NTA 7516 Eisen voor veilige e-mail en chatapplicaties 2019

Verberg alle toelichting Toon alle toelichting
Informatie-uitwisseling via e-mail is een belangrijke manier voor mensen om elkaar te informeren. Of het nu gaat om iemand die wil communiceren met een zorginstelling1) of om een ambtenaar in het sociale domein die met een jeugdzorgmedewerker informatie uitwisselt. Waar voor professionals en personen gestructureerde koppelingen tussen hun systemen de voorkeur hebben vanwege de garanties rondom de integriteit en vertrouwelijkheid, bieden e-mail, en meer recent ook diverse vormen van chatapplicaties, een laagdrempelige manier voor het uitwisselen van informatie en worden daarom ook veel gebruikt. Eisen aan de veiligheid en betrouwbaarheid worden echter niet altijd in acht genomen.
NTA 7516 is bedoeld om het gebruik van e-mail en chatapplicaties (al dan niet aangeboden via een berichtenportaal) te voorzien van randvoorwaarden en zo veilige en betrouwbare uitwisseling van persoonlijke gezondheidsinformatie te borgen.
Daarnaast beoogt NTA 7516 te bewerkstelligen dat er tussen de verschillende oplossingen die er voor professionals beschikbaar zijn, onderling berichten uitgewisseld kunnen worden, ongeacht wie de leverancier van de oplossingen is. Dit is ook bevestigd door de ondertekening van intentieverklaringen 2) tussen de leden van het Informatieberaad Zorg en een groep van leveranciers van e-mailoplossingen, waarmee de leveranciers zich verbinden aan een actieve inzet bij het realiseren van veilige en gebruiksvriendelijke e-mail in de zorg.
Het uiteindelijke doel is dat e-mail en chatapplicaties als een veilige vorm van uitwisseling van persoonlijke gezondheidsinformatie worden gebruikt.
NTA 7516 vormt daarmee een aanvulling op de normen die er al zijn, waaronder NEN 7510-1 en NEN 7510-2, die voor het verwerken van persoonlijke gezondheidsinformatie in brede zin gelden. Het wettelijk kader, zoals geschetst in 0.8 van NEN 7510-1, geldt hier ook.
NTA 7516 richt zich primair op ad-hocberichtenverkeer tussen verzender en ontvanger met zeer gevoelige informatie (spreekkamerinformatie). Deze informatie behoort passend beveiligd te worden om risico’s ten aanzien van vertrouwelijkheid te mitigeren. Er zijn in de praktijk ook situaties waarbij er gecommuniceerd wordt met informatie waarbij er minder risico’s zijn met betrekking tot vertrouwelijkheid (wachtkamerinformatie). Voor deze laatste gegevensuitwisseling zal er in de praktijk, afhankelijk van de context, door de verzender een risicoafweging moeten worden gemaakt.
Bij de totstandkoming van NTA 7516 is ernaar gestreefd om zo min mogelijk ICT-jargon en beroepsterminologie te gebruiken. NTA 7516 is op deze manier toegankelijk voor een zo breed mogelijk publiek, waarbij kennis van ICT-architecturen niet nodig is om te begrijpen wat wordt bedoeld.
Deze NTA is opgesteld door de werkgroep ‘NTA-veldnorm voor veilige mail’. Op het ogenblik van publicatie van de NTA was de werkgroep als volgt samengesteld:
T. Hooghiemstra (voorzitter) Hooghiemstra & Partners, ‘s-Gravenhage
S. van Baardewijk Stichting Z-CERT, Amersfoort
L. Barink Cryptshare AG, Arnhem
D.E. Boyd HVO Querido, Amsterdam
B. Brooijmans Enovation B.V., Capelle aan den IJssel
C.I.C.M. Buiting-van der Zon Nederlands Huisartsen Genootschap, Utrecht
A. Burghouts Patiëntenfederatie Nederland, Utrecht
M.M.H. Burgs BSSA B.V., Goes
R. Coenraads Stichting Laurens, Rotterdam
S.A.F. Daniels SAF VISUAL B.V., ‘s-Gravenhage
I.I. van Dooren VECOZO, Tilburg
A. van Drongelen Egress Software Technologies, Amsterdam
J.L. van Duivenboden Nictiz, ‘s-Gravenhage
S.J. Eendebak Stichting Accessibility, Utrecht
B. Franken Piasau, Zoetermeer
H.G. Garritsen Intelly B.V., Ittervoort
P. van Gemeren VZVZ, ‘s-Gravenhage
R. Goud ZIVVER, Amsterdam
F. Goyens Universitair Ziekenhuis Antwerpen (UZA), Edegem (B)
H.W. de Graaf SmartLockr, Amsterdam
S.P. van den Haak SIGRA, Amsterdam
R.C.H. Hilgersom Secureness, Noordwijk (ZH)
E.L. Hoek Antoni van Leeuwenhoek, Amsterdam
P. Hoekstra Fortinet, Utrecht
Y. Hoogendoorn Secumail B.V., Lelystad
J.W.H. van Huijgevoort VNG Realisatie, ‘s-Gravenhage
R.G.J.F. Kolman Noorder Apotheek, Krommenie
A.P. Lameir Enovation B.V., Capelle aan den IJssel
A. Landwaart BDO Advisory B.V., Utrecht
M.H. de Lange Ministerie van VWS, ‘s-Gravenhage
A.E.M. Ludwig-van der Veer Regionaal Zorgcommunicatie Centrum (RZCC), Eindhoven
C.A. van Luttervelt Zorgbelang Zuid-Holland, Gouda
M. Miedema Zorgring, Heiloo
M. de Mol KPN Health, Amsterdam
F. Pietersma Stichting Arkin, Amsterdam
M. Post Secumail B.V., Lelystad
M. Rozeboom KNMT, Utrecht
P. Scheper GERRIT Diensten, Drachten
J.W.R. Schoemaker Erasmus MC, Rotterdam
P.L. Schram Vertimart Consultants, Kwadijk
D.J. Schwietert Software Connection B.V., Almere
M. van der Sluis GGD Amsterdam, Amsterdam
M.R. van der Sman KeyTalk IT Security B.V., Hilversum
S.A.S. Teunissen Mimecast, Utrecht
A.A.M. Uijterwaal Stichting Accessibility, Utrecht
