NTA 7516 Eisen voor veilige e-mail en chatapplicaties 2019

Verberg alle toelichting Toon alle toelichting
Voor de toepassing van dit document gelden de volgende termen en definities.

specifiek voor een bepaald geval of situatie, of eenmalig

het uitwisselen van berichten met persoonlijke gezondheidsinformatie door een verzender naar een ontvanger, waarbij zowel verzender als ontvanger een natuurlijke persoon is en waarbij tussen verzender en ontvanger niet van tevoren specifieke afspraken konden worden gemaakt over de eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid, die als voorwaarden gelden voor een veilige onderlinge gegevensuitwisseling
OPMERKING 1 bij deze definitie: Niet tot ad-hocberichtenverkeer behoren in elk geval: het uitwisselen van EDIFACT 5)-, HL7- 6), StUF- 7) of conform IHE-standaarden gestructureerde berichten en andere vormen van ‘gestructureerd’ berichtenverkeer. Bij deze vormen van gegevensuitwisseling kan wel van tevoren worden bepaald met welke partijen, welk type gegevens zullen worden uitgewisseld. En voor deze vormen van gegevensuitwisseling biedt NEN 7512 het normenkader voor de beheersmaatregelen op het gebied van informatiebeveiliging.

het verschaffen van zekerheid met betrekking tot de juistheid van een geclaimde karakteristiek
[NEN 7510-1:2017, NEN-ISO/IEC 27000:2014]

eigenschap dat een entiteit is wat zij claimt te zijn
[NEN 7510-1:2017, NEN-ISO/IEC 27000:2014]

toekennen van bevoegdheden
[NEN 7510-1:2017]

maatregel waarmee een risico wordt gewijzigd
OPMERKING 1 bij deze definitie: Een beheersmaatregel kan elke vorm van proces, beleid, voorziening, werkwijze of andere maatregel zijn waarmee het risico wordt gewijzigd.
OPMERKING 2 bij deze definitie: Beheersmaatregelen hebben mogelijk niet altijd het beoogde of veronderstelde effect.
[NEN 7510-1:2017, NPR-ISO Guide 73:2009, 3.8.1.1]

intenties en richting van een organisatie zoals formeel door haar directie kenbaar gemaakt
[NEN 7510-1:2017, ISO/IEC Directives, deel 1, bijlage SL, appendix 2 (geconsolideerd ISO-supplement)]

beveiligde en verpersoonlijkte webpagina die toegang geeft tot diensten waarmee de bezoeker ad-hocberichten kan plaatsen, versturen, ontvangen en lezen
OPMERKING 1 bij deze definitie: Een voorbeeld van een breed gebruikt berichtenportaal is de berichtenbox binnen mijn.overheid.nl.

eigenschap van het toegankelijk en bruikbaar zijn op verzoek van een bevoegde entiteit
[NEN 7510-1:2017, NEN-ISO/IEC 27000:2014]

eigenschap van consistent beoogd gedrag en consistente resultaten
[NEN 7510-1:2017, NEN-ISO/IEC 27000:2014]

computer emergency response team, soms ook aangeduid als incident response team (IRT) of computer security response team (CSIRT)
OPMERKING 1 bij deze definitie: Speciaal voor de zorg bestaat sinds enige jaren het Z-CERT, het expertisecentrum voor cybersecurity in de zorg.

verzameling van ICT-diensten/producten voor ad-hocberichtenverkeer anders dan e-mail
OPMERKING 1 bij deze definitie: De dienst/het product maakt het mogelijk tussen twee (of meer) personen berichten, eventueel ook met bijlagen, uit te wisselen.
OPMERKING 2 bij deze definitie: Binnen de diensten zijn in toenemende mate ook realtimespraak- en -videodiensten mogelijk. Specifiek wordt met chatapplicaties geen e-mail bedoeld waarbij een bericht middels SMTP (RFC5321/5322) wordt verstuurd. Chatapplicaties zijn niet in RFC’s gedefinieerd en bestrijken een breed veld aan oplossingen zonder dat breed gebruikte standaarden voor uitwisseling tussen oplossingen beschikbaar zijn.
[IETF, RFC5321]
OPMERKING 3 bij deze definitie: Onder chatapplicaties worden ook verstaan messenger en instantmessagingtoepassingen.

