Alles over de NTA 7516 en veilig mailen
voor overheden, zorg en verzekeraars

Onlangs heeft de NEN het besluit genomen om de huidige NTA 7516 certificering van alle leveranciers in te trekken. In dit artikel leggen we uit waarom de NEN hiertoe is overgegaan en welke gevolgen dit kan hebben voor jouw organisatie. 

De NEN heeft besloten om per 15 mei 2022 de NTA 7516 certificering voor leveranciers in zijn geheel in te trekken. Dit betekent dat op dit moment geen enkele leverancier nog NTA 7516 gecertificeerd kan zijn. De reden dat de NEN hiervoor heeft gekozen is dat is gebleken dat er in veel gevallen certificaten aan leveranciers zijn verstrekt op basis van onjuiste en onvolledige toetsing, mede als gevolg van onduidelijkheid in de hiervoor gestelde criteria. Het certificaat bood zodoende in veel gevallen niet de zekerheid en duidelijkheid die het aan organisaties juist zou moeten bieden. 

De  situatie rondom incorrecte  certificeringen is mede door Zivver bij de NEN onder de aandacht gebracht gemaakt. Daarop hebben VWS, de NEN en certificeerders geprobeerd om met leveranciers tot betere afspraken rondom toetsing te komen. Helaas is hiermee niet het gewenste resultaat bereikt, wat de NEN heeft doen besluiten om de NTA 7516 certificering in zijn geheel in te trekken.   

Het is belangrijk om te benoemen dat de NTA 7516 onverminderd van kracht blijft. Hierdoor moeten zorginstellingen, gemeenten en andere organisaties die persoonlijke gezondheidsinformatie mailen,  blijven voldoen aan de NTA 7516. Het intrekken van de certificering van leveranciers heeft als grootste gevolg dat het voor organisaties nog belangrijker wordt om zelf onderzoek te doen of leveranciers de organisatie kunnen helpen voldoen aan de NTA 7516, en zo ja, tot in hoeverre en op welke onderdelen.

Voor klanten van Zivver die reeds NTA 7516 compliant zijn verandert er niets, omdat Zivver daadwerkelijk alle mogelijke technische functionaliteiten biedt die voor het voldoen aan de NTA 7516 benodigd zijn.  

Voor organisaties die een andere leverancier gebruiken voor veilig e-mailen is het belangrijk om (opnieuw) te controleren tot in hoeverre betreffende leverancier daadwerkelijk de benodigde functionaliteiten biedt om als organisatie echt te kunnen voldoen aan de NTA 7516. Veel organisaties dachten in het verleden onterecht dat het contracteren van een NTA 7516 gecertificeerde leverancier voldoende zou zijn om te voldoen aan de NTA 7516. Dit misverstand werd mede veroorzaakt door de onduidelijkheid die de onterecht verleende certificaten met zich meebrachten. Het intrekken van de certificeringen heeft als beoogd doel om deze onduidelijkheid weg te nemen en organisaties ‘te dwingen’ zelf te onderzoeken of en tot in hoeverre een leverancier kan helpen met het voldoen aan de NTA 7516. Dit geldt dus ook voor organisaties die veronderstellen reeds aan de NTA 7516 te voldoen. Het voldoen aan de NTA 7516 blijft namelijk de verantwoordelijkheid van organisaties zelf. 

Het is de verwachting dat de NEN in de toekomst naar een nieuw certificeringsschema zal toewerken, met daarin meer duidelijkheid en zekerheden, om een meer overzichtelijke, duidelijke en meer betrouwbare situatie voor organisaties te creëren. Op dit moment is hiervoor helaas nog geen concrete planning of tijdslijn bekend. 

Wij betreuren dat de certificeringen niet de duidelijkheid hebben kunnen bieden die juist zo belangrijk is voor organisaties en dat daarmee een deel van de zorginstellingen voor een oplossing heeft gekozen waar eigenlijk niet mee aan de NTA 7516 kan worden voldaan. Dat er nu, middels het intrekken van de certificering, stappen worden gezet naar een verbetering van die onwenselijke situatie, juichen wij dan ook zeer toe.

