| Groep | Criterium |
|---|---|
| Beschikbaarheid | Minimale beschikbaarheid (6.1.2) |
| Maximale uitvalduur (6.1.3) | |
| Maximaal gegevensverlies (6.1.4) | |
| Integriteit | Herkomstbevestiging (6.1.5) |
| Data-integriteit (6.1.6) | |
| Onweerlegbaarheid verzender (6.1.7) | |
| Autorisatie verzender (6.1.8) | |
| Vertrouwelijkheid | Gegevensvertrouwelijkheid (6.1.9) |
| Toegangsvertrouwelijkheid (6.1.10) | |
| Communicatievertrouwelijkheid (6.1.11) | |
| Verzendingsgrond (6.1.12) | |
| Internationaal ad-hocberichtenverkeer (6.1.13) | |
| Gebruiksvriendelijkheid | Continuïteit van ad-hocberichtenverkeer –beantwoorden (6.1.14) |
| Continuïteit van ad-hocberichtenverkeer –doorsturen (6.1.15) | |
| Veiligheid als gemak (6.1.16) | |
| Leesbaarheid (6.1.17)
Eigen kopie (6.1.18) |
|
| Interoperabiliteit | Dossierkoppeling (6.1.19) |
| Onderdeel van: | Beschikbaarheid. |
| Betekenis: | De minimaal aanvaardbare tijd dat ad-hocberichtenverkeer mogelijk moet zijn. |
| Grenswaarde: | 99,8 % per jaar, voor de aan een professional toe te rekenen client-software plus technische infrastructuur (zie 5.3), voor zover deze onder zijn (contractuele) bewind staan. |
TOELICHTING 1 Aanvullend kan de professional aansluiting zoeken bij NEN 7512 voor het vaststellen van de beschikbaarheidseisen, waarbij de grenswaarde uit NTA 7516 als minimum geldt.
TOELICHTING 2 Bij uitval van een technische component, zoals bij langdurige uitval van een sleutelserver 10), mag niet worden overgegaan op een onveilig alternatief zoals reguliere (onveilige) e-mail. De technische oplossing mag geen onveilig gedrag oproepen of actief ondersteunen.
TOELICHTING 3 De grenswaarde betekent dat de onder contractueel bewind staande software en technische infrastructuur van de professional niet meer dan 17,5 uur per jaar (vandaag minus 365 dagen) ongepland onbeschikbaar mag zijn.
| Onderdeel van: | Beschikbaarheid. |
| Betekenis: | De hoogst aanvaardbare aaneengesloten uitvalduur van ad-hocberichtenverkeer. |
| Grenswaarde: | 24 uur gerekend over de aan een professional toe te rekenen client-software plus technische infrastructuur (zie 5.3), voor zover deze onder zijn (contractuele) bewind staan. |
OPMERKING NTA 7516 wordt gebruikt in sectoren die niet aan kantoortijden zijn gebonden. 24 uur betekent hier dan ook 24 uur, waarbij het niet beschikbaar zijn buiten kantooruren meegerekend wordt.
| Onderdeel van: | Beschikbaarheid. |
| Betekenis: | De maximale hoeveelheid van ad-hocberichtenverkeer die verloren mag raken. |
| Grenswaarde: | Tenzij de verzender binnen 24 uur na verzending wordt geïnformeerd over (mogelijk) gegevensverlies, is geen enkel gegevensverlies vanaf de verzendende client-software en de technische infrastructuur acceptabel. |
TOELICHTING 1 Tot gegevensverlies wordt de situatie gerekend waarbij gegevens niet bij de ontvanger aankomen en ook niet meer kunnen komen. Dat geldt niet voor het bewust verwijderen van een ad-hocbericht door de verzender.
TOELICHTING 2 Gegevensverlies wordt gerekend over de aan een professional toe te rekenen client-software plus technische infrastructuur (zie 5.3), voor zover deze onder zijn (contractuele) bewind staan.
OPMERKING Gegevensverlies zoals hier bedoeld moet niet worden verward met de begrippen ‘gegevensverlies’ of ‘datalek’ zoals die in de context van de AVG nogal eens worden gehanteerd. De term gegevensverlies refereert hier aan gegevensverlies zoals ook gebruikt in NEN 7510-2.
| Onderdeel van: | Integriteit. |
| Betekenis: | Aantonen dat verzender daadwerkelijk degene is die zich als zodanig uitgeeft. |
| Grenswaarde: | De authenticatiemethode moet minimaal een betrouwbaarheidsniveau met het niveau ‘substantieel’ hebben conform UeIDAS. |
OPMERKING 1 Uit UeIDAS wordt het gedeelte over onder andere authenticatie bedoeld in deze eis.
