Smartlockr Blog: E-mail- en databeveiliging

Voldoe aan NTA 7516 in een aantal stappen

Geschreven door Smartlockr | 3-6-20 9:10

NTA 7516 is sinds 14 mei 2019 van toepassing.  Sommige leveranciers zijn NTA 7516 compliant, waaronder Smartlockr. Veel organisaties zijn druk in de weer en hebben gekozen voor een passende oplossing. Maar dit geldt nog lang niet voor iedereen, en dat is tricky. Wil je niet voldoen aan NTA 7516? "Dat kan, maar dan kan je ook niet meer mailen", aldus de NEN. Wat mist er nog en wat kan er nog gedaan worden? Je leest het hier. 

Wat is NTA 7516? How werkt het? Wat moet ik als organisatie doen om aan NTA 7516 te voldoen? Lees alles wat je moet weten over NTA 7516 

 

In een aantal stappen naar NTA 7516:

 

1.  De inventarisatie. Hoe sta je er nu voor?

Het is belangrijk te begrijpen wat je moet regelen. Maar, voordat je hiermee aan de slag gaat, moet er eerst worden gekeken naar de huidige situatie.


   1.1. De huidige leverancier

Heb je al een veilige communicatiedienstaanbieder? Dan is het goed om te kijken of deze aanbieder voldoet aan NTA 7516. Niet alle leveranciers nemen de juiste maatregelen nemen om om hieraan te voldoen. 

Smartlockr is één van de leveranciers die NTA 7516 gecertificeerd is. In dit overzicht vind je de andere leveranciers die voldoen aan de norm. Op deze manier weet je zeker dat je op de juiste weg bent.


   1.2. Weet wat er speelt

NTA 7516 heeft uitgangspunten opgesteld waar je als organisatie aan moet voldoen. Maar weet je wat dit precies betekent voor je organisatie?

Weet je bijvoorbeeld:

  • Of gedeelde inboxen nog mogen worden gebruikt?
  • Welke informatie je binnen je organisatie via de "gewone weg" mag uitwisselen en welke via het beveiligde kanaal?
  • Welke informatie met patiënten/burgers via de mail mag worden gedeeld?
  • Hoelang gegevens mogen worden bewaard?
  • Of gegevens via een ander systeem mogen worden verstuurd?
  • Hoe berichten moeten worden versleuteld?
Het is belangrijk om na te gaan welke processen er binnen de organisatie zijn, om te kijken of deze door NTA 7516 veranderen.

Tip #1 - Breng alle eisen van je organisatie in kaart en breng deze samen in een plan.

Door inzichtelijk te hebben wat belangrijk is voor je organisatie, naast de wettelijke eisen vanuit NTA 7516, kun je bepalen of je met de huidige leverancier zal voldoen aan de norm.

 

 

2. De vergelijkingen. Welke aanbieders zijn er?

Meerdere leveranciers bieden e-mailoplossingen aan, maar niet alle leveranciers voldoen aan NTA 7516. Welke leverancier het best aansluit op je behoeftes, hangt deels af van je wensen en van de verplichte eisen van de norm.

Met het plan dat je hebt opgesteld, heb je inzichtelijk aan welke eisen de leverancier moet voldoen. Vanuit hier kun je verder oriënteren en de verschillende leveranciers vergelijken.

 

   2.1. Maak een selectie van leveranciers

Op basis van je lijst, kun je leveranciers selecteren. Het is daarbij goed om te kijken naar de functionaliteiten en hoe deze aansluiten op je organisatie. Wil je er zeker van zijn dat Single Sign-on mogelijk wordt gemaakt, zodat je werknemers beter worden beschermd tegen onderschepping van inloggegevens? Of vind je een eigen huisstijl bijvoorbeeld belangrijk?

Door vooraf een selectie te maken, kun je de verschillende diensten makkelijker vergelijken. Bekijk hierbij de websites van de leveranciers en houd je wensenlijst ernaast.