Meer informatie?

Mocht je meer informatie willen hebben over de NTA 7516 en/of de recente ontwikkelingen daaromtrent, wij helpen je graag! 

In onderstaande FAQ vind je antwoord op de meest voorkomende vragen. 

Uiteraard denken we ook graag mee met jouw specifieke situatie. Neem in dat geval contact op via customersuccess@zivver.com (voor Zivver klanten) of sales@zivver.com (voor [nog] niet Zivver klanten). 

In dit hoofdstuk lees je meer over de doelstellingen van de NTA 7516 normering - voor het beveiligen van medische data.

Wat zijn de twee belangrijkste doelstellingen van de NTA 7516 norm?

1. Zorgen dat er duidelijke randvoorwaarden zijn gesteld aan het gebruik van e-mail, chat, messaging (al dan niet aangeboden via een berichtenportaal). Dit borgt veilige en betrouwbare uitwisseling van persoonlijke gezondheidsinformatie. Zo worden dit volwaardige oplossingen voor de elektronische uitwisseling van gezondheidsinformatie naast gestructureerde berichtenuitwisseling.
2. Zorgen dat er berichten uitgewisseld kunnen worden tussen de verschillende oplossingen die er voor professionals beschikbaar zijn, ongeacht de leverancier. Dit is beter bekend als interoperabiliteit of multikanaal communicatie.

Wat is de NTA 7516?

De NTA 7516 is de norm voor veilige ad hoc communicatie van gezondheidsinformatie. Deze norm is gemaakt door de NEN, in opdracht van het ministerie van VWS, het Informatieberaad Zorg en gemeenten. Onder ad hoc communicatie valt e-mail, maar ook chat, portalen, messengers, enzovoorts. Oftewel: alle vormen van communicatie die tussen mensen plaatsvindt. De norm beschrijft aan welke ruim twintig eisen organisaties en de oplossingen die zij gebruiken moeten voldoen als ze willen claimen veilig te zijn. Dit zijn eisen ten aanzien van beschikbaarheid, integriteit, vertrouwelijkheid, gebruiksvriendelijkheid, interoperabiliteit, beleid en logging.

Voor wie is de NTA 7516?

De NTA 7516 geldt voor alle organisaties die gebruikmaken van ad hoc communicatie voor het delen van gezondheidsinformatie. Dus bijvoorbeeld het e-mailen van afspraakbevestigingen of onderzoeksuitslagen aan patiënten, chatten met collega’s, of het delen van medische gegevens via e-mail voor een verzekering of beschikking. Verder vormt de NTA 7516 de basis voor informatieuitwisseling in de keten van de WvGGZ. Hiermee geldt de NTA 7516 dus niet alleen voor ziekenhuizen, GGZ-instellingen, ouderenzorgorganisaties, huisartsen en andere zorgorganisaties en -professionals, maar ook voor gemeenten, het openbaar ministerie (OM), juristen, verzekeraars, etc.

Hoewel organisaties moeten voldoen aan de NTA 7516, kunnen ze dat alleen als ze gebruik maken van een (of meer) oplossingen die voldoen aan de NTA 7516. Daarmee geldt (een groot deel) van de NTA 7516 ook voor leveranciers van oplossingen die willen kwalificeren als een oplossing voor veilige e-mail of veilige chat.

Vooralsnog is de NTA 7516 een Nederlandse norm. De NEN heeft laten weten dat zij de intentie heeft om een traject te starten om deze norm tot een Europese CEN-norm te maken. Nederland is namelijk het eerste land dat een dergelijke norm voor veilige ad hoc communicatie heeft opgesteld. Vaak worden dit soort normen centraal of decentraal overgenomen door andere bij de CEN aangesloten landen, waaronder alle 28 Europese lidstaten.

