Volg Software Zaken

Stappenplan en template NTA 7516

| Jelle Hoekstra | Security Templates

We gebruiken allemaal e-mail, maar doe je dat veilig als zorginstelling? Om deze vraag te beantwoorden is de norm NTA 7516 ontwikkeld. Overal waar de lange zin “uitwisseling van ad-hocberichten met persoonlijke gezondheidsinformatie” staat, kan je beter “e-mail” of “chatapplicatie” denken. De norm bevat een hoop eisen voor leveranciers van dit soort IT-diensten. Het gros van het werk ligt bij deze leveranciers, maar zorgorganisaties hebben ook wat huiswerk. In deze blog een checklist, achtergrondinformatie én een gratis template voor NTA 7516.

Checklist voor zorginstellingen

Geen tijd om deze volledige blog te lezen? Dit is de verkorte checklist welke stappen je als zorginstelling moet zetten om aan NTA 7516 te voldoen:

  1. Stel je eigen eisen vast, samen met een professional (lees: zorgmedewerker), download hiervoor ons gratis NTA 7516 template. In dit template staan de minimale eisen uit de norm, met een onderbouwing.
  2. Zoek een leverancier en check of die de volgende zaken heeft:
    a) een openbaar beschikbare lijst met in- en uitsluitingen voor NTA7516;
    b) een certificaat van ISO 27001 of NEN 7510 met de applicatie in scope.
  3. Leg je eisen uit stap 1 voor aan de leverancier en vraag expliciet of de leverancier hieraan voldoet.
  4. Onderteken een contract met de tekst uit bijlage G van de norm NCS7516 (download deze gratis via de NEN).

Achtergrond NTA 7516

De NTA 7516:2019 is een ‘Nederlandse Technische Afspraak’ die wordt beheerd door het Nederlands Normalisatie Instituut (NEN). Een technische afspraak bevat eisen en kan dus worden gezien als norm. NTA 7516 bevat eisen aan de uitwisseling van ad-hocberichten met persoonlijke gezondheidsinformatie. Concreet gaat dit om het versturen van medische informatie via chatapplicaties of e-mail. Dit soort berichten zijn vaak eenmalig of voor een specifiek geval of situatie en lopen dus risico om minder zorgvuldig behandeld te worden. Voor zorgverleners is het zeer makkelijk om via Whatsapp of e-mail met elkaar te communiceren, maar makkelijk betekent niet veilig. De norm is bedoeld voor drie doelgroepen:

  • Organisaties (bijvoorbeeld zorgaanbieders en gemeenten met zorgtaken)
  • Communicatiedienstenaanbieders (leveranciers)
  • Personen (patiënten, cliënten)

Uitgangspunten

De eerste vier hoofdstukken van de norm bestaan uit algemene introductie en definities. In hoofdstuk vijf komen verschillende uitgangspunten aan bod:

  • De verzender moet als initiator van de communicatie worden gezien;
  • Aan professionals worden zwaardere eisen gesteld om veilig informatie te ontvangen dan aan personen;
  • Er zijn drie functionele onderdelen van ad-hocberichten:
    • Inhoud
    • Bijlagen
    • Metadata

Normen voor professionals (zoals zorgaanbieders, gemeenten)

De kern van de norm is te vinden in het zesde hoofdstuk. De organisatie moet eisen vastleggen voor de volgende criteria en de onderbouwing ervan documenteren.

Criteria en grenswaarden (6.1)

Algemeen

Minimale documentatie (6.1.1): de onderbouwing van alle eisen moet zijn vastgelegd.

Beschikbaarheid

Minimale beschikbaarheid (6.1.2): in SLA met relevante leveranciers is een beschikbaarheid van minstens 99,8 % per jaar vastgelegd en er zijn objectieve overzichten van beschikbaarheid in afgelopen 12 maanden.

