8 feiten en fabels over de NTA 7516

6 min lezen - gepubliceerd op 28 augustus 2019

In mei heeft de NEN een norm voor veilige ‘ad hoc communicatie’ van gezondheidsinformatie uitgebracht, de NTA 7516. In mijn vorige blog heb ik stilgestaan bij de grote impact die deze norm zal hebben op organisaties. Inmiddels merken wij dat veel organisaties die gezondheidsinformatie verwerken de NTA 7516 willen gebruiken om hun huidige oplossing en processen te beoordelen of als basis bij het selecteren van een leverancier. Tegelijkertijd zien we dat er veel verwarring is rondom de gevolgen van de norm. Dit komt doordat organisaties de norm nog niet volledig hebben doorgrond en doordat leveranciers onjuiste en/of onvolledige informatie verstrekken. Daarom zetten wij in dit blog een aantal feiten en fabels over de NTA 7516 op een rijtje. We introduceren een vragenlijst die organisaties helpt om een beter beeld te krijgen van leveranciers en op welke onderdelen van de NTA zij de organisatie kunnen helpen.

Feiten en Fabels

1. De NTA 7516 geldt alleen voor zorgorganisaties.

Fabel. De NTA 7516 heeft betrekking op organisaties en professionals die gezondheidsinformatie uitwisselen. Hieronder vallen dus ook gemeenten, het OM, verzekeraars, etc. Daarnaast zien we ook al dat eisen uit de NTA 7516 in andere sectoren (juridisch) en in andere landen (België) worden gebruikt in selectietrajecten. De NTA 7516 geldt ook voor leveranciers die diensten willen blijven leveren aan organisaties voor ad hoc communicatie van gezondheidsinformatie.

2. De scope van de NTA 7516 is beperkt tot veilig e-mailen.

Fabel. De NTA 7516 gaat over alle ad hoc communicatie, waaronder het gebruik van e‐mail,  chat- en messengerapplicaties (al dan niet aangeboden via een berichtenportaal). Dus dat soort applicaties zullen ook aan de NTA 7516 moeten voldoen en zich hierop laten certificeren. Wel is het zo dat op dit moment voor het onderdeel interoperabiliteit, dus het koppelen van applicaties, alleen een specificatie is geschreven die over e-mail gaat. Deze staat in de zogenaamde technische handreiking, een addendum bij de NTA 7516. Een traject om te beschrijven hoe chatapplicaties aan elkaar gekoppeld moeten worden, wordt volgens VWS binnenkort gestart.

3. Alle organisaties die gezondheidsinformatie uitwisselen via e-mail, chat, messengers of portalen moeten voldoen aan de NTA 7516.

Feit. Tenzij organisaties besluiten geen gezondheidsinformatie meer digitaal ad hoc uit te wisselen, dus of stoppen met communiceren of (weer) brieven gaan gebruiken, moeten organisaties voldoen aan de NTA 7516. Zelfs de Autoriteit Persoonsgegevens vermeldt dat de NTA 7516 voorwaarden stelt aan de technische en organisatorische maatregelen die je moet treffen wanneer jouw organisatie gezondheidsinformatie uitwisselt.

4. Voldoen aan de NTA 7516 is nog niet mogelijk.

Feit. Hoewel je als organisatie zelf mag beoordelen of je aan de NTA 7516 voldoet, moet je wel leveranciers gebruiken die gecertificeerd zijn voor (delen van) de NTA 7516. Maar die certificering bestaat nog niet. En het toetsingskader voor certificering wordt op dit moment nog opgesteld door de NEN. Deze is op zijn vroegst eind dit jaar klaar, waarna de eerste leveranciers vanaf begin 2020 kunnen opgaan voor certificering. Met VWS, de NEN en leveranciers is daarom ook afgesproken dat leveranciers niet mogen stellen dat zij 'voldoen aan de NTA 7516’. Wel moet je als organisatie natuurlijk alvast beginnen met de zelfbeoordeling en leveranciers kritisch bevragen.

