Volg Software Zaken

Veilig mailen in de zorg met NTA 7516

| Jelle Hoekstra | Security

In elke organisatie wordt veel gebruik gemaakt van e-mail, de zorgsector is daar geen uitzondering op. Het uitwisselen van informatie via gestructureerde koppelingen heeft de voorkeur vanuit beheersbaarheid, maar het sturen van een Whatsappje of e-mail is altijd makkelijker. Hoe zorg je er als zorginstelling voor dat uitwisseling van berichten via chatapplicaties en e-mail ook veilig gebeurt? Om deze vraag te beantwoorden is de norm NTA 7516 ontwikkeld, in deze blog een samenvatting ervan.

De NTA 7516:2019 is een ‘Nederlandse Technische Afspraak’ die wordt beheerd door het Nederlands Normalisatie Instituut (NEN). Een technische afspraak bevat eisen en kan dus worden gezien als norm. NTA 7516 bevat eisen aan de uitwisseling van ad-hocberichten met persoonlijke gezondheidsinformatie. Concreet gaat dit om het versturen van medische informatie via chatapplicaties of e-mail. Dit soort berichten zijn vaak eenmalig of voor een specifiek geval of situatie en lopen dus risico om minder zorgvuldig behandeld te worden. Voor zorgverleners is het zeer makkelijk om via Whatsapp of e-mail met elkaar te communiceren, over de veiligheid is niet hetzelfde te zeggen. De norm is bedoeld voor drie doelgroepen:

  • Organisaties (bijvoorbeeld zorgaanbieders en gemeenten met zorgtaken)
  • Communicatiedienstenaanbieders (leveranciers)
  • Personen (patiënten, cliënten)

Uitgangspunten

De eerste vier hoofdstukken van de norm bestaan uit algemene introductie en definities. In hoofdstuk vijf komen verschillende uitgangspunten aan bod:

  • De verzender moet als initiator van de communicatie worden gezien;
  • Aan professionals worden zwaardere eisen gesteld om veilig informatie te ontvangen dan aan personen;
  • Er zijn drie functionele onderdelen van ad-hocberichten:
    • Inhoud
    • Bijlagen
    • Metadata

Normen voor professionals

De kern van de norm is te vinden in het zesde hoofdstuk. De professional moet eisen vastleggen voor de volgende criteria en de onderbouwing ervan documenteren.

Criteria en grenswaarden (6.1)

Beschikbaarheid

Minimale beschikbaarheid (6.1.2): 99,8 % per jaar

Maximale uitvalduur (6.1.3): 24 uur

Maximaal gegevensverlies (6.1.4): geen enkel verlies, tenzij verzender binnen 24 uur na verzending geïnformeerd wordt.

Integriteit

Herkomstbevestiging (6.1.5): authenticatiemethode van minimaal niveau ‘substantieel’ volgens UeIDAS.

Data‐integriteit (6.1.6): wijziging van inhoud tussen verzending en ontvangst is niet toegestaan.

Onweerlegbaarheid verzender (6.1.7): herkomst van een bericht is helder, minimaal niveau ‘substantieel’ volgens UeIDAS.

Autorisatie verzender (6.1.8): organisatie moet autorisatie van zijn verzendende medewerker garanderen.

Vertrouwelijkheid

Gegevensvertrouwelijkheid (6.1.9): toegang tot opgeslagen berichten is verboden voor onbevoegden, berichten moeten worden versleuteld.

Toegangsvertrouwelijkheid (6.1.10): minimale authenticatie van ‘substantieel’ voor personen en ‘hoog’ voor gegevens waar een beroepsgeheim voor geldt.

Communicatievertrouwelijkheid (6.1.11): toegang voor onbevoegden moet onmogelijk zijn.

Verzendingsgrond (6.1.12): er moet een beleid zijn met beschrijving van redenen om informatie te mogen delen (verzendingsgrond) en er moet worden gecontroleerd op de uitvoering van dat beleid.

Internationaal ad‐hocberichtenverkeer (6.1.13): verwerking buiten de Europese Economische Ruimte (EER) mag alleen conform regels AVG.

Gebruiksvriendelijkheid

Continuïteit van ad‐hocberichtenverkeer – beantwoorden (6.1.14): een ontvanger moet visueel kunnen zien of een bericht veilig is verzonden.

Continuïteit van ad‐hocberichtenverkeer – doorsturen (6.1.15): als doorsturen niet veilig kan, moet gebruiker hierop gewezen worden.

Veiligheid als gemak (6.1.16): instellingen moeten standaard op veilig staan.

Leesbaarheid (6.1.17): de inhoud van berichten (zonder bijlagen) moet zonder aanvullende software of het maken van een account zichtbaar zijn voor de ontvanger. Als een persoon de informatie ontvangt, dan moet de online omgeving voldoen aan de eisen voor digitale toegankelijkheid (EN 301 549).

Eigen kopie (6.1.18): het moet makkelijk zijn voor de ontvanger om een eigen kopie op te slaan.

