10 vragen over de NTA 7516

Yvonne Hoogendoorn

11 oktober 2021

Met de publicatie van de NTA 7516 op 15 mei 2019 is er voor het versturen van persoonlijke gezondheidsinformatie per e-mail een veldnorm in het leven geroepen. Zorgleveranciers zullen maatregelen moeten nemen om aan deze norm te voldoen.

Als leverancier van veilige e-mail en initiatiefnemer voor de NTA 7516 hebben wij ons de laatste twee jaar hard gemaakt bij VWS en het “Informatieberaad Zorg” voor deze norm en zijn trots dat de NTA nu beschikbaar is. SecuMailer heeft de nodige technische wijzigingen doorgevoerd voor het leveren van veilig e-mailen volgens de NTA 7516 norm.

Voor wie is de NTA 7516 relevant?

Iedere professional die persoonlijke gezondheidsinformatie per e-mail wil versturen moet gebruik maken van een NTA 7516-veilig e-mail product zoals SecuMailer en ook zelf voldoen aan de eisen van de NTA 7516. Als eerste zijn dit organisaties in de zorg, maar ook gemeentes, arbodiensten en meldkamers. Daarnaast zijn de veiligheidsmaatregelen die de NTA 7516 regelt ook zeer geschikt voor andere vertrouwelijke ( LoA niveau 3) informatie waar bijvoorbeeld beroepsgeheim op zit zoals bij juristen, financiële dienstverleners en verzekeraars.

Folder NTA 7516

Wat regelt de NTA 7516?

  • Veilige mail tussen zorgprofessionals
  • Veilige mail met patiënten en mantelzorgers
  • 2 Factor Authenticatie (2FA) verzender en ontvanger
  • Verschil tussen spreekkamer en wachtkamer informatie
  • Versleutelde verbinding nodig
  • Gebruiksgemak belangrijk, interoperabiliteit geregeld
  • In werking sinds mei 2019
  • Zorgverlener moet gebruik maken van een NTA 7516 compliant product
  • Zorgverlener en e-maildienst moeten allebei aan de NTA 7516 voldoen

Welke wetten hangen samen met de NTA 7516?

  • AVG – regelt de privacy : medische gegevens zijn bijzondere persoonsgegevens
  • WGBO – legt het beroepsgeheim vast: zorgprofessional moet identiteit ontvanger vaststellen
  • NTA 7516 –veilig e-mailen in de zorg: verplicht gebruik van veilig e-mail product
  • WvGGZ – Verplichte GGZ zorg: veilige en snelle communicatie nodig tussen gemeenten en hulpdiensten en GGZ

Wat is 2 factor authenticatie?

Een inlogmethode waarbij je gebruik maakt van iets dat je weet, iets dat je hebt of iets dat je bent en dan twee van deze drie eigenschappen combineren. Bijvoorbeeld een bericht op je telefoon waar een inlog code op zit. De twee factoren zijn dan : iets dat je hebt: jouw telefoonnummer; en iets dat je weet: de inlogcode.

Omdat de persoonlijke gezondheidsinformatie niet zomaar door iedereen mag worden gelezen is het belangrijk dat zowel de verzender als de ontvanger echt zijn wie ze zijn. Om dit vast te stellen is het niet voldoende om een persoonlijk e-mailadres te gebruiken. Er moeten extra maatregelen worden genomen om de identiteit vast te stellen.

Bij zorgprofessionals gebeurt het vaststellen wie ze zijn het gemakkelijkst als ze zich tijdens hun dienst voor het eerst aanmelden op hun werkplek. Hierdoor hoeft er op het e-mailbericht geen extra beveiliging te zitten maar gebeurt dat op de werkplek.

Hoe regelt SecuMailer de 2FA?

Dit doet SecuMailer door de verzender (onze klant) op zijn werkplek te laten inloggen met extra maatregelen en door de ontvanger een bericht op zijn telefoon te sturen waarna de e-mail in de inbox wordt afgeleverd.

Als de ontvanger een NTA 7516 zorgprofessional is dan logt de ontvanger ook met 2FA in op zijn werkplek en ontvangt de e-mail.