Maximale uitvalduur (6.1.3): in de SLA is afgesproken dat berichten gegarandeerd binnen 24 uur worden geleverd.

Maximaal gegevensverlies (6.1.4): geen enkel verlies, tenzij verzender binnen 24 uur na verzending geïnformeerd wordt.

Integriteit

Herkomstbevestiging (6.1.5): authenticatiemethode van minimaal niveau ‘substantieel’ volgens UeIDAS.

Data‐integriteit (6.1.6): wijziging van inhoud tussen verzending en ontvangst is niet toegestaan, dus communicatie tussen e-mailclients en servers zijn beveiligd (bijv. met passende TLS-encryptie).

Onweerlegbaarheid verzender (6.1.7): herkomst van een bericht is helder, minimaal niveau ‘substantieel’ volgens UeIDAS.

Autorisatie verzender (6.1.8): organisatie moet autorisatie van zijn verzendende medewerker garanderen.

Vertrouwelijkheid

Gegevensvertrouwelijkheid (6.1.9): toegang tot opgeslagen berichten is verboden voor onbevoegden, berichten moeten worden versleuteld.

Toegangsvertrouwelijkheid (6.1.10): minimale authenticatie van ‘substantieel’ voor personen en ‘hoog’ voor gegevens waar een beroepsgeheim voor geldt.

Communicatievertrouwelijkheid (6.1.11): toegang voor onbevoegden moet onmogelijk zijn.

Verzendingsgrond (6.1.12): er moet een beleid zijn met beschrijving van redenen om informatie te mogen delen (verzendingsgrond) en er moet worden gecontroleerd op de uitvoering van dat beleid.

Internationaal ad‐hocberichtenverkeer (6.1.13): verwerking buiten de Europese Economische Ruimte (EER) mag alleen conform regels AVG.

Gebruiksvriendelijkheid

Continuïteit van ad‐hocberichtenverkeer – beantwoorden (6.1.14): een ontvanger moet visueel kunnen zien of een bericht veilig is verzonden.

Continuïteit van ad‐hocberichtenverkeer – doorsturen (6.1.15): als doorsturen niet veilig kan, moet gebruiker hierop gewezen worden.

Veiligheid als gemak (6.1.16): instellingen moeten standaard op veilig staan.

Leesbaarheid (6.1.17): de inhoud van berichten (zonder bijlagen) moet zonder aanvullende software of het maken van een account zichtbaar zijn voor de ontvanger. Als een persoon de informatie ontvangt, dan moet de online omgeving voldoen aan de eisen voor digitale toegankelijkheid (EN 301 549).

Eigen kopie (6.1.18): het moet makkelijk zijn voor de ontvanger om een eigen kopie op te slaan.

Interoperabiliteit

Dossierkoppeling (6.1.19): het bericht moet makkelijk en veilig gekoppeld kunnen worden door de ontvanger en aan het juiste dossier.

Overige eisen (6.2 – 6.6)

E-mail

Specifiek voor e-mail gelden aanvullende eisen:

  • er moet een veilige connectie zijn: als de ontvangende server niet veilig is, mag daar geen bericht worden aangeboden;
  • metadata moet worden beperkt tot het hoogst noodzakelijke.

Verplichte beleidsonderwerpen

Verder moet de organisatie beleid vaststellen met minimaal de volgende onderwerpen:

  • waarnemen van collega’s tijdens afwezigheid;
  • mandateren en delegeren van toegang tot berichten;
  • toegang tot informatie zonder directe behandelsrelatie;
  • toegang tot functionele mailboxen;
  • gebruik van ene adresboek;
  • gebruik van functies die berichten kunnen wijzigen;
  • automatische functies bij ontvangst van berichten (zoals autoreply etc.);
  • bewaartermijnen;
  • verantwoordelijkheden;
  • verzendingsgronden;
  • continuïteit bij faillissement dienstverlener;
  • informeren van persoon over veilig mailen.