Benieuwd hoe Zivver omgaat met compliance? Raadpleeg onze wet- en regelgeving pagina. 

Ja! Tenminste, als je een oplossing gebruikt die NTA 7516-compliant is en degene aan wie je een bericht verstuurt of waarvan je een bericht ontvangt ook. Een eis in de NTA 7516 is zogenaamde interoperabiliteit, ook wel multi-kanaalcommunicatie genoemd in de norm. Dit betekent dat producenten moeten zorgen dat hun product ‘kan praten’ met andere producten, zodat ontvangers geen last meer hebben van het feit dat de verzender wellicht voor een andere veilige oplossing heeft gekozen. Door deze interoperabiliteit kan iedere partij veilige berichten in zijn eigen NTA 7516-compliant applicatie naar keuze ontvangen. Net zoals je nu met iedereen kunt bellen, zonder dat je dezelfde provider hebt.

Voor interoperabiliteit is het nodig dat producten ‘dezelfde taal’ kunnen spreken. Het ministerie van VWS heeft, in samenwerking met de betrokken leveranciers, een zogenaamde Technische Handreiking opgesteld waarin deze koppeltaal staat beschreven. Leveranciers moeten hun producten aanpassen aan de eisen in deze technische handreiking. Anders mogen deze oplossingen dus niet door organisaties worden gebruikt als oplossing voor veilige communicatie van gezondheidsinformatie.

Checklist NTA 7516 compliance

Deze artikel geeft je een beeld van wat je te wachten staat. Nu is het de hoogste tijd om actie te ondernemen. In onze checklist staan precies die stappen beschreven die je moet nemen naar NTA 7516 compliance. 

Benieuwd hoe Zivver omgaat met compliance? Raadpleeg onze wet- en regelgeving pagina. 

Om als organisatie te voldoen aan de NTA 7516 moet je zorgen dat je voldoet aan alle eisen die in de norm staan over beschikbaarheid, integriteit, vertrouwelijkheid, gebruiksvriendelijkheid, interoperabiliteit, beleid en logging. Op dit moment werken onder andere VWS en koepels aan checklists en handreikingen om organisaties hierbij te helpen. Waarschijnlijk mogen organisaties (vooralsnog) zelf met een verklaring aangeven dat zij voldoen, mits zij een ‘communicatiedienstenaanbieder’ (= leverancier) gebruiken waarvan de ‘productdienstcombinatie’ (= product) NTA 7516-compliant is.

Op dit moment werkt de NEN nog aan het toetsingskader voor compliance van leveranciers en de voorwaarden voor de zelfverklaring van organisaties. Officieel kan en mag dus nog geen enkele organisatie of leverancier stellen te voldoen aan de NTA 7516, omdat dit (gebruik van) een NTA 7516-compliant product vereist. Wat op dit moment wél al duidelijk is:

• De leverancier moet een geldig ISO 27001‐certificaat of een geldig NEN 7510‐certificaat hebben. Het certificaat moet afgegeven zijn door een CBI-geaccrediteerde organisatie. De onderdelen van NTA 7516 moeten opgenomen zijn binnen de scope van het certificaat.
• Het product (van de leverancier) kan al compliant zijn als het maar aan twee van de ruim twintig eisen van de NTA 7516 voldoet. Een van deze twee moet de interoperabiliteitseis zijn, oftewel het kunnen uitwisselen van berichten met andere NTA 7516-compliant oplossingen. VWS werkt op dit moment aan een beschrijving van het koppelvlak in de zogenaamde technische handreiking.

