#ZNOPrivacypost: Veilig mailen in de keten

Er wordt veel gemaild in de zorg. Door de komst van de norm voor veilige e-mail, NTA 7516 wordt mail steeds veiliger. Wim Jellema van de Dimence Groep heeft de kennisgroep Privacy en Veiligheid onlangs bijgepraat over de NTA 7516 en wat dit betekent in de praktijk. Deze waardevolle kennis en inzichten willen we jullie niet onthouden.

Wat is de NTA 7516?
NTA (Nederlandse Technische Afspraak) 7516 is een norm voor het uitwisselen van gezondheidsgegevens via e-mail of chat en beschrijft de eisen waaraan moet worden voldaan om veilig te zijn. Het gaat om verkeer tussen een (zorg)professional en een gebruiker of tussen twee professionals. Mail of chat worden in de norm ‘ad hoc’ berichten genoemd.

Waarom de NTA 7516?
Er vindt veel ‘ad hoc’ berichtenverkeer (lees: e-mail en chat) plaats. Dat verkeer is niet altijd goed beveiligd, terwijl het regelmatig om zeer gevoelige informatie gaat. De NTA 7516, een nieuwe gedeelde beveiligingsstandaard, geldt voor zowel partijen die medische gegevens delen als voor partijen die hiervoor de faciliteiten bieden. Daarmee wordt beoogd om mail en chats met medische informatie te beveiligen.

Wat moet je zoal doen?
Ten eerste is het verstandig om een veilige mailoplossing te implementeren. Daarmee worden al veel maatregelen uit de NTA 7516 afgedekt. Daarnaast zijn er een aantal aanvullende vereisten:

-Beleidsdocument (autorisatie, verzendingsgrond, gebruik, naleving);
-Versleutelde verbinding;
-Tweefactorauthenticatie (2FA) toegang tot de mail omgeving;
-Verplichte authenticatie van de ontvanger via 2FA, (tenzij ontvanger voldoet aan de NTA 7516);
-Logging (zie NEN 7513:2018);
-Het delen van informatie met patiënten/cliënten over veilig mailen;
-Zelfverklaring NTA 7516 opstellen.

Wat ontbreekt er veelal?
De zelfverklaring wordt opgesteld maar; “email authenticatie door middel van SPF, DKIM, DMARC” is veelal niet correct of niet volledig ingeregeld. SPF gaat over welke mailservers namens jouw domein mogen mailen. DKIM betreft de digitale handtekening en DMARC combineert SPF en DKIM om e-mail afkomstig van de verzender te authentiseren.

Wim benadrukt dat we er met elkaar voor moeten zorgen dat dit goed ingeregeld wordt, om samen de e-mailketen te beveiligen. Als dit niet goed is ingeregeld, zadel je andere partijen in de keten met een probleem op. De tip van Wim: zorg ervoor dat partijen die uit jouw naam mailen de mogelijkheid hebben een DKIM handtekening te zetten en dat je de mailservers van de partijen die uit jouw naam mailen opneemt in je eigen SPF record. Meestal weet de ICT-afdeling van je organisatie hier wel raad mee.

Heb je nog vragen over bovenstaande informatie of heb je behoefte aan toelichting? Laat het ons weten, dan helpen we je op weg.

#ZNOPrivacypost #samenwerken #RSO #veiligmailen #privacy #veiligheid