NTA 7516 Eisen voor veilige e-mail en chatapplicaties 2019

Hide all commentary Show all commentary

Veel communicatie in en rond de zorg vindt plaats op gestructureerde wijze. Denk hierbij aan mechanismen en standaarden zoals de veel in het zorgveld gebruikte IHE-profielen, Cross-enterprise Document Sharing (XDS) en Edifact. Dergelijke communicatie is voorspelbaar (wat, wanneer en met wie), waardoor bescherming en inbedding in applicaties in beginsel goed zijn te regelen.
Daarnaast vindt ongestructureerd ad-hocberichtenverkeer plaats. Voorbeelden zijn e-mail en chatapplicaties. De onvoorspelbaarheid van deze communicatievormen maakt het lastig om de communicatie goed te beschermen. Het is duidelijk dat het niet gaat werken als (bijvoorbeeld) voorafgaand aan elke e-mail en/of met elk nieuw contact ook ad-hoc-afspraken moeten worden gemaakt over hoe cryptografische sleutels in het voorliggende geval worden uitgewisseld.
Een deel van de oplossing kan worden gevonden door met vaste communicatiepartners afspraken te maken. Maar daarmee wordt geen oplossing geboden voor de andere communicatiepartners, zoals patiënten/cliënten, gemeentelijke diensten, functionarissen van justitie en politie (bijv. in het kader van de Bopz en vanaf 2020 de WvGGZ). NTA 7516 biedt de oplossing in het geven van een tabel met alle relevante criteria voor veilige e-mail: de aanbieder van e-mail (leverancier) geeft aan wat hij kan bieden. De professional formuleert voor zichzelf de verplichte en gewenste criteria en selecteert daarmee een leverancier of richt zelf een veilige dienst in. Onderlinge veilige e-mail is daarmee gedekt. De patiënt of cliënt heeft meerdere opties: meestal zal hij communiceren via een door een zorgaanbieder geboden portaal, of reageren via een veilige link op de uitnodiging door de professional via gewone e-mail. Maar hij kan (in de toekomst, eventueel gesteund door een patiëntenvereniging) zelf ook kiezen voor een aanbieder van veilige e-mail.

De projectgroep die NTA 7516 heeft ontwikkeld, bestond uit vertegenwoordigers van zorgaanbieders, communicatiedienstenaanbieders, lokale overheden en patiënten/cliënten. De werkwijze van de projectgroep was, zoals altijd binnen NEN-projectgroepen, gebaseerd op consensus. Het werk van de projectgroep werd gepresenteerd als concept, waarop alle partijen commentaar konden indienen. Onder toeziend oog van de verantwoordelijke normcommissie heeft de projectgroep alle commentaren verwerkt of becommentarieerd. Hierover werden de indieners van de commentaren geïnformeerd.

