De wereld van e-mail en chatverkeer verandert razendsnel. De technische toepassingen nemen toe, maar ook de risico’s van manipulatie door gebruikers en misbruik door cybercriminelen. Anderzijds zijn e-mail, app- en chatberichten een laagdrempelige en populaire manier om informatie uit te wisselen die niet meer weg te denken is, ook in de zorg- en welzijnssector. Gestructureerde koppelingen tussen systemen hebben de voorkeur van professionals omdat deze garanties bieden voor integriteit en vertrouwelijkheid. Deze garanties zijn sinds 2019 geborgd in de Nederlandse Technische Afspraak (NTA) 7516, maar zijn nu toe aan herziening.
NTA 7516 is in de eerste plaats bedoeld voor zorgprofessionals en de organisaties waarin ze werken. De NTA beschrijft de voorwaarden waaronder er veilig gemaild kan worden en bevat concrete maatregelen en aanwijzingen hoe een organisatie hiermee om kan gaan. Maar deze informatie is natuurlijk ook van belang voor patiënten, hun familieleden en mantelzorgers.
Daarnaast is de NTA zeer relevant voor leveranciers, die oplossingen bieden voor ‘ongestructureerde, asynchrone en ad-hoc uitwisseling van persoonlijke gezondheidsinformatie’, zoals e-mail, Messenger- en chatfunctionaliteiten. NTA 7516 stelt immers concrete functionele voorwaarden, die door hun zorgklanten als uitgangspunt worden genomen bij de aanschaf van dergelijke oplossingen.
Leveranciers vinden in de norm dus de eisen waaraan hun oplossingen moeten voldoen om ingezet te kunnen worden bij het veilig en interoperabel uitwisselen van e-mailberichten.
Inhoud huidige NTA 7516
De NTA bevat concrete normatieve eisen, die invulling geven aan de drie aspecten van informatiebeveiliging die ook bij e-mailen relevant zijn: beschikbaarheid, integriteit en vertrouwelijkheid. De norm gaat echter niet alleen over veiligheid. Gebruiksvriendelijkheid is ook een belangrijk uitgangspunt om ervoor te zorgen dat oplossingen voor veilige mail ook daadwerkelijk worden gebruikt. Door zorgverleners en natuurlijk door patiënten.
Bij het opstellen van de NTA is een groot aantal eisen en wensen van patiënten en consumenten meegenomen. Er is balans tussen ‘veilig’ en ‘gemakkelijk’. Bij gebruiksgemak is de voorwaarde dat er uitwisseling mogelijk is, onafhankelijk van de gekozen oplossing. Met andere woorden: net als bij ‘gewone’ mail moeten de verschillende systemen met elkaar kunnen uitwisselen. Daarin zit ook een belangrijk deel van de meerwaarde van deze NTA.
NTA 7516 biedt niet alleen een concrete set eisen die invulling geeft aan wat passende technische en organisatorische maatregelen zijn, maar biedt zorginstellingen de garantie dat ze veilig e-mails kunnen uitwisselen met andere partijen zonder dat ze andere veilige mailoplossingen moeten aanschaffen. De NTA, ontworpen in 2019 voor veilige mail en chat, moet nu worden herzien.
Sitie Brak, beleidsmedewerker Cybersecurity in het zorgveld bij het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) legt in een ouderwetse Q&A uit waarom deze herziening noodzakelijk is.
Laten we met de deur in huis vallen. Waarom wordt NTA 7516:2019 herzien?
Sitie Brak: “In 2019 werd de NTA 7516 gepubliceerd. Deze technische afspraak is destijds ontworpen vanuit de behoefte van het veld aan beveiligde mail en chat, zonder te veel in te leveren op gebruiksvriendelijkheid. Daarnaast moesten producten voor veilige mail en chat volledig interoperabel zijn. De afgelopen vier jaar hebben zich allerlei ontwikkelingen voorgedaan, die ook NTA 7516 raken, bijvoorbeeld op het gebied van digitaal ondertekenen. Deze ontwikkelingen moeten worden verwerkt.”
"De afgelopen vier jaar hebben zich allerlei ontwikkelingen voorgedaan, die ook NTA 7516 raken"
“Bij de NTA 7516-herziening dient een oplossing geboden te worden voor de praktische knelpunten die zijn ontstaan, evenals voor de andere uitdagingen die veilige e-mail en chatverkeer kent. Denk aan gebruikers(on)gemak, de ontwikkeling van steeds geavanceerdere methoden door cybercriminelen om e-mail- en chatverkeer te onderscheppen, en de noodzaak om de technologische ontwikkelingen bij te houden.”