Interoperabiliteit

Dossierkoppeling (6.1.19): het bericht moet makkelijk en veilig gekoppeld kunnen worden door de ontvanger en aan het juiste dossier.

Overige eisen (6.2 – 6.6)

E-mail

Specifiek voor e-mail gelden aanvullende eisen:

  • er moet een veilige connectie zijn: als de ontvangende server niet veilig is, mag daar geen bericht worden aangeboden;
  • metadata moet worden beperkt tot het hoogst noodzakelijke.

Verplichte beleidsonderwerpen

Verder moet de organisatie beleid vaststellen met minimaal de volgende onderwerpen:

  • waarnemen van collega’s tijdens afwezigheid;
  • mandateren en delegeren van toegang tot berichten;
  • toegang tot informatie zonder directe behandelsrelatie;
  • toegang tot functionele mailboxen;
  • gebruik van ene adresboek;
  • gebruik van functies die berichten kunnen wijzigen;
  • automatische functies bij ontvangst van berichten (zoals autoreply etc.);
  • bewaartermijnen;
  • verantwoordelijkheden;
  • verzendingsgronden;
  • continuïteit bij faillissement dienstverlener;
  • informeren van persoon over veilig mailen.

Continue verbetering

Er moet een programma zijn voor verbetering van:

  • bovenstaand beleid;
  • geschiktheid van de gebruikte communicatiemogelijkheden.

Dit programma is een aanvulling op implementatie van het ISMS volgens NEN 7510-1:2017.

Logging

Verder moet er uitgebreide logging plaatsvinden, voor zover van toepassing over:

  • alles met betrekking tot verzenden of intrekken van berichten;
  • wijzigen van verzonden berichten;
  • verwijderen (bij verzender) van berichten;
  • alles met betrekking tot ontvangen van berichten;
  • raadplegen, doorsturen of verwijderen van ontvangen berichten,
  • maken en opheffen van e-mail of chataccount;
  • toekennen, wijzigen, intrekken van rechten van een account;
  • alle gebeurtenissen m.b.t. authenticatie;
  • toegang tot loggegevens;
  • aanpassen van loggegevens.

Berichten op initiatief persoon

Een professional moet personen (cliënten/patiënten) de mogelijkheid geven om op eigen initiatief berichten te sturen aan de professional. Deze methode moet:

  • bekend gemaakt worden (bijvoorbeeld via website);
  • eenvoudig te gebruiken zijn;
  • voldoen aan eisen van toegankelijkheid (EN 301 549);
  • aan dezelfde eisen als hierboven voldoen.

Normen voor leveranciers

Voor leveranciers gelden dezelfde criteria en grenswaarden als in 6.1, maar met de volgende wijzigingen:

  • toevoegen ‘multikanaalcommunicatie’ (zie 7.2): interoperabiliteit met diensten van andere aanbieders die NEN 7516 volgen.
  • weglating van de criteria ‘autorisatie verzender’ (6.1.8) en ‘verzendingsgrond’ (6.1.12).

Overige eisen (7.3 – 7.6)

Implementatie

De leverancier moet aangeven op welke manier een professional de dienst moet gebruiken/implementeren, zodat de criteria en grenswaarden kunnen worden gerealiseerd.

Gebruik

De leverancier moet:

  • regels vaststellen voor bevoegdheden van personen die met verwerking van de berichten te maken hebben;
  • maatregelen hebben getroffen op basis van een managementsysteem (conform ISO 27001 of NEN 7510);
  • loggegevens afschermen conform NEN 7510:2017 en NEN 7513:2018;
  • bewaartermijnen voor loggegevens vaststellen conform NEN 7513:2018.

Toezicht/naleving

De leverancier moet verder:

  • een certificaat voor het hierboven genoemde managementsysteem hebben, dat de dienst die geleverd wordt in scope heeft.

Tot slot

De NTA 7516 kan worden gebruikt om veilig te communiceren in de zorg. Veel van de aspecten die de norm echter probeert te regelen, vallen ook onder de dienstverlening die de gemiddelde leverancier van encrypted e-mail aanbiedt. Tegelijkertijd maakt de norm het nog niet mogelijk om personeel van een zorginstelling van bijvoorbeeld Whatsapp gebruik te laten maken. De norm werkt dus niet drempelverlagend, maar is wel een prima norm om mee te nemen in een aanbesteding. Marktpartijen die diensten voor versleuteld e-mailen in de zorg aanbieden, kunnen hier prima aan voldoen.

Image credit: @carolran via Unsplash 

Jelle Hoekstra
Author: Jelle Hoekstra
Jelle Hoekstra LLM is consultant bij SoftwareZaken en CIPP/E & CIPM gecertificeerd. Eerder werkte hij voor diverse organisaties als juridisch adviseur en Privacy & Security Officer. Jelle is lid van de International Association for Privacy Professionals (IAPP) en het Nederlands Genootschap voor Functionarissen van Gegevensbescherming (NGFG).