Informatie-uitwisseling via e-mail is een belangrijke en veelgebruikte manier om elkaar te informeren in de zorg- en welzijnssector. Als onderdeel van het VWS-project ‘Veilige Mail’ hebben belanghebbenden en experts uit de zorg gewerkt aan een normenkader voor veilige e-mail. Het traject dat op 10 oktober 2018 van start ging, is afgelopen 15 mei afgerond met de publicatie van de NTA 7516: de Nederlands Technische Afspraak.
De nieuwe norm maakt helder waar veilige e-mail aan moet voldoen voor organisaties in de zorgsector. Dat is nodig omdat conventionele e-mail ‘zonder passende technische en organisatorische maatregelen’ niet langer voldoet aan de eisen die de AVG stelt. De beoogde veldnorm beschrijft in neutrale termen de eisen waaraan e-mail met daarin patiëntgegevens zou moeten voldoen om veilig te zijn. Het gaat daarbij enerzijds om de waarden die geborgd moeten worden, zoals de mate van beschikbaarheid, integriteit en vertrouwelijkheid, maar ook gebruiksvriendelijkheid. Dit laatste is een belangrijk uitgangspunt, omdat er voor te zorgen dat oplossingen voor veilige mail ook daadwerkelijk gebruikt gaan worden.
Wat en voor wie?
NTA 7516 is bedoeld voor zorgprofessionals en de organisaties waarin ze werken. Het bevat concrete aanwijzingen hoe een organisatie om kan gaan met veilig e-mailverkeer. Deze informatie is natuurlijk ook relevant voor patiënten, hun familieleden en mantelzorgers, maar ook voor leveranciers. De norm bevat concrete normatieve eisen die invulling geven aan de drie aspecten van informatiebeveiliging die ook bij e-mailen relevant zijn: beschikbaarheid, integriteit en vertrouwelijkheid. De norm gaat niet alleen over veiligheid. Gebruiksvriendelijkheid is een belangrijk uitgangspunt om ervoor te zorgen dat oplossingen voor veilige mail ook daadwerkelijk worden gebruikt door zorgverleners en patiënten.
NTA7516 en Cryptshare QUICK
Zorginstellingen kunnen straks op basis van de NTA 7516 gecertificeerd worden. Er komt een ‘NTA goedgekeurd’-stempel. Dit borgt in elk geval dat de instelling via e-mail veilig kan communiceren met een andere partij die het certificaat ook heeft. De uitdaging is communicatie met partijen die niet NTA-approved zijn. Denk daarbij aan patiënten met een privé Gmail-account, of personen buiten het zorgdomein zoals advocaten of specialisten in het buitenland. Hiervoor biedt Cryptshare met de nieuwste versie van de QUICK-technologie nu al een oplossing, voor veilige communicatie met NTA organisaties én daarbuiten. Met QUICK wordt bij de eerste communicatie een tweefactor-authenticatie uitgevoerd. Bij iedere daaropvolgende communicatie met diezelfde persoon wordt deze authenticatie opnieuw gebruikt, terwijl de inhoud van het bericht steeds van een unieke eigen versleuteling wordt voorzien. Hiervoor hoeven de verzender en de ontvanger geen extra handelingen uit te voeren. De toekenning van wachtwoorden en versleuteling van de berichten worden automatisch door de QUICK-technologie uitgevoerd.