5. Het hebben van een leverancier die NTA 7516 gecertificeerd is, is voldoende om als organisatie ook aan de NTA 7516 te voldoen.

Fabel. Een grote fabel. De NTA 7516 beschrijft 21 elementen waar de organisatie aan moet voldoen: 19 criteria + beleid over gebruik + loggingseisen. Een leverancier hoeft maar aan één van die eisen te voldoen om zich op dat onderdeel te laten certificeren. Leveranciers zullen dan zeggen ‘te voldoen’ aan de NTA 7516. Maar in dat geval zal de organisatie met andere leveranciers aan de gang moeten om aan de andere 20 eisen te voldoen. Het is daarom essentieel dat organisaties de juiste vragen aan leveranciers te stellen.

6. Organisaties hoeven pas op 16 mei 2020 te voldoen aan de NTA 7516.

Fabel. Zodra een NEN-norm is gepubliceerd, is deze actief. Vanaf dat moment moeten organisaties voldoen aan deze norm. In dit geval was de publicatiedatum 16 mei 2019. Zeker wanneer organisaties contracten gaan verlengen, vernieuwen of selectietrajecten uitvoeren is het essentieel om daarbij de eisen uit de NTA 7516 over te nemen en aan te vullen met aanvullende eisen. De datum 16 mei 2020 is de uiterlijke datum waarop leveranciers hebben afgesproken het onderdeel interoperabiliteit geïmplementeerd te hebben. Het onderdeel interoperabiliteit is slechts een van de 21 onderdelen uit de NTA 7516.

7. Als ik voldoe aan de NTA 7516 kan ik e-mail gaan inzetten ter vervanging van brieven en de fax.

Feit. Op dit moment worden de fax en brieven vaak nog gebruikt omdat organisaties en professionals niet zeker weten of het gebruik van e-mail is toegestaan. Sinds de AVG zijn veel organisaties ook weer brieven gaan sturen. Het doel van de NTA 7516 is onder andere duidelijkheid geven over wat er onder veilige ad hoc communicatie, zoals e-mail wordt verstaan, zodat dit middel als volwaardige methode voor gegevensuitwisseling in de zorg kan worden ingezet. Als organisaties voldoen aan de NTA 7516 kunnen ze e-mail dus vaker inzetten in het zorgproces, met snellere communicatie en aanzienlijke kostenbesparingen tot gevolg!

8. De oplossing die ik gebruik heeft aangegeven ook volledig te gaan voldoen aan de NTA 7516.

Fabel, waarschijnlijk. Zoals eerder aangegeven bevat de NTA 7516 21 elementen waar de organisatie aan moet voldoen. Daarvan zijn er 19 waar een leverancier of technische oplossing voor nodig is. De multikanaalcommunicatie-eis, ook wel interoperabiliteit genoemd, is (voorlopig) verplicht voor leveranciers. Alle leveranciers zullen aanpassingen aan hun software moeten doen. Niet alleen om aan de interoperabiliteitseis te voldoen: ook de andere eisen vragen vele maanden tot jaren ontwikkelwerk. Alleen leveranciers die al langere tijd bezig zijn om deze aanpassingen in hun software door te voeren, die aanzienlijk kunnen en willen investeren en die Nederland interessant genoeg vinden, zullen gaan voldoen. Zelfs een partij als Microsoft heeft bij VWS aangegeven niet tijdig te kunnen voldoen. 

De juiste vragen stellen

Zoals gezegd merken wij dat organisaties worstelen om er achter te komen wat ze van een leverancier kunnen verwachten. We horen vaak van organisaties ‘mijn leverancier zegt dat ie daaraan voldoet’, maar ze weten niet hoe ze dat moeten staven. Neem als voorbeeld de eis ‘Herkomstbevestiging’ (6.1.5). Daarin staat de grenswaarde “De authenticatiemethode moet minimaal een betrouwbaarheidsniveau met het niveau ‘substantieel’ hebben conform UeIDAS”. Om er achter te komen of de leverancier mogelijk kan helpen bij het voldoen aan dit onderdeel, heeft het weinig waarde om te vragen ‘Voldoen jullie hieraan?’. Want het antwoord ‘Ja’ is dan makkelijk gegeven, heb ik gemerkt. Vragen die beter gesteld kunnen worden zijn bijvoorbeeld: 

