De ultieme gids voor veilige communicatie

In september 2018 kreeg de NEN de opdracht van het ministerie van VWS en het Informatieberaad Zorg om de NTA 7516 te ontwikkelen. De aanleiding was enerzijds een verzoek van de Autoriteit Persoonsgegevens (AP). Die constateerde namelijk dat de meeste datalekken ontstonden bij de uitwisseling van persoonsgevoelige, vaak gezondheidsgerelateerde, informatie. De AP had dus behoefte aan een toetsingskader, zodat zij kon handhaven op compliance aan de nieuwe Europese privacywetgeving GDPR (General Data Protection Regulation, ook wel Algemene Verordening Gegevensbescherming of AVG genoemd) en andere relevante wetten en normen, zoals de NEN 7510, 7512, 7513, WGBO. Anderzijds vroeg ook het veld om duidelijkheid over wanneer communicatie zoals e-mail veilig ingezet kon worden en om de mogelijkheid om verschillende oplossingen met elkaar te koppelen.

De NTA 7516 heeft twee doelstellingen:

• Zorgen dat er duidelijke randvoorwaarden zijn gesteld aan het gebruik van e-mail, chat, messaging (al dan niet aangeboden via een berichtenportaal). Dit borgt veilige en betrouwbare uitwisseling van persoonlijke gezondheidsinformatie. Zo worden dit volwaardige oplossingen voor de elektronische uitwisseling van gezondheidsinformatie naast gestructureerde berichtenuitwisseling.
• Zorgen dat er berichten uitgewisseld kunnen worden tussen de verschillende oplossingen die er voor professionals beschikbaar zijn, ongeacht de leverancier. Dit is beter bekend als interoperabiliteit of multikanaalcommunicatie.

Het gemak en de snelheid van het uitwisselen van gegevens via de e-mail is ongeëvenaard. Vooral ondernemingen zijn hier steeds meer afhankelijk van geworden. Niettemin hebben de voordelen van e-mail een keerzijde, namelijk informatiebeveiliging. Het overgrote deel van de datalekken wordt veroorzaakt tijdens het mailen en delen van gegevens. In tegenstelling tot wat de meeste mensen denken, is de voornaamste data-lekker een onschuldig persoon met de beste intenties die een kleine fout maakt, bijvoorbeeld in het schrijven van het emailadres. De onderwerpen op deze pagina betreffen specifieke aandachtspunten die alle organisaties zouden moeten behandelen, implementeren en handhaven om datalekken als gevolg van digitale communicatie en de gevolgen van dien te voorkomen.

Vooralsnog is de NTA 7516 een Nederlandse norm. De NEN heeft laten weten dat zij de intentie heeft om een traject te starten om deze norm tot een Europese CEN-norm te maken. Nederland is namelijk het eerste land dat een dergelijke norm voor veilige ad hoc communicatie heeft opgesteld. Vaak worden dit soort normen centraal of decentraal overgenomen door andere bij de CEN aangesloten landen, waaronder alle 28 Europese lidstaten.

IT managers en CISO’s worden met een zware uitdaging geconfronteerd bij het versturen van gevoelige informatie en persoonsgegevens via de e-mail: hoe voorkom je dat deze gegevens in verkeerde handen vallen? Voorkomen is van groot belang, omdat er een reeks aan onfortuinlijke gebeurtenissen in werking kan zetten als dit mis gaat, zoals bijvoorbeeld:

• Datalekken;
• Reputatieschade;
• AVG overtredingsboetes;
• Juridische & financiële gevolgen.