Op welke manier wordt deze herziening gedaan?
“Begin 2024 start NEN de werkgroep ‘Herziening NTA 7516 Veilige mail en chatapplicaties’. Dit wordt gedaan in opdracht van VWS. Er zal één werkgroep starten. Binnen deze werkgroep zullen subwerkgroepen aan de slag gaan met het beschrijven van voorwaarden waaraan e-mail met persoonlijke gezondheidsinformatie (deel 1) en chat met persoonlijke gezondheidsinformatie (deel 2) moeten voldoen. Hiernaast zullen er in aparte werkgroepen technische afspraken (NTA’s) worden ontwikkeld.”
Wordt NTA 7516 na de herziening een NEN-norm?
“De NEN-werkgroep gebruikt de NTA 7516 als startdocument bij de ontwikkeling van de NEN-norm voor Veilige mail en chatapplicaties. We kiezen hiervoor om de norm nog sterker in het veld te positioneren.”
Het gaat om e-mail en chatverkeer, betekent dit twee verschillende NTA’s? Of normen?
“Naar verwachting komen er drie normalisatietrajecten: de functionele beschrijving van de eisen aan veilige e-mail en chat (de NEN-norm), een NTA voor technische afspraken over chatapplicaties en een NTA voor technische afspraken over veilige e-mailproducten.”
Wat is het doel van de herziene NTA/Norm?
“De NEN 7516-norm voor Veilige email en chatapplicaties moet enerzijds een antwoord zijn op de praktische knelpunten die we bij de NTA 7516 zien en anderzijds normen stellen rond de bovengenoemde uitdagingen in zowel technologie als bij gebruikers.”
Op welke domeinen buiten het zorgdomein kan de herziene NTA/Norm van toepassing zijn?
“De norm richt zich primair op persoonlijke gezondheidsinformatie en raakt dus onder meer het zorgdomein en het sociaal domein (gemeenten, UWV etc.). Er zal echter gekeken worden of de eisen zodanig geformuleerd kunnen worden, dat de norm ook kan worden ingezet in andere domeinen, zoals de Rechtspraak.”
Aan welke eisen moet de herziene NTA/Norm voldoen?
“We moeten dit breder bekijken dan alleen de norm zelf. De volgende punten zijn dan van belang:
- Knelpunten en uitdagingen: de norm dient een oplossing te bieden voor de praktische knelpunten, de huidige uitdagingen en de nieuwe mogelijkheden.
- Minder vrijheden in certificatieschema: van belang is om een certificatieschema op te stellen dat ervoor zorgt dat de producten van leveranciers op gelijke wijze worden getoetst.
- Testomgeving om producten te testen: de eisen uit de norm en de technische afspraken moet getoetst kunnen worden aan de hand van een testomgeving, ofwel referentie-omgeving. Dit zorgt voor minimaliseren van verschillen in testresultaten. Dit is belangrijk voor een betrouwbaar certificaat.
- Technische handreiking onder beheer NEN (NTA’s): de bestaande technische handreiking is onder leiding van VWS tot stand gekomen. Goede normen vragen echter actief beheer. Dit beheer zal nu bij NEN worden belegd.
- Onderzoek wettelijk verplichten veilig mailen: VWS onderzoekt vanaf begin 2024 mogelijkheden om veilig mailen wettelijk te verplichten.
- Implementatiebegeleiding: implementatiebegeleiding van veilige mail wordt nu gedaan door Faexit. Na 2024 moet gekeken worden hoe de implementatiebegeleiding verder ingevuld dient te worden.
De herziene NTA/Norm kan eventueel worden aangewezen binnen de nieuwe wet Wegiz. Waarom eventueel en waar hangt aanwijzing van af?
“Tijdens het onderzoek naar de voor- en nadelen van een eventuele wettelijke verplichting van veilig mailen, zal onder meer worden onderzocht of de Wegiz hierin een rol kan vervullen. Een antwoord op deze vraag kan daarom op dit moment nog niet worden gegeven.”
Hoelang duurt het traject van de werkgroep?
“NEN-trajecten duren doorgaans 1,5 a 2 jaar (binnen dit traject komt de werkgroep via een vooraf opgestelde agenda fysiek en/of online bijeen. Het coördineren en faciliteren van de werkgroep wordt gedaan door NEN, red.).”