Continue verbetering

Er moet een programma zijn voor verbetering van:

  • bovenstaand beleid;
  • geschiktheid van de gebruikte communicatiemogelijkheden.

Dit programma is een aanvulling op implementatie van het ISMS volgens NEN 7510-1:2017.

Logging

Verder moet er uitgebreide logging plaatsvinden, voor zover van toepassing over:

  • alles met betrekking tot verzenden of intrekken van berichten;
  • wijzigen van verzonden berichten;
  • verwijderen (bij verzender) van berichten;
  • alles met betrekking tot ontvangen van berichten;
  • raadplegen, doorsturen of verwijderen van ontvangen berichten,
  • maken en opheffen van e-mail of chataccount;
  • toekennen, wijzigen, intrekken van rechten van een account;
  • alle gebeurtenissen m.b.t. authenticatie;
  • toegang tot loggegevens;
  • aanpassen van loggegevens.

Berichten op initiatief persoon

Een professional moet personen (cliënten/patiënten) de mogelijkheid geven om op eigen initiatief berichten te sturen aan de professional. Deze methode moet:

  • bekend gemaakt worden (bijvoorbeeld via website);
  • eenvoudig te gebruiken zijn;
  • voldoen aan eisen van toegankelijkheid (EN 301 549);
  • aan dezelfde eisen als hierboven voldoen.

Normen voor leveranciers

Voor leveranciers van diensten die veilig ad-hoc verkeer aanbieden gelden dezelfde criteria en grenswaarden als in 6.1, maar met de volgende wijzigingen:

  • toevoegen ‘multikanaalcommunicatie’ (zie 7.2): interoperabiliteit met diensten van andere aanbieders die NEN 7516 volgen.
  • weglating van de criteria ‘autorisatie verzender’ (6.1.8) en ‘verzendingsgrond’ (6.1.12).

Overige eisen (7.3 – 7.6)

Implementatie

De leverancier moet aangeven op welke manier een professional de dienst moet gebruiken/implementeren, zodat de criteria en grenswaarden kunnen worden gerealiseerd.

Gebruik

De leverancier moet:

  • regels vaststellen voor bevoegdheden van personen die met verwerking van de berichten te maken hebben;
  • maatregelen hebben getroffen op basis van een managementsysteem (conform ISO 27001 of NEN 7510);
  • loggegevens afschermen conform NEN 7510:2017 en NEN 7513:2018;
  • bewaartermijnen voor loggegevens vaststellen conform NEN 7513:2018.

Toezicht/naleving

De leverancier moet verder:

  • een certificaat voor het hierboven genoemde managementsysteem hebben, dat de dienst die geleverd wordt in scope heeft.

Tot slot

De NTA 7516 kan worden gebruikt om veilig te communiceren in de zorg. Veel van de aspecten die de norm echter probeert te regelen, vallen ook onder de dienstverlening die de gemiddelde leverancier van encrypted e-mail aanbiedt. Tegelijkertijd maakt de norm het nog niet mogelijk om personeel van een zorginstelling van bijvoorbeeld Whatsapp gebruik te laten maken. De implementatie van NTA 7516 betekent werk voor leveranciers én zorginstellingen die zich voor NEN7510 willen laten certificeren.

Voor meer artikelen over information-security, kijk dan op onze pagina met alle security-artikelen.

Image credit: @carolran via Unsplash 

Author: Jelle Hoekstra
Jelle Hoekstra LLM is consultant en mediator bij SoftwareZaken. Hij is gecertificeerd in privacy (CIPP/E & CIPM), security (ISO27001 Lead Auditor) en mediaton (IMI Qualified Mediator). Eerder werkte hij voor diverse organisaties als juridisch adviseur en Privacy & Security Officer. Jelle is lid van de International Association for Privacy Professionals (IAPP), het Nederlands Genootschap voor Functionarissen van Gegevensbescherming (NGFG) en het International Mediation Institute (IMI).