Dit betekent dat je bij het selecteren of vernieuwen van een leverancier moet denken aan de volgende punten:

• Een (geldig) ISO 27001- of NEN 7510-certificaat. Als een product of leverancier dit niet heeft, kan het/hij NIET aan de NTA 7516 voldoen!
• Zorg dat je commitment eist aan NTA 7516-compliance zodra dit mogelijk is.
• Eis dat de leverancier expliciet maakt aan welke eisen van de NTA 7516 hij zich committeert. Het is dus niet genoeg om te vragen ‘of de leverancier gaat voldoen aan de NTA 7516’. Want dit zou kunnen betekenen dat hij aan slechts twee van de eisen voldoet. En dan moet jij als organisatie  zelf, met een of meer andere leveranciers, zorgen dat je aan de circa twintig andere eisen voldoet. Met waarschijnlijk dubbele kosten en een lange doorlooptijd tot gevolg.

Leer van de experts

Benieuwd hoe Zivver omgaat met compliance? Raadpleeg onze wet- en regelgeving pagina of download onze NTA 7516 checklist om te zien welke stappen je nog moet zetten om compliant te worden. 

Naast de impact op de huidige processen, kan de norm ook een aantal voordelen bieden.

Communiceert jouw organisatie persoonlijke gezondheidsinformatie via e-mail, chat, messaging of een portaal aan andere organisaties of patiënten/cliënten/verzekerden/klanten/burgers? Dan moet jouw organisatie voldoen aan de NTA 7516! Concreet betekent dit je moet zorgen dat alle ad hoc communicatie van gezondheidsinformatie via een veilig weg gebeurt. Daarvoor moet je dus enerzijds zorgen dat je jouw beleid op orde hebt conform de eisen in de norm. Anderzijds dat je een of meerdere leveranciers/producten gebruikt voor dit soort communicatie die NTA 7516-compliant (zullen) zijn. Als je dit soort oplossingen gebruikt, dan kan dit verschillende gevolgen hebben voor jouw digitale communicatie. De impact voor de organisatie is afhankelijk van hoe je nu gewend bent te communiceren.

Wordt er al e-mail gebruikt en kies je voor een veilige oplossing die integreert met de manier van werken, dan is de impact zeer klein. Als je voor een oplossing kiest die veel gedragsverandering vraagt in termen van wisselen van applicatie of veel gebruikershandelingen, dan is de impact veel groter.

Deze norm kan ook heel veel voordelen bieden voor organisaties en personen. Je ziet namelijk dat veel organisaties nu nog werken met brieven, faxen of ingewikkelde portalen, omdat ze bang waren om gevoelige informatie via gewone e-mail te sturen. Als organisaties voldoen aan de NTA 7516 dan kan digitale ad hoc communicatie via bijvoorbeeld e-mail wel met een gerust hart worden ingezet. Dit kan veel kosten besparen, communicatie versnellen en elektronische gegevensuitwisseling in de gezondheidszorg sterk bevorderen.

Tot slot zorgt de NTA 7516 ervoor dat organisaties voortaan veilige berichten in hun eigen omgeving kunnen lezen, door de zogenaamde interoperabiliteitseis voor leveranciers. Oftewel: niet meer inloggen op de omgeving van iemand anders! Met hogere gebruiksvriendelijkheid en efficiëntie tot gevolg.

Welke rol speelt gebruiksvriendelijkheid in de NTA 7516?

Gebruiksvriendelijkheid speelt een centrale rol in de NTA 7516. Het is dan ook het onderdeel met de meeste eisen. Want veiligheid en gebruiksvriendelijkheid moeten hand in hand gaan, anders gebruiken mensen het niet en wenden ze zich tot makkelijke, maar onveilige oplossingen. 

De norm stelt eisen aan zaken als veilig antwoorden op berichten, veilig doorsturen van berichten, veiligheid als standaard (security by default), geen account moeten hoeven aanmaken, geen aparte software moeten installeren, berichten kunnen downloaden voor eigen gebruik/archief en berichten als professionals eenvoudig kunnen opnemen in je EPD/ECD etc. Kortom; veilig communiceren moet makkelijk zijn!

