Veilig e-mailen als alternatief voor de fax

Veilige e-mail is een alternatief voor de fax wanneer gestructureerde gegevensuitwisseling niet mogelijk is. Hiermee e-mail je op een veilige en snelle manier patiëntgegevens naar andere zorgverleners of patiënten. Doorloop deze 5 stappen om snel en makkelijk aan de slag te gaan met veilige e-mail.

1

Waarom is veilig mailen belangrijk?

Faxen is naast een bureaucratische last, ook een behoorlijk onveilige manier van het uitwisselen van gegevens. Omdat de ontvanger vaak onbekend is, iedereen kan immers een document van het faxapparaat pakken, heb je geen garantie dat jouw gegevens bij de juiste persoon terecht komen. Voor gevoelige informatie, zoals patiëntgegevens, is dat een risico.

Veilige e-mail leveranciers gebruiken verschillende technieken om de informatie die jij verzendt te beveiligen en ervoor te zorgen dat alleen de persoon waarmee jij de informatie wil delen toegang kan krijgen tot de informatie.

2

Waarom twee-factor authenticatie? NTA 7516 als middel om de onderlinge afspraken te borgen

Om zeker te weten dat de gegevens naar de juiste persoon verzonden worden is er een extra authenticatie vereist. Dit is belangrijk omdat de (meestal) vertrouwelijke gegevens bij de juiste zorgverlener terecht moeten komen.

De extra beveiliging is ook meteen de grootste irritatiefactor van veilige e-mail; om toegang te krijgen tot het veilig e-mailbericht moet je namelijk gebruik maken van twee-factor authenticatie (2FA). Het invullen van zo’n sleutel bij elke e-mail die binnenkomt is een extra handeling en op een drukke dag snappen wij dat jij gewoon snel toegang wil tot de verstuurde gegevens. Het is daarom van belang om jouw organisatie NTA 7516 compliant te maken. Wat houdt dit in?

De NTA7516 is een Nederlands Technische Afspraak (NTA) die samengesteld is door en voor het zorgveld samen met leveranciers. In de NTA7516 staan eisen waar je als zorgverlener aan moet voldoen. Als je aan deze eisen voldoet, onderteken je een zelfverklaring als zelfcertificering. Een veilige e-mail leverancier kan je hierbij ondersteunen. Per leverancier verschilt het hoeveel je nog moet regelen om die zelfverklaring te kunnen tekenen. Doormiddel van het volgen van de NTA7516 voorziet de zorgverlener in het veilig en interoperabel delen van patiëntgegevens door het gebruik van veilige e-mail.

3

Wat is belangrijk om te weten over de NTA 7516? En wat moet je doen om NTA 7516 compliant te worden?

6.1.2 Minimale beschikbaarheid
De minimale beschikbaarheid is de garantie dat de veilige e-mailoplossing in dit geval bij 99,8% beschikbaarheid maximaal 17,5 uur per jaar downtime mag hebben. Dit houdt in dat je gedurende de downtime geen gebruik kan maken van de veilige e-mailoplossing.

Bij een lokaal geïnstalleerde oplossing (on premise) ben je hier als zorgaanbieder zelf voor verantwoordelijk. Voor een cloud oplossing ligt deze verantwoordelijkheid bij de leverancier en wordt dit vastgelegd in de SLA.

6.1.3 Maximale uitvalduur
De maximale uitvalsduur van de veilige e-mailoplossing mag maximaal 24 aaneengesloten uren zijn. Bij een lokaal geïnstalleerde oplossing (on premise) ben je hier als zorgaanbieder zelf voor verantwoordelijk. Voor een cloud oplossing ligt deze verantwoordelijkheid bij de leverancier en wordt dit vastgelegd in de SLA.

6.1.4 Maximaal gegevensverlies
In principe mag geen enkel verzonden of opgeslagen bericht verloren gaan tenzij een gebruiker dit bewust verwijdert. Als er gegevens verloren gaan moet de verzender binnen 24 uur worden geïnformeerd zodat het bericht opnieuw verstuurd kan worden of een back-up kan worden teruggeplaatst.

Bij een lokaal geïnstalleerde oplossing (on premise) ben je hier als zorgaanbieder zelf voor verantwoordelijk. Voor een cloud oplossing ligt deze verantwoordelijkheid bij de leverancier en wordt dit vastgelegd in de SLA.