OPMERKING 2 Authenticeren met een betrouwbaarheidsniveau ‘substantieel’ vereist minimaal 2-factorauthenticatie met een gecontroleerd uitgifteproces van het authenticatiemiddel 11). De authenticatie hoeft niet direct op de veilige communicatietoepassing te worden toegepast. De professional kan zich ook, bijvoorbeeld, met een dergelijk betrouwbaarheidsniveau op een computersysteem aanmelden waarbinnen de veilige communicatietoepassing wordt gebruikt.
| Onderdeel van: | Integriteit. |
| Betekenis: | De ontvangen inhoud moet gelijk zijn aan de verzonden inhoud. |
| Grenswaarde: | Wijziging van de inhoud van een ad-hocbericht tussen verzending en ontvangst is niet toegestaan. Tussenliggende componenten noch eventueel betrokken personen/professionals mogen de inhoud van een ad-hocbericht wijzigen. |
TOELICHTING 1 Aanpassingen gedaan ten behoeve van bescherming tegen kwaadaardige code (zoals virussen) zijn bij de verzender en ontvanger wel toegestaan. De verzender en de ontvanger moeten direct over de aanpassingen worden geïnformeerd.
TOELICHTING 2 Een veel gebruikte oplossing is het gebruik van checksums, hashes en dergelijke. Bij gebruik van een checksum moet rekening gehouden worden met separate bescherming tegen beïnvloeding van buitenaf.
TOELICHTING 3 Metadata zijn geen onderdeel van de inhoud van een ad-hocbericht.
OPMERKING Zie voor omzetting van het formaat van een bijlage in een ander formaat 6.1.17, informatieve opmerking.
| Onderdeel van: | Integriteit. |
| Betekenis: | De garantie dat verzending van een ad-hocbericht niet kan worden ontkend door de verzender. |
| Grenswaarde: | De herkomst van een ad-hocbericht kan niet door de verzender worden ontkend. Het daarbij behorende betrouwbaarheidsniveau conform UeIDAS en haar bijlagen is minimaal ‘substantieel’. |
TOELICHTING De ontvanger moet visueel kunnen vaststellen welke persoon of professional de afzender is van een ad-hocbericht.
OPMERKING Om aan deze eis te kunnen voldoen kunnen bijvoorbeeld maatregelen worden genomen die spoofing (het misbruiken van andermans e-mailadres) tegengaan; naast het zorgvuldig aanmelden met een middel zoals benoemd in 6.1.5, opmerking 2. Bijvoorbeeld 'From "piet@ziekenhuis.nl" ' is visueel herkenbaar; in 'From "2kjrifnbwuihf@iuveiur.tr" ' is de afzender niet visueel herkenbaar.
| Onderdeel van: | Integriteit. |
| Betekenis: | De organisatie van de verzender garandeert dat de verzender geautoriseerd is om een ad-hocbericht aan een ontvanger te sturen. |
| Grenswaarde: | De verzendende organisatie moet de autorisatie van zijn verzendende medewerker garanderen. |
TOELICHTING Als de verzender een voor de ontvanger onbekende identiteit heeft, dan ontbreekt het de ontvanger aan context om te kunnen beoordelen of de verzender feitelijk gerechtigd is om het ad-hocbericht te versturen. Bij elk ad-hocbericht moet de afzender zijn vermeld.
| Onderdeel van: | Vertrouwelijkheid. |
| Betekenis: | Door professionals opgeslagen ad-hocberichten mogen niet in handen van onbevoegden komen. Dat geldt zowel voor opgeslagen ad-hocberichten in de technische infrastructuur als die in de client-software, voor zover deze onder (contractueel) bewind staan van de professional. |
| Grenswaarde: | Toegang tot de opgeslagen ad-hocberichten door partijen die daartoe geen geldige grond hebben, moet onmogelijk zijn. De opgeslagen berichtgegevens moeten in het geval ze onverhoopt in handen van onbevoegden komen, onleesbaar zijn. |
TOELICHTING Een geldige grond kan voortvloeien uit de aard van werkzaamheden die onder gezag van een bevoegde partij worden uitgevoerd, of uit een overeenkomst met een bevoegde partij volgen.