natuurlijke persoon die zorg vraagt of aan wie zorg wordt verleend of de identificeerbare persoon van wie persoonlijke gezondheidsinformatie wordt verwerkt
OPMERKING 1 bij deze definitie: Voor ‘cliënt’ kan in veel gevallen ook ‘patiënt’ worden gelezen.
[NEN 7510-1:2017, gewijzigd]

organisatie die (al dan niet tegen betaling) producten of diensten, zoals e-mail en chatapplicaties (al dan niet aangeboden binnen een berichtenportaal) aanbiedt aan personen en/of professionals

digitaal, elektronisch postverkeer
OPMERKING 1 bij deze definitie: Zowel het individuele bericht als het onderliggende systeem kunnen met e-mail worden bedoeld. Als synoniemen worden gebruikt: mail, e-post, e-brief, elektronische post en elektronische brief. Technisch wordt e-mail beschreven in RFC 561 en RFC 861.
[wikipedia.org 8), gewijzigd]

optreden van of wijziging in een bepaalde combinatie van omstandigheden
OPMERKING 1 bij deze definitie: Een gebeurtenis kan een- of meerledig zijn en kan diverse oorzaken hebben.
OPMERKING 2 bij deze definitie: Een gebeurtenis kan er ook in bestaan dat iets niet gebeurt.
OPMERKING 3 bij deze definitie: Een gebeurtenis kan soms ook worden aangeduid als ‘incident’ of ‘ongeval’.
[NEN 7510-1:2017, NPR-ISO Guide 73:2009, 3.5.1.3, gewijzigd - opmerking 4 is niet overgenomen]

bepalen van de identiteit van een persoon of andere entiteit
[NEN 7510-1:2017]

degene die kan worden geïdentificeerd, direct of indirect, in het bijzonder via een verwijzing naar een identificatienummer of naar een of meer kenmerken gerelateerd aan zijn fysieke, psychologische, geestelijke, economische, culturele of sociale identiteit
[NEN 7510-1:2017, NEN-ISO 22857:2014]

behoud van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie
OPMERKING 1 bij deze definitie: Dit kan ook andere eigenschappen betreffen, zoals authenticiteit, verantwoordelijkheid, onweerlegbaarheid en betrouwbaarheid.
[NEN 7510-1:2017]

toepassingen, diensten, informatietechnologische bedrijfsmiddelen of andere gegevensverwerkende componenten
[NEN 7510-1:2017]

eigenschap van nauwkeurigheid en volledigheid
[NEN 7510-1:2017]

voorvallen, activiteiten of het optreden van wijzigingen in een informatiesysteem chronologisch vastleggen
[NEN 7510-1:2017, NEN 7513:2017]

resultaat van het loggen
OPMERKING 1 bij deze definitie: Zowel de gegevens die bij een bepaalde gebeurtenis worden gelogd, de 'loggegevens', als de 'logbestanden' waarin deze worden bewaard, kunnen zijn bedoeld.
[NEN 7510-1:2017, NEN 7513:2017]

geheel van samenhangende of elkaar beïnvloedende elementen van een organisatie om een beleid en doelstellingen vast te stellen, alsmede de processen om die doelstellingen te bereiken
OPMERKING 1 bij deze definitie: Een managementsysteem kan betrekking hebben op een of meer disciplines.
OPMERKING 2 bij deze definitie: Tot de elementen van het systeem behoren de organisatiestructuur, rollen en verantwoordelijkheden, planning en uitvoering.
OPMERKING 3 bij deze definitie: Het toepassingsgebied van een managementsysteem kan de gehele organisatie omvatten, specifieke en geïdentificeerde functies van de organisatie, specifieke en geïdentificeerde onderdelen van de organisatie, of een of meer functies in een groep van organisaties.
[NEN 7510-1:2017, ISO/IEC Directives, deel 1, bijlage SL, appendix 2 (geconsolideerd ISO-supplement)]

het vermogen om te bewijzen dat een geclaimde gebeurtenis of actie en de entiteiten die ze veroorzaken, zich daadwerkelijk hebben voorgedaan
[NEN 7510-1:2017, NEN-ISO/IEC 27000:2014]

persoon of groep van personen die zijn eigen functies heeft met verantwoordelijkheden, bevoegdheden en relaties om zijn doelstellingen te bereiken
OPMERKING 1 bij deze definitie: Het begrip organisatie omvat maar is niet beperkt tot eenmanszaak, bedrijf, vennootschap, firma, onderneming, autoriteit, partnerschap, liefdadigheidsinstelling of genootschap, of een deel of combinatie daarvan, hetzij als rechtspersoon erkend of niet, publiek of privaat.
[NEN 7510-1:2017, ISO/IEC Directives, deel 1, bijlage SL, appendix 2 (geconsolideerd ISO-supplement)]

natuurlijke persoon die alleen op grond van persoonlijke of privéoverwegingen - dus niet beroepsmatig - ad-hocberichten uitwisselt of dat wil doen met een professional
OPMERKING 1 bij deze definitie: Voorbeelden van personen zijn cliënten, patiënten, mantelzorgers en (wettelijk) vertegenwoordigers van cliënten of patiënten.

