De werkwijze van NTA 7516 is als volgt. De professional stelt een lijst van criteria op die voor zijn praktijk en het daarbij behorende risicoprofiel gelden. Hoofdstuk 5 biedt het raamwerk voor deze criteria en in hoofdstuk 6 staat voor elk criterium een zogenoemde grenswaarde die de professional in geen geval mag overschrijden.
Parallel hieraan stellen communicatiedienstenaanbieders een lijst op met dezelfde criteria, aangevuld met de waarde die zij kunnen realiseren. Daarbij geven zij ook aan op welke wijze de aangeboden dienst moet worden gebruikt, zodat de aangegeven waarden kunnen worden gerealiseerd.
Vervolgens kiest de professional uit de communicatiedienstenaanbieders die aan de criteria – die hij heeft opgesteld – voldoen, een geschikte partij en volgt haar instructies op, zodat uitwisseling van ad-hocberichten conform NTA 7516 kan plaatsvinden.
Aanvullend stelt NTA 7516 eisen aan het ICT-landschap van partijen (zoals ten aanzien van een volwassen 3) informatiebeveiligingsbeleid) en aan een periodieke toetsing en herijking van de criteria, en bijbehorende voorwaarden.
Er wordt in NTA 7516 veelvuldig gerefereerd aan authenticatiemiddelen met betrouwbaarheidsniveau 'substantieel' en 'hoog'. Deze zijn voor de patiënt en ook de professional nog niet breed beschikbaar. Zolang deze middelen nog niet beschikbaar zijn, moet een authenticatiemiddel worden gebruikt met het hoogst haalbare betrouwbaarheidsniveau dat breed beschikbaar is.