NTA 7516 legt op meer generiek niveau afspraken vast over hoe partijen veilig ad hoc en ongestructureerd met elkaar kunnen communiceren. Bij 'ad hoc communiceren’ kan worden gedacht aan e-mail en chatapplicaties, waarbij verzender en ontvanger allebei een mens zijn. Automatisch verzonden berichten vallen bijvoorbeeld buiten het toepassingsgebied van NTA 7516.
NTA 7516 geeft aan wat ‘veilig’ in dit verband betekent, door het uit te splitsen naar verschillende criteria:
Tabel D.1Criteria
Groep Criterium Toelichting
Beschikbaarheid Minimale beschikbaarheid Hoeveel tijd per jaar (in %) moet er gecommuniceerd kunnen worden?
Maximale uitvalduur Hoelang mag ad-hocberichtenverkeer onafgebroken onbeschikbaar zijn?
Maximaal gegevensverlies Hoeveel gegevens mogen er in het ad-hocberichtenverkeer verloren raken?
Integriteit Herkomst bevestiging Hoe zeker weet de ontvanger dat de afzender daadwerkelijk is wie zij/hij zegt dat hij is?
Onweerlegbaarheid verzender Hoe wordt voorkomen dat de afzender kan ontkennen dat deze een ad-hocbericht heeft verstuurd?
Autorisatie verzender Hoe weet de ontvanger dat de afzender inderdaad werkzaam is voor een bepaalde organisatie?
Data-integriteit Hoe weten verzender en ontvanger zeker dat het verstuurde ad-hocbericht ongeschonden is ontvangen?
Vertrouwelijkheid Communicatievertrouwelijkheid Hoe wordt voorkomen dat gegevens tijdens het transport in onbevoegde handen komen?
Gegevensvertrouwelijkheid Hoe wordt voorkomen dat een opgeslagen ad-hocbericht in onbevoegde handen komt?
Toegangsvertrouwelijkheid Hoe wordt voorkomen dat een ontvangen ad-hocbericht wordt gelezen door een onbevoegde?
Verzendingsgrond Hoe weet de ontvanger zeker dat de afzender gerechtigd was om het ad-hocbericht te versturen?
Internationaal ad-hocberichtenverkeer Hoe wordt ervoor gezorgd dat ad-hocberichten verstuurd aan een ontvanger buiten Nederland voldoen aan NTA 7516 (andere criteria uit tabel D1)?
Gebruiksvriendelijkheid Continuïteit van ad-hocberichtenverkeer Hoe wordt bewerkstelligd dat elke ontvanger van een ad-hocbericht hier veilig op kan reageren (reply), of wellicht zelfs veilig kan versturen naar een derde (forward)?
Veiligheid als gemak Hoe wordt voorkomen dat veilig verzenden pas mogelijk is nadat ingewikkelde opties zijn geselecteerd en aangezet?
Leesbaarheid Hoe wordt bewerkstelligd dat elke ontvanger een ad-hocbericht kan lezen zonder dat hij daarvoor aanvullende programma’s moet installeren?
Eigen kopie Hoe wordt bewerkstelligd dat elke ontvanger een ad-hocbericht kan downloaden en kan opslaan op een door hem of haar zelf gekozen locatie?
Interoperabiliteit Dossierkoppeling Hoe wordt het toevoegen van ad-hocberichten aan een dossier makkelijk gemaakt?
NTA 7516 bevat uiteenlopende eisen, die voor een deel uit de wet (met name de AVG) en voor een deel uit gebruikerswensen voortvloeien, die voorafgaand aan de werkzaamheden van de projectgroep zijn geïnventariseerd.

Centraal staat de professional, die beroepsmatig ad-hocberichten met persoonlijke gezondheidsinformatie uitwisselt. Kort gezegd: iedere communicatiepartij behalve de patiënt/cliënt en de communicatiedienstenaanbieder. Immers, de professional is volgens de AVG verplicht om bijzondere persoonsgegevens (waartoe alle persoonsgebonden zorginformatie behoort) veilig te verwerken, ook tijdens e-mailen.
Van alle criteria in tabel D.1 stelt een professional (of de organisatie waarbinnen hij werkzaam is) vast wat voor hem een acceptabele waarde is. Een ziekenhuis met spoedeisende hulp zal andere beschikbaarheidseisen willen stellen dan een tandarts. NTA 7516 geeft echter wel voor alle criteria een grenswaarde aan, die in geen geval mag worden overschreden. Zo is bijvoorbeeld de uiterste waarde voor minimale beschikbaarheid gesteld op 99,8 %. Partijen mogen wel een hogere waarde bepalen, maar geen lagere.
Als een professional zijn criteria heeft geëxpliciteerd, moet hij op zoek naar een oplossing die daaraan voldoet. Zodra een geschikte leverancier is gevonden, moet de gekozen oplossing worden geïmplementeerd. Voor een deel geeft NTA 7516 hier richting in en voor een deel zal de leverancier hier sturend in handelen.
Alles zelf doen?
Veilig communiceren is een complexe kwestie en ook NTA 7516 is geen 'lichte kost'. Het is daarom verstandig voor professionals om zich te oriënteren op de vraag wat de eigen koepelorganisatie kan betekenen. Wellicht heeft deze voor een aantal criteria al eisen geformuleerd, of beschikt zij over voorlichtingsmateriaal voor medewerkers, of kan zij verwijzen naar mogelijke aanbieders van communicatiediensten.

