Organisaties in de zorg die werken met medische en andere gevoelige persoonsgegevens krijgen te maken met strikte eisen op het gebied van informatiebeveiliging. In Nederland wordt de norm NTA 7516 daarbij vaak gebruikt als praktische uitwerking voor het veilig uitwisselen van informatie via e-mail, waaronder ook het delen van bestanden met gevoelige inhoud.
Toch is het voor veel organisaties niet altijd duidelijk wat deze norm concreet betekent voor de dagelijkse praktijk. In deze blog lees je wat NTA 7516 inhoudt en hoe deze norm zich verhoudt tot veilige en controleerbare bestandsoverdracht.
Wat is NTA 7516?
NTA 7516 is een Nederlandse Technische Afspraak die richtlijnen beschrijft voor het veilig versturen van gevoelige informatie via e-mail binnen de zorgsector.
De norm is opgesteld als aanvulling op NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg. Waar NEN 7510 algemene eisen stelt aan informatiebeveiliging, geeft NTA 7516 een specifieke invulling aan veilige e-mailcommunicatie.
NTA 7516 is geen wet en kent geen zelfstandige wettelijke verplichting. In de praktijk wordt de norm binnen de zorgsector vaak gebruikt als referentiekader om invulling te geven aan wettelijke beveiligingseisen, onder andere op basis van de Algemene Verordening Gegevensbescherming (AVG) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz).
De norm schrijft geen specifieke technische oplossing voor, maar beschrijft welke technische en organisatorische maatregelen nodig zijn om veilige en controleerbare e-mailcommunicatie in te richten.
Voor wie is NTA 7516 relevant?
NTA 7516 is primair ontwikkeld voor de zorgsector en is met name relevant voor organisaties die medische of andere gevoelige persoonsgegevens verwerken. In de praktijk gaat het onder andere om:
· Ziekenhuizen en zorginstellingen
· Huisartsen en andere zorgverleners
· GGZ-instellingen
· Verwerkers en leveranciers die in opdracht van zorginstellingen werken
Hoewel de norm specifiek voor de zorgsector is opgesteld, wordt NTA 7516 ook buiten de zorg soms gebruikt als referentiekader voor veilige digitale communicatie en informatie-uitwisseling.
Wat betekent NTA 7516 voor bestandsoverdracht?
NTA 7516 richt zich primair op veilige e-mailcommunicatie, maar de uitgangspunten zijn ook relevant voor bestandsoverdracht via e-mail.
De norm legt nadruk op:
· Bescherming van de inhoud tijdens verzending
· Identificatie en verificatie van de ontvanger
· Beperking van toegang tot bevoegde personen
· Controle over beschikbaarheid van informatie
· Aantoonbaarheid van genomen beveiligingsmaatregelen
Het uitgangspunt is dat gevoelige informatie uitsluitend toegankelijk is voor de juiste ontvanger en dat organisaties dit proces kunnen onderbouwen. Het gaat daarbij niet alleen om versleuteling, maar om het gehele proces van verzending, toegang en organisatorische borging.
Voldoet standaard e-mail automatisch aan NTA 7516?
Standaard e-mail voldoet niet automatisch aan de uitgangspunten van NTA 7516. Hoewel veel e-mailomgevingen gebruikmaken van transportversleuteling, vraagt de norm aanvullende maatregelen op het gebied van verificatie van ontvangers, toegangsbeheer en aantoonbaarheid.
Met de juiste technische inrichting en organisatorische borging kan een e-mailomgeving passend worden ingericht in lijn met de norm. Dit vereist echter expliciete configuratie, beleidsmatige afspraken en consistente toepassing binnen de organisatie.
In ons artikel Waarom e-mail ongeschikt is voor grote bestanden lees je meer over de risico’s die kunnen ontstaan wanneer bestandsoverdracht niet structureel is ingericht.
Het belang van verificatie en controle
Een belangrijk uitgangspunt binnen NTA 7516 is dat de identiteit van de ontvanger wordt vastgesteld voordat toegang wordt verleend tot gevoelige informatie.
Dit verkleint het risico dat gegevens bij de verkeerde persoon terechtkomen, bijvoorbeeld door een typefout in een e-mailadres.
Daarnaast is controle over de beschikbaarheid van informatie noodzakelijk. Bestanden dienen niet onbeperkt toegankelijk te blijven zonder dat dit bewust is ingericht en vastgelegd in beleid.
