NTA 7516

Return to home

NTA 7516 Eisen voor veilige e-mail en chatapplicaties 2019

Hide all commentary Show all commentary

7.1 Zekerheden
De communicatiedienstenaanbieder moet in een publiek toegankelijk register publiceren aan welke criteria uit tabel 2 de communicatiedienstenaanbieder voldoet en aan welke criteria hij niet voldoet.
Informatieve opmerking

OPMERKING Het publiek toegankelijk register zal bij de implementatie van NTA 7516 worden ingericht.

Tabel 2Criteria voor communicatiedienstenaanbieders
Groep Criterium
Beschikbaarheid Minimale beschikbaarheid (6.1.2)
Maximale uitvalduur (6.1.3)
Maximaal gegevensverlies (6.1.4)
Integriteit Herkomstbevestiging (6.1.5)
Data-integriteit (6.1.6)
Onweerlegbaarheid verzender (6.1.7)
Vertrouwelijkheid Gegevensvertrouwelijkheid (6.1.9)
Toegangsvertrouwelijkheid (6.1.10)
Communicatievertrouwelijkheid (6.1.11)
Internationaal ad-hocberichtenverkeer (6.1.13)
Gebruiksvriendelijkheid Continuïteit van ad-hocberichtenverkeer –beantwoorden (6.1.14)
Continuïteit van ad-hocberichtenverkeer –doorsturen (6.1.15)
Veiligheid als gemak (6.1.16)
Leesbaarheid (6.1.17)
Eigen kopie (6.1.18)
Interoperabiliteit Dossierkoppeling (6.1.19)
Multikanaalcommunicatie (7.2)
De betekenis van de criteria is dezelfde als in 6.1, maar met toevoeging van het criterium ‘multikanaalcommunicatie’ (zie 7.2) en weglating van de criteria ‘autorisatie verzender’ (zie 6.1.8) en ‘verzendingsgrond’ (zie 6.1.12).
Informatieve opmerking

OPMERKING Het heeft geen zin om zekerheden aan te bieden die niet voldoen aan de grenswaarden van de in tabel 1 genoemde criteria.

7.2 Multikanaalcommunicatie
Onderdeel van: Interoperabiliteit.
Betekenis: De mogelijkheid om ad-hocberichten die van een andere communicatiedienstenaanbieder afkomstig zijn, verder te verwerken en vice versa.
Grenswaarde: Interoperabiliteit met diensten van andere communicatiedienstenaanbieders die voldoen aan NTA 7516, moet mogelijk zijn binnen dezelfde functionaliteit.
Normatieve toelichting
<geen>
Informatieve opmerking

OPMERKING 1 E-mail is een functionaliteit. Een andere functionaliteit is bijvoorbeeld chat.

OPMERKING 2 Bij de overdracht van veilige ad-hocberichten tussen communicatieaanbieders behoren de aanbieders zorgvuldig maatregelen te treffen om te blijven voldoen aan de eisen die voor de zorgverlener in 6.1.1 en verder zijn gedefinieerd. Alle normelementen behoren in stand te blijven bij multikanaalcommunicatie.

7.3 Implementatie
De communicatiedienstenaanbieder moet kenbaar maken op welke wijze een professional de dienst moet gebruiken respectievelijk implementeren, zodat de zekerheden van 7.1 ook daadwerkelijk kunnen worden gerealiseerd.

7.4 Gebruik
De communicatiedienstenaanbieder moet regels vaststellen over hoe hij en degenen die voor hem werken, gebruik mogen maken van bevoegdheden ten aanzien van de verwerking van ad-hocberichtenverkeer.
De communicatiedienstenaanbieder moet aantoonbaar specifieke maatregelen hebben getroffen ten behoeve van NTA 7516 in zijn op NEN-EN-ISO/IEC 27001 of NEN 7510 gebaseerde implementatie van het managementsysteem voor informatiebeveiliging.
Loggegevens moeten worden afgeschermd, conform NEN 7510:2017 en NEN 7513:2018.
Loggegevens zoals aangegeven in 6.4.2 moeten een bewaartermijn hebben, conform NEN 7513:2018.

7.5 Toezicht/naleving
De communicatiedienstenaanbieder moet over een geldig NEN-EN-ISO/IEC 27001-certificaat of een geldig NEN 7510-certificaat beschikken waarbij de onderdelen van NTA 7516 zijn opgenomen binnen de scope van het certificaat.
Het ISO 27001-certificaat moet zijn afgegeven door een CBI die geaccrediteerd is – door de RvA of door een ander lid van het IAF – als instelling die audits en certificatie van managementsystemen levert conform NEN-EN-ISO/IEC 17021.
Het NEN 7510-certificaat moet zijn afgegeven door een CBI die geaccrediteerd is door de RvA 16). Ook moet het NEN 7510-certificaat zijn opgenomen in het centrale certificatenregister NEN 7510, dat door NEN wordt beheerd.
In aanvulling hierop moet de communicatiedienstenaanbieder een programma vaststellen waarmee:
  • 1) continu de werking van de gepubliceerde criteria (zie 7.1) wordt vastgesteld;
  • 2) jaarlijks de passendheid van zijn gepubliceerde implementatievoorschriften (zie 7.3) wordt getoetst, waarbij recht wordt gedaan aan het risicoprofiel van de professional;
  • 3) jaarlijks de naleving van de gebruiksregels (zie 7.4) wordt getoetst.
De communicatiedienstenaanbieder is verantwoordelijk voor de tijdige en juiste uitvoering van het programma.
De bevindingen moeten worden vastgelegd.
Binnen een maand nadat de bevindingen zijn vastgelegd, moet de communicatiedienstenaanbieder een verbeterprogramma opstellen, gericht op het adresseren van de bevindingen.
De communicatiedienstenaanbieder moet jaarlijks vastleggen wat er met de bevindingen is gedaan en moet zo nodig de betreffende verbeterprogramma’s aanpassen.

7.6 Certificering
Een communicatiedienstenaanbieder die voldoet aan voor hem geldende 17) eisen uit NTA 7516, moet zich laten certificeren door een CBI die geaccrediteerd is – door de RvA of door een ander lid van het IAF – als instelling die audits en certificatie van producten, processen en diensten levert conform NEN-EN-ISO/IEC 17065.
Normatieve toelichting

TOELICHTING 1 Een beroep op overeenstemming met NTA 7516 of het voeren van een certificaat is alleen toegestaan als volledig aan het gestelde in de aanhef van 7.6 wordt voldaan.

TOELICHTING 2 Een beroep op overeenstemming met deze afspraak is niet toegestaan voor de communicatiedienstenaanbieder als organisatie, maar uitsluitend voor de aangeboden product-dienstcombinatie voor veilig ad-hocberichtenverkeer met persoonlijke gezondheidsinformatie.