OPMERKING 1 Het gaat hier om zogenoemde ‘beveiliging in elektronische opslag’. Versleuteling met verantwoord sleutelbeheer wordt hiervoor vaak als oplossing ingezet.
OPMERKING 2 De in de toelichting genoemde ‘overeenkomst’ zal in veel gevallen een verwerkersovereenkomst – als bedoeld in de AVG – betreffen.
| Onderdeel van: | Vertrouwelijkheid. |
| Betekenis: | Inhoud van ad-hocberichten kan uitsluitend door de beoogde ontvanger worden gelezen en/of verwerkt na het toepassen van een authenticatiemiddel van het eIDAS-betrouwbaarheidsniveau ‘substantieel’ voor personen en een authenticatiemiddel van het eIDAS-betrouwbaarheidsniveau ‘hoog’ voor professionals. |
| Grenswaarde: | Toegang tot ad-hocberichten is niet toegestaan met authenticatiemiddelen lager dan 'substantieel' voor personen en 'hoog' voor gegevens waarop het wettelijk beroepsgeheim van de professional berust. |
TOELICHTING Van belang is dat ergens in de keten van veilige e-mail het betrouwbaarheidsniveau wordt gehaald.
OPMERKING 1 De genoemde betrouwbaarheidsniveaus zijn wettelijk vastgesteld en bevestigd door de Autoriteit Persoonsgegevens 12).
OPMERKING 2 Het correct authenticeren van de ontvanger is in NTA 7516 een verplichting waarbij de eisen vanuit de UeIDAS leidend zijn. Dit normelement zorgt ervoor dat correcte authenticatie noodzakelijk is door bijvoorbeeld een 'one-time password' of door de persoon gebruik te laten maken van bestaande authenticatiemiddelen, zoals een DigID-app met extra zekerheden (3 slotjes). Dit normelement beoogt te voorkomen dat een ontvanger voor iedere oplossing een separaat account met bijbehorende authenticatiemiddelen installeert.
OPMERKING 3 Bij een applicatiekoppeling zou dit kunnen betekenen dat de toegang in een Elektronisch Cliënten Dossier (ECD) of Elektronisch Patiënten Dossier (EPD) ligt en dus daar de praktische uitwerking ligt van de toegangscontrole.
| Onderdeel van: | Vertrouwelijkheid. |
| Betekenis: | De inhoud van ad-hocberichten mag gedurende het transport (in transit) niet in handen van onbevoegden in de communicatieketen komen. Als een ad-hocbericht onverhoopt toch in handen van onbevoegden komt, dan moet het ad-hocbericht onleesbaar zijn. |
| Grenswaarde: | Toegang tot ad-hocberichten door partijen die daartoe geen geldige grond hebben, moet onmogelijk zijn. |
OPMERKING 1 Een geldige grond kan voortvloeien uit de aard van werkzaamheden die onder gezag van een bevoegde partij worden uitgevoerd, of uit een overeenkomst met een bevoegde partij volgen.
OPMERKING 2 De in opmerking 1 genoemde ‘overeenkomst’ zal in veel gevallen een verwerkersovereenkomst – als bedoeld in de AVG – betreffen.
OPMERKING 3 De grenswaarde geldt ook in het geval van technische problemen ('failsafe').
| Onderdeel van: | Vertrouwelijkheid. |
| Betekenis: | De verzender bepaalt of de ontvanger voldoende gerechtigd is het ad-hocbericht te ontvangen; of met andere woorden: de verzender bepaalt of de verzender gerechtigd is om het ad-hocbericht aan de ontvanger te versturen. |
| Grenswaarde: | De verzendende professional moet een beleid hebben opgesteld waarbij is beschreven welke professionals welke verzendingsgronden mogen hanteren en moet toezien op de uitvoering van dat beleid. |
OPMERKING Vaak zal een professional gebonden zijn aan geheimhouding. Maar er kunnen op basis van specifieke (wettelijke) regels binnen de eigen context voldoende gronden bestaan om een ad-hocbericht te versturen, of juist niet. Het beleid ondersteunt de verzendende professional in het nemen van een beslissing hierin.