B.E. Uithoven Enovation B.V., Capelle aan den IJssel
A.G.M. Verhoof E-Zorg B.V., Amsterdam
P. Vermeer Jeugdzorg Nederland, Utrecht
P. Vermeulen Nictiz, ‘s-Gravenhage
J. Vink Google, Amsterdam
R. Wagter M & I/Partners B.V., Zeist
A.L. Zitman Enovation B.V., Capelle aan den IJssel
S. Golyardi (secretaris) NEN, Delft
K. Jansen (secretaris) NEN, Delft
Leeswijzer
In deze bijlage worden de achtergrond en werking van NTA 7516 toegelicht. NTA 7516 is bedoeld voor drie doelgroepen:
  • organisaties (professionals);
  • communicatiedienstenaanbieders (leveranciers);
  • personen (patiënten, cliënten enz.).
Na de inleidende hoofdstukken (1, 2, 3 en 4) is de hoofdstukindeling in NTA 7516 als volgt:
Hoofdstuk 5 – Uitgangspunten
  • In dit hoofdstuk worden de uitgangspunten vastgesteld rondom ad-hocberichtenverkeer, waartoe e-mail en chatapplicaties behoren. Bijvoorbeeld: Welke partijen worden onderkend in NTA 7516? Welke onderdelen in een bericht? Hoe kan het best worden omgegaan met client-software en (technische) infrastructuren? Ook worden de uitgangspunten benoemd rondom de risiconiveaus voor ad-hocberichtenverkeer en de betrouwbaarheidsniveaus voor authenticatie, waarvan de eisen in de hoofdstukken 6 en verder zijn afgeleid.
Hoofdstuk 6Professionals
  • Voor medewerkers in een organisatie die werken met persoonlijke gezondheidsinformatie of ICT'ers binnen een organisatie die gebruikers ondersteunen, is met name het hoofdstuk 'Professionals' van belang. In hoofdstuk 6 worden eisen gesteld rondom het gebruik van e-mail en chatapplicaties die aansluiten bij eisen vanuit bestaande kaders zoals wet- en regelgeving, maar ook eisen vanuit onder andere NEN 7510:2017 (delen 1 en 2). Eisen kunnen zowel organisatorisch als met technische maatregelen worden ingevuld. Eisen aan veilige e-mail en chatapplicaties die met techniek kunnen worden ingevuld, zullen vaak bij de communicatiedienstenaanbieder of de interne ICT-afdeling worden neergelegd.
  • In NTA 7516 is hier al rekening mee gehouden door in hoofdstuk 7 te beschrijven hoe communicatiedienstenaanbieders kunnen aangeven hoe zij deze eisen invullen. Door het combineren van de geboden invulling door de geselecteerde communicatiedienstenaanbieder en de maatregelen die de professional zelf neemt, kan de professional voldoen aan NTA 7516.
Hoofdstuk 7Communicatiedienstenaanbieders
  • De leverancier van ad-hocberichtenverkeer, waaronder e-mail en chatapplicaties, vervult een belangrijke rol om eisen die aan de professional worden gesteld, in te vullen. Het product/de dienst moet minstens voorzien in de eisen die in dit hoofdstuk zijn benoemd. De grenswaarde waaraan een eis minimaal moet voldoen, staat in hoofdstuk 6 'Professionals'. Naast de eisen die de communicatiedienstenaanbieder voor de professional kan invullen, is een belangrijke eis aan de communicatiedienstenaanbieder dat ad-hocberichten binnen dezelfde functionaliteit (bijvoorbeeld e-mail) tussen producten/diensten van verschillende communicatiedienstenaanbieder kunnen worden uitgewisseld.
Bijlage A – Wat betekent NTA 7516 voor patiënten, cliënten, mantelzorgers en wettelijk vertegenwoordigers (personen)? (informatief)
  • Een patiënt, cliënt, mantelzorger, burger, enz. wil soms met een huisarts, specialist, thuiszorgmedewerker, ambtenaar of andere professional persoonlijke gezondheidsinformatie uitwisselen óf de professional wil dit met de patiënt, enz. Waar moet de patiënt dan rekening mee houden en wat mag hij wel en niet van de professional verwachten? Deze informatieve bijlage legt geen directe eisen aan de patiënt op, maar geeft informatie over communicatiemogelijkheden via e-mail en chatapplicaties tussen patiënt, enz. en professional. Ook informeert NTA 7516 waaraan de professional vanuit wettelijke kaders moet voldoen en welke consequenties dit voor de patiënt heeft in het gebruik van e-mail en chatapplicaties.
Bijlage B – Wat personen zelf kunnen doen om ad-hocberichtenverkeer met professionals via e-mail en chatapplicaties zo veilig mogelijk te houden (informatief)
  • Deze NTA gaat ervan uit dat personen zelf verantwoordelijk zijn voor de keuze van een veilig communicatiemiddel. Patiënten en andere belanghebbenden betrokken bij de zorg, zoals mantelzorgers en vrijwilligers, zijn erbij gebaat dat de uitwisseling van informatie betreffende hun gezondheid accuraat en betrouwbaar, én ook beschermd is tegen inzage door onbevoegden. Deze informatieve bijlage geeft daartoe aanbevelingen. Deze aanbevelingen volgen zo goed mogelijk de eisen zoals die in NTA 7516 zijn geformuleerd.
Bijlage C – Use cases (informatief)
  • In bijlage C wordt voor verschillende scenario’s een mogelijke uitwerking van NTA 7516 gegeven met voorbeelden in de vorm van use cases.
Bijlage D – Achtergrond en werking van NTA 7516 – Het wat, waarom en hoe van NTA 7516 (informatief)
  • Kan gelezen worden als een eerste compacte samenvatting.
Opmerkingen ten behoeve van de leesbaarheid