  • Op welke manier regelt de oplossing authenticatie op niveau "substantieel" van medewerkers volgens UeIDAS?
  • Hoe vaak moet de medewerker zich opnieuw authenticeren binnen de oplossing?
  • Op welke wijze wordt de authenticatie binnen de oplossing geregistreerd/gelogd? 
  • Hoe heeft de organisatie controle over het authenticatiemiddel van de medewerker?

Om organisaties te helpen bij het inventariseren van wat leveranciers voor hen kunnen betekenen bij het voldoen aan de NTA 7516 hebben we daarom een vragenlijst in Excel opgesteld. Deze vragenlijst bevat verdiepende vragen op alle relevante onderdelen van de NTA 7516. Pas als een leverancier dit soort vragen goed weet te beantwoorden, kun je er als organisatie met iets meer zekerheid op vertrouwen dat hij weet waar hij over praat. Deze vragenlijst kun je hier downloaden.

De norm begrijpelijk en toepasbaar maken

Met bovenstaande feiten en fabels hoop ik organisaties wat meer duidelijkheid te geven over wat de NTA 7516 nu wel en niet inhoudt. Als u ook specifieke vragen heeft over de NTA 7516, horen wij dat graag. Wij zullen binnenkort een aparte pagina op onze website maken om de lijst continu uit te breiden. Ook hoop ik dat onze vragenlijst organisaties ook helpt om de juiste keuzes te maken en tijd te besparen. Want de tijd dringt. Zeker voor gemeenten en GGZ-instellingen, die in verband met de WvGGZ al ruim voor 1 januari een oplossing moet hebben die minimaal interoperabel is conform de NTA 7516. Ik hoor het ook graag als organisaties hier feedback op hebben of als er behoefte is aan andere of aanvullende instrumenten. In beide gevallen kunnen organisaties mailen naar rick.goud@zivver.com.

Zoals ook in andere blogs aangegeven zijn wij grote voorstander van de NTA 7516. We denken dat het ten goede komt aan de privacy en efficiëntie van de zorg door snellere en betere informatie-uitwisseling. We hopen met dit soort blogs bij te dragen aan het begrijpelijk en toepasbaar maken van de NTA 7516. De komende maanden zal namelijk iedereen er mee aan de gang moeten. Zorgt dat je niet te laat bent!

Alles over de norm NTA 7516

In dit blog heb je meer kunnen lezen over de NTA7516. Er is meer informatie beschikbaar over dit onderwerp op onze pillar page. Meer informatie over de nieuwe norm over ad hoc communicatie vind je via onderstaande knop.

Lees alles over de NTA 7516

Picture of Rick Goud

Rick Goud

Rick heeft ruim 6 jaar gewerkt als strategieconsultant in de gezondheidszorg bij Gupta Strategists. Hij studeerde medische informatiekunde aan de UvA en Zorgmanagement aan de Erasmus Universiteit. Daarnaast is hij gepromoveerd in de Geneeskunde aan de UVA op de ontwikkeling, implementatie en evaluatie van beslissingsondersteunende systemen in de zorg. Tijdens zijn studie heeft Rick een aantal jaar als programmeur gewerkt. Het idee achter ZIVVER ontstond tijdens zijn werk als strategieconsultant. Overal waar hij kwam werd veel met gevoelige data gewerkt zoals patiëntgegevens, prijsafspraken, marktprestaties, contracten etc. Bij elke klant speelden vragen over veiligheid van de data, hergebruik van de data, etc. Regelmatig zag hij dat gebruik gemaakt werd van oplossingen waarbij de veiligheid en beheersbaarheid onduidelijk was. Op basis hiervan zag hij dat er een duidelijke behoefte was aan een oplossing zoals ZIVVER die biedt.