6.1.5 Herkomstbevestiging
Het is belangrijk om vast te stellen wie de verzender is van een veilig e-mailbericht, daarom is het noodzakelijk een veilige inlogmethode te gebruiken om toegang te krijgen tot de veilige e-mail. Substantieel betekent dat er minimaal met twee-factorauthenticatie ingelogd moet worden (gebruikersnaam en wachtwoord + authenticator app of sms-code). De identiteit van de persoon dient gecontroleerd te worden aan de hand van een geldig identiteitsbewijs op basis van de basisregistratie persoonsgegevens (BRP) voordat de persoon een account krijgt om veilig te kunnen e-mailen. De manier van inloggen kan zowel op de computer of in de (veilige) e-mailoplossing zelf plaatsvinden.

De verantwoordelijkheid voor de inlogmethode moet afgestemd worden tussen de leverancier en de zorgaanbieder.

6.1.6 Data-integriteit
De inhoud van het verzonden bericht moet exact gelijk zijn aan het ontvangen bericht, er mogen geen veranderingen plaatsvinden aan het bericht zoals vertalingen of interpretaties.

De leverancier van de veilige e-mailoplossing is hiervoor verantwoordelijk.

6.1.7. Onweerlegbaarheid verzender
De ontvanger moet kunnen zien (aan de hand van bijvoorbeeld het e-mailadres) wie de verzender is van het e-mailbericht zodat misbruik van andermans e-mailadres niet mogelijk is. Bijvoorbeeld in het e-mailadres piet.jansen@ziekenhuis.nl is herkenbaar dat Piet Jansen de afzender is maar in e-mailadres 123@iuveiru.tr is niet duidelijk wie de afzender is. Er mogen alleen e-mailadressen gebruikt worden waarin je kunt herkennen wie de afzender is.

Een zorgaanbieder maakt hier samen met de leverancier van veilige e-mail afspraken over om aan deze eis te voldoen. In veel gevallen vult de leverancier van veilige e-mail deze verantwoordelijkheid in voor de zorgaanbieder.

6.1.8. Autorisatie verzender
Als zorgaanbieder ben je zelf verantwoordelijk voor een organisatiebeleid waarin staat welke medewerkers veilige e-mails mogen versturen. Dit in combinatie met inloggen (authenticatie) zorgt ervoor dat alleen de medewerker van een zorgaanbieder die een veilige e-mail mag versturen ook daadwerkelijk degene is die kan versturen.

De organisatie stemt dit waar nodig af met de leverancier van de veilige e-mailoplossing. In veel gevallen vult de leverancier van veilige e-mail deze verantwoordelijkheid in voor de zorgaanbieder.

6.1.9. Gegevensvertrouwelijkheid
Veilige e-mailberichten moeten alleen gelezen kunnen worden door de verzender en de ontvanger. De berichten die de ontvanger heeft opgeslagen in de veilige e-mailoplossing mogen niet in handen van onbevoegde personen komen. De berichtgegevens dienen versleuteld te worden opgeslagen zodat wanneer een onbevoegd persoon toch toegang zou krijgen tot deze berichtgegevens dat deze niet leesbaar zijn.

De organisatie stemt dit bij een lokaal geïnstalleerde oplossing (on premise) waar nodig af met de leverancier van de veilige e-mailoplossing. Voor een cloud oplossing ligt deze verantwoordelijkheid bij de leverancier en wordt dit vastgelegd in de SLA.

6.1.10 Toegangsvertrouwelijkheid
De veilige e-mailberichten mogen alleen geopend kunnen worden door de persoon die geadresseerd is. Deze persoon kan alleen bij de berichten komen door in te loggen met de minimale beveiligingseisen die gelden.

- Burgers (substantieel): met 2-factorauthenticatie en nadat er op een punt in de tijd een ID-check is uitgevoerd van de patiënt.
- Professionals (hoog): 2-factorauthenticatie met ID-check en BRP-gegevens check met een tijdelijk token die te gebruiken is na een inlog met pincode of wachtwoord.

6.1.11 Communicatievertrouwelijkheid
Veilige e-mailberichten moeten alleen gelezen kunnen worden door de verzender en de ontvanger. De berichten mogen tijdens het verzenden niet in handen van onbevoegde personen komen. Als dit onverhoopt toch gebeurt dan dienen de berichtgegevens versleuteld te zijn zodat deze niet leesbaar zijn.

De leverancier van de veilige e-mailoplossing is hiervoor verantwoordelijk.

6.1.12 Verzendingsgrond
Uitwisseling van medische data is alleen toegestaan als zowel de verzender als de ontvanger een behandelrelatie hebben met de patiënt. Voorbeelden van verzendingsgronden zijn in het kader van een verwijzing naar een andere zorgaanbieder of bijvoorbeeld bij het opvragen van medische data waarbij de patiënt toestemming heeft gegeven aan de opvrager en de opvrager dit kan aantonen aan de verzender.