Voor aanbieders van communicatiediensten geldt dezelfde lijst van criteria; echter, zij geven aan welke prestatie zij leveren. Een leverancier zal bijvoorbeeld kunnen stellen dat hij in staat is om een beschikbaarheid van 99,98 % te garanderen.
Deze informatie – die openbaar beschikbaar moet zijn – kunnen professionals gebruiken om een shortlist van voor hen geschikte leveranciers vast te stellen.
Twee criteria gelden niet voor leveranciers: autorisatie verzender en verzendingsgrond; hier kan de leverancier niets betekenen en moet de professional zelf aan de slag. Daar staat tegenover dat er een extra criterium voor leveranciers is toegevoegd: multikanaalcommunicatie, oftewel de mogelijkheid om ad-hocberichten verstuurd via een oplossing van leverancier X te laten afleveren door leverancier Y.

NTA 7516 geeft ook aan dat zowel professional als leverancier periodiek moet controleren of de geclaimde respectievelijk geëiste waarden voor alle criteria nog geldig zijn. Als dat het geval is en alles is op de juiste wijze geïmplementeerd, dan kunnen beiden kenbaar maken dat is voldaan aan NTA 7516, bijvoorbeeld door het voeren van het NTA 7516-certificaat. Zo’n certificaat is voor professionals handig om makkelijk een lijst met potentiële leveranciers samen te kunnen stellen. En voor patiënten/cliënten is op termijn een NTA 7516-certificaat zinvol om makkelijk een goede manier te kunnen vinden om veilig met een professional te kunnen communiceren.

Patiënten/cliënten zullen – als gevolg van NTA 7516 – veilig e-mail van de professional (bijvoorbeeld een hulpverlener) kunnen ontvangen. Dit hoeft geen enkele aanpassing van de zelf gebruikte ICT-infrastructuur te betekenen. Ze kunnen ook veilig op zo’n ad-hocbericht reageren (reply).
In sommige gevallen – afhankelijk van het standpunt van de professional in kwestie – zal het ook mogelijk zijn om een veilig ontvangen ad-hocbericht veilig door te sturen (forward) naar een derde (bijvoorbeeld een mantelzorger).
In alle gevallen zullen patiënten/cliënten de mogelijkheid krijgen om veilig een ad-hocbericht naar een professional te verzenden. En in alle gevallen wordt de mogelijkheid geboden om een veilig ontvangen ad-hocbericht en een eventuele bijlage te downloaden.

Op basis van NTA 7516 zal voor de functionaliteit 'e-mail' een implementatiehandreiking worden ontwikkeld, gericht op communicatiedienstenaanbieders. De belangrijkste reden is om de eerdergenoemde multikanaalcommunicatie mogelijk te maken. Een groot aantal communicatiedienstenaanbieders heeft inmiddels de intentie uitgesproken om deze te hebben ingevoerd binnen 52 weken na het gereedkomen van de functionele en technische specificaties. Voor de functionaliteit 'chat' zijn er nog geen vergelijkbare plannen.

Mede door de snelle ontwikkelingen van (chat)apps, het ontbreken van specifieke implementatiecriteria en het, naar verwachting, beschikbaar komen van betere authenticatiemiddelen conform de eIDAS zal NTA 7516 binnen drie jaar worden herzien en geactualiseerd. Het ligt voor de hand dat de eisen binnen NTA 7516 dan zullen worden aangescherpt. Daarom is het belangrijk om de implementatie van NTA 7516 voortvarend ter hand te nemen en tot een goed einde te brengen.