Wat is interoperabiliteit?

Er zijn meerdere aanbieders van NTA 7516 veilige e-maildiensten. Tussen deze verschillende aanbieders zijn afspraken gemaakt zodat berichten veilig kunnen worden afgeleverd zonder extra gedoe voor de zorgverlener. In de praktijk betekent dit dat je alleen SecuMailer nodig hebt om ook van de andere aanbieders zonder kosten en zonder extra inlogprocedures te kunnen ontvangen en afleveren. Iedere zorgprofessional hoeft dus maar een aanbieder te kiezen en de aanbieders zorgen achter de schermen voor de afhandeling.

Een belangrijke voorwaarde hierbij is wel dat de zorgprofessional zelf voldoende maatregelen heeft genomen om aan de NTA 7516 te voldoen.

Welke maatregelen moet de zorgprofessional dan nemen om de NTA 7516 in te richten?

Om de organisatie NTA 7516 compliant te maken zijn er organisatorische maatregelen en technische maatregelen nodig. De belangrijkste zijn:

  • Informatiebeveiligingsbeleid voor veilig e-mail in het kwaliteitssysteem opnemen
  • 2FA op niveau vertrouwelijk of hoog op de werkplek
  • Regels omtrent vervanging bij afwezigheid en functionele e-mailboxen opstellen
  • Informatie over veilig e-mailen met patiënten/cliënten delen
  • Organisatie specifieke maatregelen
  • Zelfverklaring voor NTA 7516 opstellen en het DNS wijzigen
  • Abonnement met SecuMailer afsluiten ( of een andere aanbieder van NTA 7516 veilige e-mail).

Wat gebeurt er als uw organisatie aansluit op SecuMailer?

SecuMailer koppelt met een mail relay op de mailserver van de klant en heeft daarmee geen negatieve impact op de client omgeving van de klant. Dit heeft de volgende voordelen:

  • Er is er geen extra beheer nodig.
  • Gebruikers hebben geen aanpassingen nodig, ze blijven gewoon e-mailen zoals ze nu al doen.
  • Alle e-mails worden altijd versleuteld verstuurd, medewerkers hoeven niets te doen.
  • Veilige ontvangers krijgen in de e-mail gewoon in hun inbox na de 2FA.
  • Alle eisen van het forum standaardisatie zijn volledig ingevuld.

Is ieder systeem geschikt voor NTA 7516?

SecuMailer kan door alle toepassingen en op alle devices gebruikt worden, ook in samenwerking met backoffice systemen.

Is SecuMailer ook klaar voor de WvGGZ?

Ja, SecuMailer heeft een actieve koppeling met Khonraad. Alle gemeenten en GGZ instellingen die gebruik maken van SecuMailer zijn op klaar voor de WvGGZ.

Bonusvraag: Is SecuMailer voor mijn organisatie geschikt?

SecuMailer is geschikt voor professionele organisaties die graag veilig e-mailen met de vertrouwelijke gegevens van hun patiënten. De gebruiksvriendelijkheid van SecuMailer is de beste in de markt omdat er geen gebruik van portalen of plug-ins wordt gemaakt. Wil je dit zelf ervaren vraag dan vandaag nog een proefaansluiting aan.

Lees verder

Veilig Mailen met serverless computing en duurzame technologie

SecuMailer levert Veilig Mailen als een SaaS dienst. Dit doen we al vanaf het begin op basis van serverless computing omdat dit het hoogste niveau aan Privacy by Design en Security by Default garandeert. Met serverless computing zijn er geen permanente servers meer maar uitsluitend tijdelijke compute capaciteit die hooguit enkele seconden actief is en…

Waarom heeft SecuMailer het ECSO-label ontvangen?

Met trots delen wij dat wij het ECSO label in ontvangst hebben mogen nemen! Op 9 mei is deze door Security Delta (HSD) aan ons uitgereikt. Wat ECSO inhoud en waarom dit label aan ons is uitgereikt lees je in deze blog. Over ECSO De European Cybersecurity Organisation (ECSO) is verantwoordelijk voor het uitvoeren van…