OPMERKING 1 Gecursiveerde begrippen zijn toegelicht in hoofdstuk 3: Termen en definities.

OPMERKING 2 De genummerde hoofdstukken zijn normatief, met uitzondering van de als zodanig aangegeven opmerkingen. Bij de bijlagen is telkens aangegeven of deze normatief of informatief zijn.

OPMERKING 3 In NTA 7516 wordt vaak gebruikgemaakt van de term ‘persoon’ of ‘personen’. Met die term worden in principe cliënten, patiënten, mantelzorgers en (wettelijk) vertegenwoordigers bedoeld. Personen zijn individuen – natuurlijke personen – die alleen op grond van persoonlijke, privéoverwegingen – dus niet beroepsmatig – contact zoeken met een arts, zorgverlener of -instelling om hiermee te communiceren. Om de teksten in NTA 7516 leesbaar te houden is ervoor gekozen om niet elke keer de opsomming cliënten, patiënten, mantelzorgers en (wettelijk) vertegenwoordigers op te nemen, maar deze groep aan te duiden als ‘personen’. Zie ook de definitie in 3.28.

OPMERKING 4 Ook de term 'professional' speelt een centrale rol in NTA 7516. In de context van NTA 7516 zijn ‘professionals' de beroepsmatige – dus niet als privépersoon – handelende medewerkers van ziekenhuizen, huisartsenpraktijken, andere zorginstellingen, gemeenten, politiediensten en afdelingen van justitie. En ook zorgverleners en solistisch werkende zorgverleners behoren tot de professionals. Ook hier is omwille van de leesbaarheid ervoor gekozen om deze gehele groep aan te duiden met één term. Zie ook de definitie in 3.34.

OPMERKING 5 In NTA 7516 wordt bij het formuleren van eisen gebruikgemaakt van twee verschillende termen: ‘moeten’ en ‘behoren’, die in NTA 7516 ook een verschillende betekenis hebben. De term ‘moeten’ (of een vervoeging daarvan) wordt in NTA 7516 gebruikt om de bepalingen aan te geven die vereist zijn om te kunnen voldoen: de normatieve eisen. De term ‘behoren ‘(of een vervoeging daarvan) wordt gebruikt om een aanbeveling te doen. Dat betekent heel concreet dat een organisatie geen conformiteit met NTA 7516 kan claimen wanneer niet aan alle eisen voldaan is waarin ‘moet’ (of een andere vervoeging van 'moeten') voorkomt. Terwijl wel aan NTA 7516 voldaan kan worden wanneer niet alle functionaliteiten die ‘behoren’ te worden geleverd, ook daadwerkelijk geleverd worden.