| Onderdeel van: | Vertrouwelijkheid. |
| Betekenis: | Ad-hocberichtenverkeer mag niet in (een) non-compatibele jurisdictie(s) geraken. |
| Grenswaarde: | Ad-hocberichtenverkeer mag slechts in overeenstemming met de AVG de buitengrenzen van de Europese Economische Ruimte (EER) overschrijden. |
OPMERKING Ad-hocberichtenverkeer, geïnitieerd door een professional in Nederland, moet ongeacht de locatie van de ontvanger voldoen aan de eisen van NTA 7516.
| Onderdeel van: | Gebruiksvriendelijkheid. |
| Betekenis: | Ad-hocberichtenverkeer dat is gestart door een professional, moet door een ontvangende persoon kunnen worden beantwoord. |
| Grenswaarde: | Een ontvanger moet visueel kunnen vaststellen of een ad-hocbericht veilig is verzonden of niet. Beantwoorden door een persoon van een ad-hocbericht dat eerder door een professional is toegestuurd, moet veilig kunnen plaatsvinden. |
OPMERKING Beantwoorden is ook bekend als 'reply'.
| Onderdeel van: | Gebruiksvriendelijkheid. |
| Betekenis: | Ad-hocberichtenverkeer dat is gestart door een professional of door hem wordt voortgezet, moet door een ontvangende persoon kunnen worden doorgestuurd. |
| Grenswaarde: | Doorsturen door een persoon van een ad-hocbericht dat eerder door een professional is toegestuurd, is voor verantwoordelijkheid van de betreffende persoon. 13) |
TOELICHTING Indien het doorsturen niet veilig kan plaatsvinden, moet de persoon hierop worden gewezen.
OPMERKING 1 Doorsturen is ook bekend als 'forward'.
OPMERKING 2 Dit criterium is bijvoorbeeld van groot nut wanneer een patiënt veilig een van zijn arts ontvangen ad-hocbericht wil of moet doorsturen naar zijn mantelzorger.
| Onderdeel van: | Gebruiksvriendelijkheid. |
| Betekenis: | Als verschillende keuzen tot uiteenlopende bescherming leiden, moet de veiligste keuze als standaard worden aangeboden. |
| Grenswaarde: | Alle keuzemogelijkheden moeten standaard op de veiligste keuze aanstaan. |
OPMERKING Dit wordt ook wel ‘security by default’ genoemd. Dit brengt met zich mee dat als bijvoorbeeld ‘veilig verzenden’ een optie is, deze optie standaard ‘aan’ staat.
| Onderdeel van: | Gebruiksvriendelijkheid. |
| Betekenis: | De ontvanger van een ad-hocbericht moet het kunnen lezen met behulp van reguliere client-software en zonder een account bij de betreffende communicatiedienstenaanbieder te moeten aanmaken. |
| Grenswaarde: | Ad-hocberichten zelf (exclusief eventuele bijlagen) moeten zonder aanvullende programmatuur en zonder de verplichting van het aanmaken van een account bij de betreffende communicatiedienstenaanbieder door de persoon of professional, te lezen zijn door personen en professionals. De op een persoon gerichte online-omgeving moet voldoen aan de eisen van EN 301 549. |
TOELICHTING 1 De hoofdtekst van het ad-hocbericht (de 'body') moet zonder additionele viewer te lezen zijn, maar moet – uiteraard – wel veilig te lezen zijn.
TOELICHTING 2 Bij client-software kan worden gedacht aan e-mailclients, apps op een smartphone of aan een programma op een laptop of desktop.
OPMERKING Niet in alle gevallen zullen bijlagen direct te openen zijn; een röntgenbeeld in DICOMformaat bijvoorbeeld zal bij een persoon pas inzichtelijk zijn met aanvullende software. Waar mogelijk wordt een bijlage in JPEG, PDF of andere gangbare open standaard aangeboden. Zie bijvoorbeeld de lijst met open standaarden in het domein 'documentformaat' van Forum Standaardisatie. 14)
| Onderdeel van: | Gebruikersvriendelijkheid. |
| Betekenis: | De ontvanger van een ad-hocbericht moet het veilig en eenvoudig kunnen opslaan op een zelfgekozen locatie in een formaat dat met reguliere client-software leesbaar is. |
| Grenswaarde: | Met minimale inspanning van de ontvanger kan een ad-hocbericht worden opgeslagen op een zelfgekozen locatie. |
TOELICHTING 1 De hoofdtekst van het ad-hocbericht (de 'body') moet na opslag zonder additionele viewer te lezen zijn.
TOELICHTING 2 Bij client-software kan worden gedacht aan apps op een smartphone of aan een programma op een laptop of desktop.
