Impact voor zorgverleners
Als zorgverlener wisselt u veel informatie uit met derden. E-mail en chatapps worden hierbij nog veel ingezet, naast gestructureerde communicatie zoals HL7 en EDIFACT. Aan het gebruik van e-mail (en chatapps) voor het versturen van persoonlijke gezondheidsinformatie worden aan zorgverleners eisen gesteld. In opdracht van het Informatieberaad heeft NEN in samenspraak met het zorgveld en productleveranciers een norm ontwikkeld, NTA 7516. Deze norm schept duidelijkheid over de eisen waaraan het veilig e-mailen in de zorg moet voldoen.
Mooi dat deze norm er nu is, maar het echte werk begint nu pas. Uw organisatie dient de norm te implementeren. Om u hierbij te helpen wordt in samenspraak met de leden van het Informatieberaad een praktisch implementatiehandboek opgesteld.
Specifiek voor zorgverleners is een frequently asked question (FAQ) lijst opgesteld.
FAQ Zorgverleners
Hieronder zijn veel gestelde vragen van zorgverleners opgenomen, met de daarbij behorende antwoorden. Mocht u nog aanvullende vragen hebben, dan kunt u contact opnemen met Mark de Lange, mh.d.lange@minvws.nl.
- Wanneer gelden voor mij de eisen uit NTA 7516?
- Als u e-mail verstuurd naar collega’s of patiënten met hierin persoonlijke gezondheidsinformatie dan moet u voldoen aan NTA 7516. Ook als u naar professionals buiten het zorgveld, zoals een gemeenten en politie, persoonlijke gezondheidsinformatie e-mailt, dient uw organisatie te voldoen aan NTA 7516.
- Welke leveranciers voldoen aan NTA 7516?
- Leveranciers kunnen nu nog niet voldoen aan de eisen van NTA 7516, omdat certificering is vereist. Verwacht wordt dat de eerste leverancier begin Q2 2020 de vereiste certificering behalen. Lees hier meer over de leveranciers die meedoen.
- Wat is de relatie tussen de NEN 7510 en NTA 7516?
- U moet als zorgorganisatie voldoen aan de NEN 7510. Net als NEN 7512 en NEN 7513 is NTA 7516 een verbijzondering van enkele normelementen uit de NEN 7510. U moet uiteindelijk voldoen aan genoemde normen als u persoonlijke gezondheidsinformatie gebruikt.
- Wat als ik niet voldoe aan NTA 7516?
- NTA 7516 wordt door de Autoriteit Persoonsgegevens en de IGJ gezien als een belangrijk toetsingskader voor de inzet van e-mail en chatapps voor het ad hoc communiceren van persoonlijke gezondheidsinformatie. Indien u niet NTA 7516 hanteert kunt u in de praktijk ook geen persoonlijke gezondheidsinformatie versturen via e-mail en chat. Dit kan een bewuste beleidskeuze zijn.
- NTA 7516 wordt door de Autoriteit Persoonsgegevens en de IGJ gezien als een belangrijk toetsingskader voor de inzet van e-mail en chatapps voor het ad hoc communiceren van persoonlijke gezondheidsinformatie. Indien u hiervoor niet NTA 7516 hanteert, dient u op andere wijze passende maatregelen te hebben getroffen.
- Wat is het voordeel van producten die voldoen aan NTA 7516?
- NTA 7516 vereist dat producten interoperabel zijn. Indien u en de verzender van een bericht een product gebruiken dat voldoet aan NTA 7516, zorgt deze interoperabiliteit ervoor dat u het bericht direct kan lezen. U wordt dus niet geconfronteerd met aanvullende stappen om een bericht te kunnen openen, zoals door de verzender verstuurde SMS-codes, wachtwoorden, etc. U weet daarnaast zeker aan welke eisen van NTA 7516 een product voldoet. De leverancier van een NTA 7516 product moet hierover namelijk volledig transparant zijn.
- Waar moet ik op letten bij een selectie van een product voor veilige mail?
- Dat uw zelf goed heeft nagedacht voor welke usecases u veilige mail wilt inzetten en of u niet beter met een gestructureerde koppeling zoals Edifact of een koppeling met een PGO kunt werken.
- Dat u beleid rondom informatiebeveiliging en het gebruik van e-mail/chat heeft opgesteld. In NTA 7516 staan hiervoor eisen opgenomen.
- Dat u onder andere heeft nagedacht hoe u een product wil inzetten bij afwezigheid/waarneming omdat dan mogelijk andere in naar u verstuurde mail moet kunnen lezen. In NTA 7516 staan hiervoor eisen opgenomen.
- Dat u een eigen overzicht heeft van alle eisen uit NTA 7516 en weet welke onderdelen u zelf wilt/kunt invullen (zoals intern beleid rondo het gebruik van email maar mogelijk ook 2 Factor Authenticatie) en welke eisen er door een product/leverancier worden geleverd.
- U kunt aantonen welke normonderdelen door uwzelf zijn geïmplementeerd en welke door een product/leverancier zijn geïmplementeerd. U moet kunnen aantonen dat u voldoet aan de gehele norm, niet uw leverancier.
- Als een leverancier aangeeft te gaan voldoen aan NTA 7516 dat deze leverancier volledig transparant is op welke onderdelen het product gaat voldoen (certificering is nog niet mogelijk) en u hiermee inzicht krijgt of u volledig gaat voldoen aan NTA 7516.
- Hoe informeer ik mijn patiënten/cliënten?
- U moet op uw website duidelijk aangeven op welke wijze u wilt dat uw patiënt veilig met u communiceert. Dat kan middels een formulier, digitale inlog in een portaal of via een veilige mailoplossing.
U kunt niet voorkomen dat een client/patiënt toch via een normale mailoplossing u een bericht stuurt. U bent dan, bij berichten waarbij u via e-mail of chat persoonlijke gezondheidsinformatie terugstuurt, verplicht een product te gebruiken dat voldoet aan NTA 7516.
- U moet op uw website duidelijk aangeven op welke wijze u wilt dat uw patiënt veilig met u communiceert. Dat kan middels een formulier, digitale inlog in een portaal of via een veilige mailoplossing.
- Wat moet ik in de techniek regelen?
- U moet door uw ICT-beheerder in uw DNS een extra regel opnemen dat u voldoet aan de NTA (zelfverklaring)en welk product/leverancier u gebruikt voor uw veilige mail. Uw domein moet bovendien zijn beschermd met DNSSec. Meer informatie hierover komt in de handreiking voor zorgverleners die eind november wordt gepubliceerd.
Link naar de webpagina De producten.