Onze ervaring is dat de adoptie van veilige e-mail en bestandsuitwisseling ook veel sneller en beter gaat bij organisaties die gebruiksvriendelijkheid centraal hebben staan. Dit betekent kunnen blijven werken vanuit de tools die je gewend bent, niet te veel extra handelingen hoeven doen, en snel te leren zijn. Het mes snijdt hierbij aan twee kanten; meer tevreden gebruikers en meer veiligheid!

Checklist NTA 7516

De NTA 7516 beschrijft ruim twintig eisen waaraan organisaties moeten voldoen voor veilige ad hoc communicatie van gezondheidsinformatie. De checklist is een handreiking waarmee de organisatie met een aantal vragen kan nagaan hoe een leverancier invulling heeft gegeven aan deze eisen.

Benieuwd hoe Zivver omgaat met compliance? Raadpleeg onze wet- en regelgeving pagina. 

Een oplossing om aan alle technische aspecten van de norm te voldoen.

Zivver is een van de partijen die actief betrokken waren bij de totstandkoming van de NTA 7516 en de ontwikkeling van de technische handreiking die het koppelvlak voor leveranciers beschrijft. Ook zijn wij betrokken bij het opstellen van het toetsingskader voor compliance. 

Zivver schudde de markt voor veilige communicatie in de zorg drie jaar geleden flink op. We presenteerden een visie voor echte veiligheid in combinatie met gebruiksgemak. Dat resulteerde er onder andere in dat afgelopen paar jaar ruim 45% van de gemeenten en ziekenhuizen voor Zivver koos. We zijn het aan onze klanten en aan onszelf verschuldigd om zo volledig mogelijk aan deze door het veld gevraagde, gemaakte en geaccepteerde norm te voldoen! We melden dan ook trots dat we de eerste leverancier zijn die aan de norm voldoet.

Zivver was ook de eerste leverancier die publiekelijk haar commitment aan het voldoen aan de NTA 7516 kenbaar maakte. Goed nieuws voor onze klanten, die we hiermee voor een lange periode het comfort van veilige communicatie kunnen bieden. 

Als je benieuwd bent naar de oplossing van Zivver voor veilige mail, bekijk dan welk prijsplan het beste bij jouw organisatie past.

Benieuwd hoe Zivver omgaat met compliance en security? Raadpleeg onze wet- en regelgeving pagina. 

De norm NTA 7516 blijft nog steeds van kracht wat betekent dat zorginstellingen, gemeenten etc. die persoonlijke gezondheidsinformatie per e-mail of chat willen uitwisselen nog steeds moeten voldoen aan de NTA 7516. Het geeft destemeer aan hoe belangrijk het voor een organisatie is om zelf het onderzoek te doen of leveranciers heb kan helpen voldoen aan de NTA 7516, in welke mate en op welke onderdelen.

De NTA 7516 is van toepassing op elke organisatie die persoonlijke gezondheidsinformatie via ‘ad-hoc’ kanalen zoals e-mail en portalen uitwisselt. Dat kunnen organisaties zijn zoals bijvoorbeeld zorgaanbieders, verzekeraars, gemeenten, bedrijfsgezondheidsdiensten, etc.. 

Daarnaast wordt de norm sinds februari 2022 ook gebruikt door de Rechtspraak als voorwaarde om veilig met hen te kunnen e-mailen.

Nee, als organisatie kun je nog niet gecertificeerd worden op de NTA 7516 maar mag dit door middel van een zelfverklaring aangeven. Hiervoor is het uiteraard wel een voorwaarde dat de organisatie voldoet aan alle eisen die de NTA 7516 stelt. 

Ben je nog niet NTA 7516-compliant? Dan raden we je aan om hier werk van te maken. De verplichting hiervoor blijft namelijk onverminderd van kracht en de voordelen van interoperabiliteit zijn groot. De NTA 7516 wordt door de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd (IGJ) gezien als een belangrijk toetsingskader voor de inzet van e-mail en chatapps voor het ad hoc communiceren van persoonlijke gezondheidsinformatie. Indien je organisatie de NTA 7516 niet hanteert, kun je in de praktijk ook geen persoonlijke gezondheidsinformatie versturen via e-mail en chat.