Het controleren van de verzendingsgrond is een verantwoordelijkheid van de (verzendende) zorgaanbieder.

6.1.13 Internationaal ad-hocberichtenverkeer
Een veilig e-mailbericht mag niet zomaar buiten Europa worden uitgewisseld. Wanneer een uitwisseling plaats vindt buiten de EER moeten de regels van de AVG nageleefd worden waardoor er onder andere uitdrukkelijke, ondubbelzinnige toestemming voor het verwerken van gegevens moet zijn gegeven door de betrokkene.

Het versturen van veilige e-mailberichten buiten Europa is een verantwoordelijkheid van de (verzendende) zorgaanbieder.

6.1.14 Continuïteit van ad-hocberichtenverkeer – beantwoorden
Een veilig e-mailbericht moet herkenbaar zijn voor een ontvanger als een veilig verstuurd e-mailbericht en moet veilig beantwoord kunnen worden door de ontvanger. Dit houdt in dat als een ontvanger geen gebruik maakt van een veilige e-mailoplossing het veilige e-mailbericht beantwoord moet kunnen worden in een portaal van de veilige e-mailoplossing van de verzender.

De leverancier van de veilige e-mailoplossing is hiervoor verantwoordelijk.

6.1.15 Continuïteit van ad-hocberichtenverkeer – doorsturen
Een veilig e-mailbericht moet doorgestuurd kunnen worden naar een andere ontvanger. De verantwoordelijkheid voor het veilig doorsturen van het e-mailbericht ligt dan bij degene die het bericht doorstuurt en niet meer bij de initiële verzender van het bericht.

De ontvanger (zorgaanbieder) die het bericht doorstuurt is verantwoordelijk voor het veilig doorsturen van het ontvangen veilige e-mailbericht.

6.1.16 Veiligheid als gemak
Wanneer er een keuze gemaakt moet worden tussen verschillende beveiligingsmaatregelen van de veilige e-mailoplossing dan moet altijd gekozen worden voor de meest veilige keuze. Een gebruiker (de organisatie op overkoepelend niveau) van veilige e-mail moet hierin ondersteund worden door standaard de keuzemogelijkheden op de veiligste keuze in te stellen.

De organisatie stemt dit bij een lokaal geïnstalleerde oplossing (on premise) waar nodig af met de leverancier van de veilige e-mailoplossing. Voor een cloud oplossing ligt deze verantwoordelijkheid bij de leverancier en wordt dit vastgelegd in de SLA.

6.1.17 Leesbaarheid
De ontvanger van het veilige e-mailbericht moet het bericht kunnen lezen zonder een account te hoeven aanmaken bij de veilige e-mailleverancier van de verzender. De gebruikte tekst en woordkeuze in de online-omgeving voor een ontvanger moet hierbij toegankelijk en begrijpbaar zijn voor een breed publiek.

De leverancier van de veilige e-mailoplossing is hiervoor verantwoordelijk.

6.1.8 Eigen kopie
Het moet mogelijk zijn voor de ontvanger van een veilig e-mailbericht om dit bericht met weinig moeite op te kunnen slaan in een bestandsformaat wat met reguliere software uit te lezen is. Bijvoorbeeld door het veilig e-mail bericht op te slaan als .EML bestand of als PDF bestand.

De leverancier van de veilige e-mailoplossing is hiervoor verantwoordelijk.

6.1.19 Dossierkoppeling. (niet verplicht)
De ontvanger kan mogelijk de inhoud van een veilig e-mailbericht met weinig moeite op slaan in het XIS. Bijvoorbeeld door het veilig e-mail bericht op te slaan als PDF bestand.

De leverancier van de veilige e-mailoplossing is hiervoor verantwoordelijk.

4

Download hier de beleidstukken

Lees voordat je aan de slag gaat met de zelfverklaring nog even het beleidsstukken document door. Het doel van dit document is om als blauwdruk te dienen voor het beleidsplan zoals deze vereist wordt in de NTA7516:2019 voor het uitwisselen van gegevens via veilige e-mail. In dit document worden de minimale vereisten vanuit de NTA behandeld met passende beleidsregels.

Download als pdf

5

Regel hier je zelfverklaring

Heb je alles doorgenomen? Dan ben je nu toe aan de laatste stap, het regelen van de zelfverklaring bij jouw leverancier. Met onderstaande knop ga je naar een pagina waar je kunt kiezen uit de verschillende leveranciers.

Start de zelfverklaring