Daarnaast is het goed om te kijken hoe de verschillende leveranciers invulling geven aan deze eisen. Is de oplossing gebruiksvriendelijk?

Daarnaast hebben wij een paar punten waar je rekening mee moet houden:

  • Richt de organisatie zich op bewustwording? De grootste oorzaak van datalekken is de menselijke fout (74%)
  • Is de dienst gebruiksvriendelijk? Het moet eenvoudig genoeg zijn om door iedere werknemer binnen de organisatie gebruikt te worden.
  • De mate van veiligheid: wordt er bijvoorbeeld gebruik gemaakt van end-to-end encryptie met zero knowledge?
  • Kan de dienst met andere (niet) NTA-diensten communiceren? Wordt er gebruik gemaakt van een API? Is het interoperabel?
  • Is het mogelijk om een uploadverzoek te versturen voor het veilig ontvangen van bestanden, zodat onveilige diensten zoals WeTransfer en Dropbox niet meer gebruikt hoeven te worden? Kunnen hiermee ook grote bestanden worden ontvangen?
  • Zijn verzonden e-mails terug te vinden in de verzonden items, voor e-mails die zowel binnen als buiten de keten worden verzonden? Dit is belangrijk dat deze kunnen worden gekoppeld aan bijvoorbeeld verschillende DMS-systemen.
  • Kunnen alle beheerinstellingen eenvoudig worden beheerd en veranderd in het Beheerdersportaal?
  • Is er vóór verzending een check op de ontvangers en de bestanden?
  • Kunnen verzonden e-mails worden gevolgd en zo nodig worden teruggetrokken? Is het mogelijk om zowel ontvangers, bestanden en het gehele e-mailbericht te blokkeren ná verzending?

Als je duidelijk in kaart heb gebracht waar je op moet letten, is het handig om te kijken hoe het in de praktijk werkt. Het inplannen van een demo kan hier heel nuttig bij zijn, omdat je dan volledig wordt meegenomen in het product.

 

Tip #2 - Doe de check met onze NTA 7516 checklist. Zo kan je direct zien of de leverancier  voldoet aan de verplichte punten.

 

 

3. De beslissing. Implementatie van de dienst

Je hebt een overzicht van de leveranciers en je hebt inzichtelijk wat deze leveranciers je organisatie te bieden hebben. Het is nu tijd om te kiezen!

 

   3.1. Tips bij het kiezen van een leverancier

  1. Kies een leverancier die NTA 7516 gecertificeerd is;

  2. Niet alle diensten zullen voldoen aan alle - voor de leverancier gewenste - 17  punten. Ga voor een dienst die alle punten dekt en voorkom dat je een aanvullende dienst moet aanschaffen. Vraag aan de leverancier om een overzicht van de punten waar zij aan voldoen. Dit zal je veel tijd en moeite kosten.

  3. Vraag goed na waar de prijs uit is opgebouwd. Is het een vaste prijs per gebruiker of komen er nog extra kosten bij, afhankelijk van het gebruik van de dienst?

   3.2. De beslissing

Je hebt een keuze gemaakt. Dit betekent dat er nu verschillende dingen geregeld moeten worden. Denk hierbij aan de implementatie van de dienst, het toepassen van de praktijkregels die voor je organisatie gelden en het onboarding proces. De dienst gaat nu namelijk organisatiebreed gebruikt worden en daarom is het belangrijk dat iedere medewerker op de juiste manier omgaat met de gekozen veilige e-mailoplossing.