informatie over een identificeerbare persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie, waaronder ook begrepen kan worden:
  • a) informatie over de registratie van de persoon voor de verlening van zorgdiensten vanuit het zorgdomein, desgewenst het maatschappelijke domein en in voorkomende gevallen het domein van politie en justitie;
  • b) informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
  • c) een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
  • d) alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
  • e) informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof;
  • f)identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon
OPMERKING 1 bij deze definitie: Persoonlijke gezondheidsinformatie omvat niet informatie die, op zichzelf of in combinatie met andere informatie die beschikbaar is voor de houder, geanonimiseerd is. Geanonimiseerd wil zeggen dat de identiteit van de persoon die de informatie betreft, niet aan de hand van de informatie kan worden vastgesteld.
[NEN 7510-1:2017, NEN-EN 15224:2017, gewijzigd - opmerking 1 bij de term]

natuurlijke persoon of rechtspersoon, al dan niet handelend in contractuele relatie onder gezag of onder toezicht van een andere rechtspersoon, die beroepsmatig ad-hocberichten met persoonlijke gezondheidsinformatie uitwisselt met andere professionals en/of personen of dat wil doen
OPMERKING 1 bij deze definitie: Het gaat hier dus om beroepsmatige overwegingen. Dit in tegenstelling tot personen, die altijd op basis van persoonlijke of privéoverwegingen communiceren.
OPMERKING 2 bij deze definitie: Voorbeelden van professionals zijn ziekenhuizen, huisartsenpraktijken, andere zorginstellingen, gemeenten, politiediensten en afdelingen van justitie. Ook de medewerkers van die organisaties zijn professionals en ook zorgverleners en solistisch werkende zorgverleners behoren tot de professionals.

effect van onzekerheid op het behalen van doelstellingen
OPMERKING 1 bij deze definitie: Een effect is een afwijking ten opzichte van de verwachting - positief of negatief.
OPMERKING 2 bij deze definitie: Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.
OPMERKING 3 bij deze definitie: Een risico wordt vaak gekarakteriseerd door verwijzingen naar potentiële gebeurtenissen (zoals gedefinieerd in NPR-ISO Guide 73:2009, 3.5.1.3) en gevolgen (zoals gedefinieerd in NPR-ISO Guide 73:2009, 3.6.1.3), of een combinatie daarvan.
OPMERKING 4 bij deze definitie: Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.
OPMERKING 5 bij deze definitie: In de context van managementsystemen voor informatiebeveiliging kunnen informatiebeveiligingsrisico’s worden uitgedrukt als een effect van onzekerheid over de informatiebeveiligingsdoelstellingen.
OPMERKING 6 bij deze definitie: Informatiebeveiligingsrisico wordt geassocieerd met de mogelijkheid dat bedreigingen gebruik zullen maken van zwakke punten van een informatiebedrijfsmiddel of een groep informatiebedrijfsmiddelen, en de organisatie daarbij schade toebrengen.
[NEN 7510-1:2017, gewijzigd - opmerking 6 bij de term is licht gewijzigd, ISO/IEC Directives, deel 1, bijlage SL, appendix 2 (geconsolideerd ISO-supplement), NPR-ISO Guide 73:2009, 1.1, gewijzigd - opmerkingen 1 en 3 zijn licht gewijzigd, opmerking 2 is niet overgenomen en opmerkingen 5 en 6 bij de term zijn toegevoegd]

gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie
[NEN 7510-1:2017, NPR-ISO Guide 73:2009, 3.4.1]

omvang van een risico uitgedrukt als een combinatie van gevolgen en hun waarschijnlijkheid
[NEN 7510-1:2017, NPR-ISO Guide 73:2009, 3.6.1.8, gewijzigd - ‘of combinatie van risico’s,’ is verwijderd]

een zorgverlener die, anders dan in dienst of onmiddellijk of middellijk in opdracht van een instelling beroepsmatig zorg verleent
[Wet kwaliteit, klachten en geschillen zorg, NEN 7510-1:2017]

bevestiging dat aan gespecificeerde eisen is voldaan door het verschaffen van objectief bewijs
OPMERKING 1 bij deze definitie: Dit zou ook ‘testen van naleving’ kunnen worden genoemd.
[NEN 7510-1:2017, NEN-EN-ISO 9000:2015, 3.8.12, gewijzigd - de opmerkingen bij de term zijn niet overgenomen en opmerking 1 bij de term is toegevoegd]

eigenschap dat informatie niet beschikbaar of niet bekend wordt gemaakt aan onbevoegde personen, professionals, entiteiten of processen
[NEN 7510-1:2017]

bewerking of geheel van bewerkingen van persoonsgegevens of geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
[AVG, art. 4, licht gewijzigd, NEN 7510-1:2017]

kans dat iets gebeurt
[NEN 7510-1:2017, NPR-ISO Guide 73:2009, 3.6.1.1, gewijzigd - de opmerkingen zijn niet overgenomen]

zorg als omschreven in de Wlz en de Zvw en alle andere verrichtingen, inclusief het onderzoeken en het geven van raad, die rechtstreeks betrekking hebben op een persoon en ertoe strekken diens gezondheid te bevorderen of te bewaken
[NEN 7510-1:2017]

rechtspersoon die bedrijfsmatig zorg verleent, een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen, of een natuurlijke persoon die bedrijfsmatig zorg doet verlenen, alsmede een solistisch werkende zorgverlener
[NEN 7510-1:2017]

een natuurlijke persoon die beroepsmatig zorg verleent
[Wkkgz, NEN 7510-1:2017]