Het brengt duidelijkheid voor organisaties. Of beter gezegd: het neemt de ontstane onduidelijkheid voor organisaties grotendeels weg.  De NTA 7516 blijft van kracht. Door het terugtrekken van de certificeringen is het voor organisaties duidelijker geworden dat het belangrijk is om zelf goed te kijken aan welke onderdelen van de NTA 7516 een leverancier voor veilig mailen invulling geeft en op welke manier. Hierbij kan Zivver jouw organisatie helpen.

De NEN en certificeerders constateren dat er certificaten aan leveranciers zijn verstrekt op basis van onjuiste en onvolledige toetsing, waardoor deze certificaten niet gegarandeerd de beoogde zekerheid en duidelijkheid bieden. Die situatie heeft Zivver reeds ca. 2 jaar geleden onder de aandacht gebracht bij de NEN. Daarop hebben VWS, de NEN en certificeerders geprobeerd tot afspraken rondom betere toetsing te komen met leveranciers, maar dit bleek helaas niet haalbaar. Door het intrekken van de certificaten dwingt de NEN af dat organisaties opnieuw kritisch kijken of zij wel echt aan de NTA 7516 voldoen en dat het simpelweg contracteren van een gecertificeerde leverancier niet voldoende is. In de toekomst werkt de NEN naar een nieuw schema toe met meer zekerheden, om een gelijk speelveld tussen partijen te creëren. 

Ja, het terugtrekken van de NTA 7516 certificering geldt voor alle leveranciers.

 Nee, dan verandert er voor jullie niets. Jullie kunnen nog steeds interoperabel veilig mailen met andere NTA 7516-compliant partners en erop vertrouwen dat jullie ad-hoc communicatiekanalen aan de hoogste mate van veiligheid voldoen.

Dit hangt af van de leverancier. Ons advies is om zelf onderzoek te doen om te beoordelen of de gekozen leverancier voldoet aan alle punten van de NTA 7516. Gebruik hiervoor bijvoorbeeld onze checklist. 

Ja, als een organisatie voldoet aan de NTA 7516 mag er nog steeds gebruik worden gemaakt van interoperabiliteit.

De NTA 7516 bestaat uit 24 technische eisen en 5 beleidsmatig eisen. Om te controleren of jullie organisatie al voldoet aan de NTA 7516 kunnen jullie bijvoorbeeld onze checklist gebruiken.

Voor compliance dienen organisaties aan alle technische en beleidsmatige eisen van de NTA 7516 te voldoen. In totaal bestaat de NTA 7516 uit 24 technische eisen en 5 beleidsmatig eisen. Om te controleren wat jouw organisatie nog moet doen om compliant te worden, kun je bijvoorbeeld onze checklist gebruiken. Uiteraard helpen we je graag en leggen we je graag uit wat Zivver voor jouw organisatie kan betekenen. Neem hiervoor contact op via sales@zivver.com.

Bij het selecteren van een oplossing voor veilig e-mailen die jullie organisatie kan ondersteunen om NTA 7516 compliant te worden, is het belangrijk om te onderzoeken op welke punten van de NTA 7516 een leverancier invulling kan geven én op welke wijze de oplossing dat doet. Gebruik hiervoor bijvoorbeeld onze checklist. Uiteraard helpen we je graag en leggen we je uit hoe Zivver dat doet. Neem hiervoor contact op via sales@zivver.com.

Ja, iedereen mag hier vragen over stellen bij de NEN. Zie ook hun website met een uitleg over dit onderwerp en contactgegevens.

Hier zijn helaas nog geen nieuwe tijdlijnen voor afgegeven.