 

   3.3. Hulp bij het implementeren

Ga in overleg met de leverancier. Vraag wat er precies moet worden geregeld en maak hier duidelijke afspraken over. Denk hierbij aan:

  • Je medewerkers die getraind moeten worden. Zijn er trainingsmogelijkheden? Worden deze op locatie gegeven of moet je een trainingsdag ergens anders regelen?
  • De deadline waarop de implementatie klaar moet zijn;
  • Duidelijke communicatie bij vragen of problemen met het product. Hoe goed is het supportteam bereikbaar en via welke kanalen?
  • Het gebruik van de dienst tijdens het contract. Zorg dat er regelmatig naar het gebruik van de dienst wordt gekeken. Mocht er binnen de organisatie minder (zorgvuldig)  gebruik van worden gemaakt, moet er een plan worden opgesteld om zo slim en veilig mogelijk te kunnen werken.

Tip #3 - Maak duidelijke afspraken en zorg dat iedereen binnen de organisatie voldoende wordt getraind.

 

 

4. Training & communicatie

Het is tijd om aan de slag te gaan! Trainingen geven jou en je werknemers betere inzichten en zullen helpen om de e-mailoplossing op de juiste manier te gebruiken.

Maar, niet alleen moet het intern duidelijk worden dat er veilig wordt gecommuniceerd. Ook personen buiten de organisatie, zoals patiënten en burgers, horen dit te weten. Door iedereen bewust te maken van de nieuwe, veilige manier van werken, zal er ook veiliger worden gecommuniceerd.

 

   4.1. Communiceer over veilig e-mailen

Je kan op verschillende manieren communiceren dat je organisatie nu veilig e-mailt. Dit kan je op deze manieren doen:

  • Vermeld het duidelijk op je website;
  • Integreer in je e-mail handtekening dat de e-mail veilig is verzonden met de gekozen dienst;
  • Zet een handleiding/filmpje op de website;
  • Maak duidelijk waarom er met een veilige e-mailoplossing wordt gewerkt en waarom NTA 7516 van belang is;
  • Beperk andere (onveilige) communicatiemiddelen zoveel mogelijk, om te voorkomen dat de uitwisseling van gezondheidsinformatie alsnog via onveilige kanalen gaat.
  • Houd collega's, die geen NTA 7516 compliant oplossing hebben, op de hoogte van de verandering. Zij kunnen berichten niet meer direct lezen en zullen nu een extra stap moeten nemen. Communiceer dit duidelijk, zodat ook zij weten dat er nu veilig wordt gecommuniceerd.

Dit zijn niet alleen collega's binnen je branche, maar bijvoorbeeld ook relaties in hetzelfde domein, zorgverzekeraars, en overheidsinstellingen.

 

Tip #4 - Zorg voor materiaal waarmee iedereen wordt voorbereid op het gebruik van de dienst.

 

 

5. Done? Je bent NTA 7516 compliant

Gefeliciteerd, je maakt gebruik van een veilige e-mailoplossing!

Je organisatie is er nu klaar voor, je medewerkers hebben de nodige trainingen gehad en ook de patiënten, burgers en/of relaties zijn op de hoogte van de veilige communicatie.

Het is belangrijk om ook tijdens het gebruik kritisch naar de gekozen leverancier te blijven kijken. Het evalueren en verbeteren hoort hier bij.

 

   5.1. Evaluatie

Een eis vanuit NTA 7516 is namelijk dat de e-maildienst jaarlijks wordt geëvalueerd. Er wordt dan gekeken of de oplossing nog voldoet aan de eisen en wensen van de organisatie.

Om te kijken of dat zo is, kan je rekening houden met de volgende vragen:

  • Zijn de werkwijzen van je organisatie veranderd en heeft dit invloed op de manier waarmee je op dit moment communiceert?
  • Is de oplossing gebruiksvriendelijk genoeg? Maken je werknemers er nog steeds goed gebruik van?
  • Kunnen je relaties probleemloos op een veilige manier met je blijven communiceren?

Door de processen op de juiste manier te bewaken en te blijven evalueren, kan je het op tijd merken als dingen veranderen.

Tip #5 - Met een interne audit weet je of er nog iets moet worden bijgestuurd.