Dit vraagt om een combinatie van technische maatregelen en organisatorische processen.
NTA 7516 in de praktijk
In de praktijk betekent werken volgens NTA 7516 dat veilige e-mail en bestandsoverdracht structureel worden ingebed in de organisatie.
De toepassing van beveiligingsmaatregelen mag niet afhankelijk zijn van individuele keuzes van medewerkers, maar moet consistent en aantoonbaar worden ingericht.
Veel organisaties kiezen daarom voor een oplossing die beveiligingsmaatregelen automatisch toepast binnen bestaande werkomgevingen zoals Outlook of Microsoft 365. Hierdoor blijft de werkwijze voor medewerkers herkenbaar, terwijl de overdracht beter aansluit op de uitgangspunten van de norm.
In het artikel Hoe je datalekken voorkomt bij bestandsoverdracht lees je hoe organisaties dit breder aanpakken.
Hoe organisaties voldoen aan NTA 7516
Organisaties die hun communicatie willen laten aansluiten op de uitgangspunten van NTA 7516 kiezen vaak voor een oplossing die versleuteling combineert met verificatie en toegangsbeheer.
Met FileCap voeg je een aanvullende beveiligingslaag toe aan Outlook of Microsoft 365. Bestanden worden beschermd tijdens verzending, ontvangers worden geverifieerd en je kunt instellen hoe lang informatie beschikbaar blijft. Daarnaast wordt data opgeslagen binnen de EU via een Europese cloudprovider.
Dit ondersteunt organisaties bij:
· Versleutelde en gecontroleerde bestandsoverdracht;
· Verificatie van ontvangers vóór toegang;
· Instelbare beschikbaarheidsduur en toegangsbeheer;
· Logging ter ondersteuning van aantoonbaarheid.
Hiermee kunnen organisaties ondersteuning bieden bij het aantoonbaar inrichten van veilige e-mailcommunicatie in lijn met de uitgangspunten van NTA 7516.
Meer over hoe FileCap werkt lees je op onze productpagina.
Conclusie
NTA 7516 biedt een concreet kader voor veilige e-mailcommunicatie binnen de zorgsector en vormt een aanvulling op NEN 7510.
De norm benadrukt dat veilige communicatie meer vraagt dan alleen versleuteling. Identificatie van ontvangers, toegangsbeheer en aantoonbaarheid spelen een centrale rol.
Voor organisaties die werken met medische of andere gevoelige persoonsgegevens is het belangrijk om e-mail en bestandsoverdracht bewust en structureel in te richten. Standaard e-mail voldoet niet automatisch aan de uitgangspunten van de norm zonder aanvullende technische en organisatorische maatregelen.
Met FileCap voeg je een aanvullende beveiligingslaag toe aan je bestaande werkomgeving, waarmee je beter invulling kunt geven aan de uitgangspunten van veilige e-mailcommunicatie.
Wil je weten hoe FileCap kan bijdragen aan veiligere e-mailcommunicatie binnen jouw organisatie? Vraag een demo aan of probeer FileCap 30 dagen gratis.
Veelgestelde vragen
Wat is NTA 7516?
NTA 7516 is een Nederlandse Technische Afspraak die richtlijnen beschrijft voor veilige e-mailcommunicatie in de zorgsector. De norm is opgesteld als aanvulling op NEN 7510 en richt zich specifiek op het veilig versturen van gevoelige informatie via e-mail.
Is NTA 7516 verplicht?
NTA 7516 is geen wet en kent geen zelfstandige wettelijke verplichting. Binnen de zorgsector wordt de norm vaak gebruikt als praktische invulling van wettelijke beveiligingseisen, bijvoorbeeld vanuit de AVG en in samenhang met NEN 7510. De verplichting om informatie adequaat te beveiligen volgt uit wetgeving; NTA 7516 biedt hiervoor een concreet referentiekader.
Wanneer voldoe je aan NTA 7516?
Organisaties kunnen aantonen dat zij in lijn werken met NTA 7516 wanneer zij de in de norm beschreven technische en organisatorische maatregelen consistent hebben ingericht en kunnen onderbouwen. Dit omvat onder andere veilige verzending, verificatie van ontvangers, toegangsbeheer en logging ter ondersteuning van aantoonbaarheid.
