NTA 7516 – Dé norm voor veilig communiceren van gezondheidsinformatie

Daar waar het een aantal jaren geleden in de zorg nog taboe was om persoonlijke gezondheidsinformatie te mailen, simpelweg omdat het niet veilig genoeg was, is dat met de nieuwste methoden voor informatiebeveiliging vandaag de dag wel mogelijk. De NEN heeft daarom, in opdracht van het ministerie van VWS, het Informatieberaad Zorg en gemeenten, de NTA 7516-norm ontwikkeld. Aan de hand van deze norm kan worden bepaald of communicatiemethoden voldoende zijn beveiligd.

Wat is NTA 7516?

NTA 7516 is de norm voor het veilig communiceren van gezondheidsinformatie. Onder communiceren valt niet alleen e-mail, maar ook messenger apps, chats en online portalen. Aan de hand van 21 elementen (beleid, loggingseisen en 19 criteria ten aanzien van beschikbaarheid, integriteit, vertrouwelijkheid, interoperabiliteit en gebruiksvriendelijkheid) beschrijft de NTA 7516 waaraan voldaan dient te worden voordat een organisatie kan stellen dat zij gezondheidsinformatie veilig communiceert.

De NTA 7516 dient twee doelen: enerzijds het scheppen van duidelijke voorwaarden voor het veilig en betrouwbaar uitwisselen van gezondheidsinformatie en anderzijds ervoor zorgen dat multi-kanaalcommunicatie; het uitwisselen van informatie tussen oplossingen van verschillende leveranciers, mogelijk is voor organisaties.

“Bij het opstellen van de norm is een groot aantal eisen en wensen van patiënten en consumenten meegenomen. Er is balans tussen ‘veilig’ en ‘gemakkelijk’. Bij gebruiksgemak is de voorwaarde dat er uitwisseling mogelijk is, onafhankelijk van de gekozen oplossing. Met andere woorden: net als bij ‘gewone’ mail moeten de verschillende systemen met elkaar kunnen uitwisselen. Daarin zit ook een belangrijk deel van de meerwaarde van deze NTA”, aldus de NEN.

Wat is te categoriseren als gezondheidsinformatie?

Bij gezondheidsinformatie moet je denken aan zaken die je ook in een medisch dossier kunt aantreffen. Bijvoorbeeld:

• Informatie over medische behandelingen;
• Persoonsgegevens;
• Schriftelijke wilsverklaringen;
• Receptmedicijnen en zelfzorgmedicijnen (zonder recept);
• Gegevens voor de continuïteit van zorg.

Niet alleen voor de zorg

Elke organisatie en professional die persoonlijke gezondheidsinformatie uitwisselt, heeft te maken met de ‘spelregels’ van de NTA 7516. De NTA is namelijk gebaseerd op de AVG en eIDAS, wetgeving waar al aan voldaan moet worden. Dat houdt in dat ook het Openbaar Ministerie, gemeenten, verzekeraars en zelfs sommige juridische organisaties met deze norm te maken kunnen krijgen. Daarnaast dienen ook de leveranciers van oplossingen voor het veilig communiceren te voldoen aan deze norm.

Is NTA 7516 verplicht?

Indien een organisatie medische gegevens van burgers online wil uitwisselen, dient zij zich te houden aan de eisen zoals opgenomen in de NTA 7516. Organisaties hebben uiteraard altijd de optie om dit type gegevens niet digitaal uit te wisselen, maar kunnen bijvoorbeeld burgers toegang geven tot een online omgeving van de organisatie zelf of informatie per brief versturen.

Belangrijk om te vermelden is dat voldoen aan de NTA 7516 iets anders is dan certificeren. Certificering voor de NTA 7516 is (vooralsnog) alleen verplicht voor leveranciers van veilige communicatiemethoden. Het is echter raadzaam om als organisatie te overwegen of, wanneer men toch al werkt conform de eisen van de norm, de stap naar certificering een logisch vervolg is. Met een NTA 7516-certificering kan men immers de veilige manier van communiceren aantoonbaar maken richting belanghebbenden, hetgeen vertrouwen schept en mogelijk strategische kansen met zich meebrengt.

Is certificeren al mogelijk?

Met de publicatie van het certificatieschema NCS 7516 is vanaf 20 mei 2020 certificatie tegen NTA 7516 mogelijk geworden. Certificering (van oplossingen van leveranciers) is al mogelijk als aan een selectie van de 21 eisen van de NTA 7516 wordt voldaan, met inbegrip van in ieder geval de interoperabiliteitseis (communiceren met andere NTA 7516 oplossingen). Het is mooi dat leveranciers kunnen certificeren op individuele onderdelen van de norm, maar het vraagt wel extra oplettendheid van organisaties en professionals.

Stel de juiste vragen

Omdat een leverancier de mogelijkheid heeft zich op individuele normelementen te certificeren, is het belangrijk om de juiste vragen te stellen. Een gesloten vraag als: ‘Gaan jullie voldoen aan de NTA 7516?’ kan een onvolledig antwoord uitlokken. Vraag daarom aan wélke eisen van de NTA 7516 voldaan gaat worden. Een ideale situatie is als een leverancier zich committeert aan het certificeren van zoveel mogelijk normeisen. Dat zorgt er namelijk voor dat een organisatie niet – of zo min mogelijk – met andere leveranciers hoeft samen te werken om de overige, overwegend technische, normeisen af te dekken. Een voordeel dat zowel kostenbesparend als efficiënt kan zijn.

Aan de slag

We helpen je graag bij het downloaden van de norm en het inventariseren in hoeverre jouw organisatie al aan de eisen voldoet. Op de website van de NEN is een implementatiehandboek beschikbaar, waarmee je zelf aan de slag kunt. Kom je er toch niet helemaal uit? Geen probleem, wij staan je graag bij met praktisch advies. Neem contact op via info@qsn.nl

Contact

Geraadpleegde bronnen:
Consumentenbond
NEN
Zivver