OPMERKING 1 Opslaan van een eigen kopie is ook bekend als ‘downloaden’.
OPMERKING 2 Downloads in een open standaard kunnen vervolgens in een persoonlijke gezondheidsomgeving (PGO) of andere toepassing naar keuze van de persoon worden hergebruikt.
OPMERKING 3 Voor beperkingen in formaten zie informatieve opmerking 6.1.17.
| Onderdeel van: | Interoperabiliteit. |
| Betekenis: | Ad-hocberichten behoren veilig en eenvoudig aan een dossier van een professional te kunnen worden toegevoegd. |
| Grenswaarde: | Met minimale inspanning van de professional kan een ad-hocbericht geschikt worden gemaakt voor koppeling en veilig worden gekoppeld aan het juiste dossier. |
TOELICHTING De hier bedoelde functionaliteit is niet vereist om aan NTA 7516 te voldoen. De functionaliteit is hier opgenomen, omdat deze wel door veel professionals gewenst wordt.
OPMERKING 1 Een manier om dit te doen is bijvoorbeeld door de identiteit van een persoon automatisch te herkennen in een ad-hocbericht en het ad-hocbericht, na instemming van de professional, door te sturen naar een account van waaruit het dossiersysteem ad-hocberichten verder kan verwerken. Een ander voorbeeld is het aanreiken van een methode waarmee het ad-hocbericht kan worden opgenomen in een dossiersysteem.
OPMERKING 2 Een zekere mate van afstemming tussen de communicatiedienstenaanbieder en de leverancier van het dossier is nodig om de koppeling tot stand te brengen.
OPMERKING 3 Bij het overnemen van gegevens uit ad-hocberichtenverkeer in het dossiersysteem is de professional alert op de juistheid van de gegevens en de correcte identiteit van de persoon.
OPMERKING Om dit mogelijk te maken is het noodzakelijk dat de communicatiedienstenaanbieder een overzicht heeft gepubliceerd waarin deze die zekerheden vastlegt (zie 7.1).
OPMERKING Als alternatief kan de verzender het betreffende ad-hocbericht aan de ontvanger aanbieden via een ‘veilig berichtenportaal’ en dit via de reguliere e-mail kenbaar maken aan de ontvanger.
TOELICHTING De verzendende partij is verantwoordelijk voor het wissen van niet-noodzakelijke metadata.
OPMERKING 1 Metadata zijn meestal aanwezig in de vorm van headers en tags.
OPMERKING 2 Metadata die niet strikt noodzakelijk zijn, maar toch worden gewenst voor het verwerken van het ad-hocbericht, kunnen worden verstuurd door ze te beschermen als ware ze de hoofdtekst van het ad-hocbericht (de 'body').
OPMERKING Specifieke implementatie-eisen voor chatapplicaties kunnen in een volgende versie van NTA 7516 worden gestipuleerd.
OPMERKING Hierbij wordt vastgesteld of de communicatiedienst waarvoor eerder is gekozen, nog steeds past bij de criteria die de professional eerder heeft vastgesteld.
TOELICHTING Hierbij wordt vastgesteld of de criteria die de professional eerder heeft vastgesteld, nog steeds passen bij de aard van de werkzaamheden van de professional en de omgeving waarin deze actief is.
TOELICHTING 1 De processen om gegevens te verwerken moeten met een mate van vertrouwelijkheid plaatsvinden die past bij het potentieel zeer gevoelige karakter van het ad-hocberichtenverkeer.
TOELICHTING 2 Er moet bij door personen geïnitieerd ad-hocberichtenverkeer worden gewaarborgd dat de professional voldoende zeker kan zijn dat de identiteit van de afzender klopt, omdat personen in veel gevallen geen gebruik maken van een veilig communicatiemiddel en er dus geen afdoende authenticatie van de afzender heeft plaatsgevonden.
OPMERKING Vaststellen van de identiteit zou bijvoorbeeld kunnen door de afzender de mogelijkheid te geven via een gecontroleerde manier zijn communicatieadressen kenbaar te maken, zoals bij de WID-controle (wettelijk identiteitsdocument), of door telefonisch contact op te nemen met een al eerder gecontroleerd telefoonnummer.
TOELICHTING Een beroep op overeenstemming met NTA 7516 of het voeren van een certificaat is alleen toegestaan als volledig aan het gestelde in 6.6 wordt voldaan.
