Circa 20 leveranciers van e-mail, messaging- en chat-oplossingen voor de zorgsector sinds september 2018 voor veilige mail samen met partijen uit de zorgsector – zoals organisaties die communicatiediensten beheren voor zorgaanbieders. Onder leiding van normeringsinstituut NEN is zo een Nederlandse Technische Afspraak (NTA) ontwikkeld. De norm zorgt ervoor dat gevoelige data op een veilige wijze wordt gedeeld en het gebruiksgemak voor medewerkers in de zorg en patiënten/cliënten wordt vergroot.
Project Veilige Mail
De leveranciers en zorgpartijen die deelnemen aan het in september 2018 opgestarte project Veilige Mail, hebben zich er aan gecommitteerd om binnen een jaar de in mei 2019 gepubliceerde NTA 7516-veldnorm in hun platforms of diensten op te nemen. Afgelopen april meldden het NEN en het Informatieberaad Zorg dat de eerste leveranciers van oplossingen voor veilig mailen in de zorgsector de validatie-audit voor de norm voor Veilige Mail met succes doorlopen hadden: SecuMailer en ZIVVER (dat samenwerkt met KPN Health).
Ruim een kwart van de gemelde datalekken vindt plaats in de zorgsector. Het gaat hier vaak om zeer privacy-gevoelige informatie zoals data uit patiëntendossiers. De Algemene verordening gegevensbescherming (AVG) vereist dat er zorgvuldig met dergelijke informatie wordt omgegaan, ook als deze wordt gedeeld via e-mail, chat of een portaal. Maar voor zowel de Autoriteit Persoonsgegevens (AP) als organisaties die gevoelige zorggegevens delen, was het tot voorheen niet duidelijk welke communicatieoplossingen wel of niet veilig waren.
De NTA 7516 moet dit nu inzichtelijk maken. De norm stelt specificaties vast voor onder meer veilig e-mailen van persoonlijke gezondheidsinformatie tussen organisaties(professionals) onderling en tussen organisaties (professionals) en personen. Daarnaast is gebruiksvriendelijkheid belangrijk. Nu is het vaak zo dat beveiligde mailomgevingen onduidelijk of complex zijn, zodat veel zorgprofessionals makkelijker en minder veilige manieren zoeken om (medische) gegevens uit te wisselen.
Voordelen NTA-norm
Rick Goud, CEO en oprichter van ZIVVER, ziet meerdere voordelen in de nieuwe norm. Platforms die eraan voldoen, kunnen veilig ingezet worden door organisaties die zorggerelateerde informatie delen. Niet alleen zorginstellingen, maar dus ook gemeentes of verzekeraars. Een ander voordeel is volgens Goud dat er minder tijd verloren gaat aan het omgaan met de diversiteit aan oplossingen die gebruikt worden. Daardoor hebben medewerkers nu nog moeite om eenvoudig veilige berichten te versturen en te ontvangen.
"Er gaat tijd verloren aan storende handelingen om toegang te krijgen tot berichten en ze te kunnen verwerken. De nieuwe norm biedt ook een kader voor de veilige inzet van e-mail en de mogelijkheid om verschillende oplossingen met elkaar te koppelen. Dat is een enorme winst voor gebruikers. We zijn door de certificatie-instelling EY CertifyPoint getoetst en kregen vandaag de bevestiging dat we voldoen aan de NTA 7516.”
Norm voor aanbieders en afnemers
De nieuwe norm voor veilige ad hoc communicatie, zoals e-mail, is van toepassing op zowel organisaties als leveranciers van communicatie-oplossingen. Hij bestaat uit 28 criteria. Vijf daarvan beschrijven criteria voor beleidsregels van organisaties.
De resterende punten zijn technisch van aard en kunnen dus gelden voor leveranciers. Dit zijn criteria op gebieden als authenticatie, versleuteling, gebruiksvriendelijkheid en logging. Een voorbeeld is ‘gegevensvertrouwelijkheid’. Daaronder valt onder andere dat berichten met gevoelige data versleuteld opgeslagen worden en dat onbevoegden geen toegang hebben tot de data of de sleutels die toegang geven tot de informatie.
Op 16 mei 2019 heeft NEN de NTA 7516 gepubliceerd. Om vast te stellen of en op welke onderdelen een leverancier echt voldoet aan de norm, toetst een onafhankelijke certificatie-instelling de diensten van de leverancier. Leveranciers die voldoen aan de eisen die aan NTA 7516 worden gesteld, ontvangen een certificaat met een NEN 7516-beeldmerk, met daarbij aangegeven op welke onderdelen van NTA 7516 de leverancier is getoetst.
KPN Health kondigde begin september 2019 aan dat het zijn zorgcommunicatieportfolio uitbreidt met ZIVVER Veilig Mailen. Het doel van de samenwerking tussen KPN Health en ZIVVER is om het zorgmedewerkers mogelijk te maken gebruiksvriendelijk en volgens de laatste veiligheidsstandaarden te communiceren met collega’s en patiënten.
