Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

NTA 7516 (en de betekenis ervan voor de zorgsector)

Dit artikel delen:

Computable Expert

Lucien Barink
General Manager, CRYPTSHARE. Expert van Computable voor de topics Management en Security.

Het aantal datalekken in de zorg ligt volgens de cijfers van de Autoriteit Persoonsgegevens hoog. Veel lekken ontstaan bij het uitwisselen van informatie per e-mail. Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) is daarom het project Veilige Mail gestart, waarbij NEN is ingeschakeld om samen met de markt tot een Nederlands Technische Afspraak (NTA) te komen. NTA 7516, die in mei wordt gepubliceerd, biedt duidelijkheid over waaraan veilige e-mail voldoet.

De primaire criteria die VWS hanteert, zijn evident. Het versturen van e-mail moet veilig zijn én gebruiksvriendelijk. Standaard-e-mail voldoet alleen aan de tweede voorwaarde: het heeft geen ingebakken beveiliging. Wat er vandaag de dag al regelmatig gebeurt, is dat er generieke beveiliging wordt toegepast met technieken als S/Mime, PGP of domeinfederatie. Deze hebben een positieve invloed op het beveiligingsniveau van e-mail, maar beïnvloeden de gebruiksvriendelijkheid nadelig. Zo zijn er extra handelingen nodig om e-mails te versturen en ontvangen, of zijn er beperkingen in met wie je kunt mailen.

De NTA-standaard voor veilig mailen in de zorg is aanstaande en vereist dat e-mail beveiligd wordt op persoonlijk niveau door middel van tweefactor-authenticatie (combinatie van iets dat je weet en iets dat je hebt). Dit kan bijvoorbeeld een link zijn, die de ontvanger in staat stelt bij het e-mailbericht te komen in combinatie met een wachtwoord dat apart met de ontvanger gedeeld wordt.

Een ander belangrijk punt is dat de systemen voor veilige e-mailcommunicatie interoperabel moeten zijn. Een arts wil tenslotte niet tussen zes verschillende oplossingen moeten schakelen. Dat kan een uitdaging worden, er zijn tenslotte meerdere manieren om e-mails te versleutelen.

Goedgekeurd

"Zorginstellingen kunnen op basis van de NTA 7516 gecertificeerd worden"

Zoals aangegeven, kunnen zorginstellingen op basis van de NTA 7516 gecertificeerd worden. Er komt een ‘NTA-goedgekeurd’-stempel. Dit borgt in elk geval dat de instelling veilig kan communiceren met een andere partij die het certificaat ook heeft. De uitdaging is dat je ook moet communiceren met partijen die níét NTA-approved zijn. Denk aan patiënten met een Gmail-account, iemand buiten het zorgdomein zoals een gemeente, of een specialist in het buitenland. Een veel voorkomende manier om dit probleem te omzeilen, is de portal, ook wel het digitale loket. Hoewel deze manier van communicatie de veiligheid ten goede komt, gaat ze voorbij aan het aspect gebruiksgemak. Ze nodigt uit om andere middelen in te zetten dan de portal die door de zorginstelling worden aangeboden; middelen die extra risico’s opleveren voor het veilig versturen en ontvangen van e-mail. Deze leveren wat mij betreft dan ook geen bijdrage aan veilig e-mailen in de zorg en zeker ook niet aan het gebruiksgemak.

Om het doel te behalen dat VWS, NEN en de markt zich met de NTA 7516 gesteld hebben, moet de gebruikte oplossing ad-hoc-e-mailcommunicatie faciliteren. Dat houdt in dat het aantal handelingen dat nodig is om een bericht te voorzien van tweefactor-autenticatie en te ontsleutelen, geminimaliseerd moet worden. Er zijn al technieken op de markt, waarbij je slechts één keer een wachtwoord hoeft te delen om vervolgens een veilig lijntje op te zetten met de betreffende persoon. Bij alle communicatie daarna gebeurt de beveiliging op de achtergrond; de gebruiker merkt er dan verder niets meer van. En zo zou het moeten zijn.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-04-12T14:00:00.000Z Lucien Barink
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.