ook dat de afzender van een e-mailadres herkenbaar moet zijn. Zorg dus voor logische namen, dus niet 23094823904@organisatie.nl, maar cardiologie@organisatie.nl bijvoorbeeld.

--------------------------------------------------------------------------------

Vraag: Ik mail via een regionale (ingekochte) oplossing. Dan mail ik toch al veilig?

Antwoord: Nee. Om 3 redenen:
1) De organisatie, dus zorginstelling, gemeente, etc, moet aan de 25+ eisen van de NTA voldoen. Leveranciers kunnen bij een deel helpen. Maar met alleen een oplossing ben je er niet.
2) De organisatie moet een leverancier hebben die gecertificeerd is. Nu is dat alleen ZIVVER; anderen volgen vast. Maar regionale 'eigen' oplossingen komen (waarschijnlijk) niet door de certificering heen.
3) Leveranciers mogen e-mail binnenkort alleen nog maar afleveren op basis van de NTA 7516. Dus andere methodes, via VPN of domeinlijsten die tussen partijen worden uitgewisseld, mogen niet meer. Veel regionale oplossingen zijn nog op deze oude, dus niet voldoende veilige, methodes gebaseerd. En moeten dus binnenkort worden uitgezet.

Dit heeft binnenkort grote consequenties voor regio's en organisaties die nog niet NTA 7516 compliant zijn. Over een paar weken kunnen deze partijen berichten niet meer 'zonder slotje', zoals de NEN het noemt, dus als normale e-mail, versturen. Maar nog erger, niet meer als normale e-mail ontvangen: elke mail vraagt dan extra handelingen om de veiligheid te waarborgen.

--------------------------------------------------------------------------------

Vraag: Ik wil veilig mailen met Office 365, dat kan toch?

Antwoord: Nee, in ieder geval niet het veilig mailen zoals de NTA 7516 vereist. De NTA beschrijft 20+ eisen aan de techniek/oplossing voor veilig e-mailen. Office 365 voldoet daarbij niet aan essentiële eisen. Denk aan het sterk kunnen authenticeren van ontvangers. Ook voldoet O365 niet aan de interoperabiliteitseisen en meeste gebruiksvriendelijkheidseisen voor veilige e-mail.
Organisaties zijn verplicht om met een NTA 7516-gecertificeerde leverancier te werken voor veilig mailen. Microsoft is wel betrokken geweest bij de ontwikkeling van de NTA, maar heeft aangegeven niet te gaan voldoen en heeft geen plannen bekendgemaakt om wel gecertificeerd te worden. Dat zou dus ook nog aanzienlijke aanpassingen aan O365 vereisen en die staan vooralsnog niet op de (voor het publiek bekende) roadmap.

Organisaties met Office 365 (zelfde geldt trouwens voor Exchange, Google, Mimecast, etc.) zullen dus een aanvullend product voor veilig mailen moeten implementeren willen ze persoonlijke gezondheidsinformatie blijven delen via mail, messaging, portalen, etc.

--------------------------------------------------------------------------------

Vraag: Kan ik met mijn huidige oplossing veilig mailen?

Antwoord: Is je oplossing gecertificeerd? Op onderstaande website van de NEN kun je zien of dat zo is. Als 'nee', is dat op korte termijn wel het geval? Als 'nee', dan is het antwoord dus 'nee' en zul je een gecertificeerde oplossing moeten nemen.

Bij een gecertifeerde oplossing, is het belangrijk na te gaan op welke onderdelen deze voldoet aan de norm. De NTA-7516 stelt 29 eisen aan organisaties (dus bv zorginstelling of gemeente), waarvan 24 met techniek te maken hebben. Maar het kan zijn dat een oplossing maar op bv 4 technische punten voldoet. Zo gaan sommigen bv niet voldoen aan 'Toegangsvertrouwelijkheid'. Dat betekent concreet dat je daarme niet veilig kan e-mailen met patienten/clienten en met organisaties die niet voldoen aan de NTA. De vraag is wat je dan hebt aan zo'n oplossing, want er is daarbij minimaal een extra product nodig, met extra kosten, implementatie en beheerlast.

Let dus op: Een gecertificeerde leverancier is verplicht, maar niet voldoende voor #veiligmailen! Je moet aan 29 eisen voldoen en afhankelijk van de gekozen leverancier betekent dat beperkte (alleen beleid) of aanzienlijke (beleid+techniek) maatregelen die je als organisatie nog moet nemen!

--------------------------------------------------------------------------------

Vraag: Wat is het doel van de #NTA7516?

Antwoord: Doel 1 is zorgen dat persoonlijke gezondheidsinformatie altijd veilig wordt gedeeld. Sommigen dachten namelijk 'veilig' te mailen als ze TLS op hun mailserver aanzetten, anderen meenden dat e-mail nooit 'veilig' te krijgen was. De NTA beschrijft 29 eisen die je de garantie geeft dat, als je aan alle eisen voldoet, je ook echt veilig e-mailt en e-mail dus kunt gebruiken als volwaardig middel voor de uitwisseling van de meest gevoelige informatie.

Dus we hebben nu (eindelijk) een definitie van 'veilig e-mailen'; voldoen aan de NTA 7516 is veilig, niet voldoen aan de NTA 7516 is niet veilig.

Doel 2 is interoperabiliteit; Oplossingen moeten met elkaar 'praten'. Zodat iedereen op basis van haar eigen business case een oplossing kan kiezen, zonder te moeten kiezen voor dezelfde oplossing als de buurman of de regio voor efficiente communicatie. Daarom kun je als organisatie alleen maar voldoen aan de NTA7516 als je aan alle 29 eisen voldoet en een leverancier hebt die gecertificeerd is op de NTA 7516 en daarmee dus gegarandeerd interoperabiliteit biedt. Net dat als het niet uitmaakt of u via KPN, Ziggo, Telfort of een andere aanbieder belt of internet. Zoals het hoort, #veiligmailen moet simpel zijn!

--------------------------------------------------------------------------------

Heb je zelf een vraag over de NTA 7516? De komende weken kan je jouw vragen insturen via LinkedIn. We blijven dit blog updaten!

Wil je meer lezen over de NTA 7516? Lees er alles over op onze speciale pagina.

Lees alles over de nta 7516

Geschreven door
Picture of Rick Goud

Rick Goud

Rick heeft ruim 6 jaar gewerkt als strategieconsultant in de gezondheidszorg bij Gupta Strategists. Hij studeerde medische informatiekunde aan de UvA en Zorgmanagement aan de Erasmus Universiteit. Daarnaast is hij gepromoveerd in de Geneeskunde aan de UVA op de ontwikkeling, implementatie en evaluatie van beslissingsondersteunende systemen in de zorg. Tijdens zijn studie heeft Rick een aantal jaar als programmeur gewerkt. Het idee achter ZIVVER ontstond tijdens zijn werk als strategieconsultant. Overal waar hij kwam werd veel met gevoelige data gewerkt zoals patiëntgegevens, prijsafspraken, marktprestaties, contracten etc. Bij elke klant speelden vragen over veiligheid van de data, hergebruik van de data, etc. Regelmatig zag hij dat gebruik gemaakt werd van oplossingen waarbij de veiligheid en beheersbaarheid onduidelijk was. Op basis hiervan zag hij dat er een duidelijke behoefte was aan een oplossing zoals ZIVVER die biedt.

Gepubliceerd op juni 26, 2020

Laatst gewijzigd op juni 29, 2020