De komst van de WvGGZ en NTA 7516 maakt veilige e-mail tot topprioriteit bij gemeenten

4 min lezen - gepubliceerd op 29 mei 2019

In mijn blog van een aantal maanden geleden kondigde ik hem al aan, maar nu is hij er sinds 15 mei dan echt: de NTA 7516, in de volksmond ook wel ‘de norm voor veilige e-mail in de zorg’ genoemd. Maar de norm gaat niet alleen over e-mail en niet alleen over de zorg. De norm geeft eisen aan alle vormen van communicatie waarbij mensen achter de knoppen zitten. Dit wordt in de norm ‘ad hoc communicatie’ genoemd, waaronder dus ook alle berichten vallen die worden verstuurd vanuit een portaal, zaaksysteem, via WhatsApp, etc. En hij is niet alleen voor de zorg: hij raakt alle organisaties die gezondheidsinformatie verwerken. Dus ook verzekeraars, arbodiensten en zeker ook gemeenten… Met de komst van de WvGGZ moet veilige e-mail conform de NTA 7516 al (ruim) voor 1 januari 2020 geregeld zijn. Gemeenten die nog geen veilige e-mail geregeld hebben, gaan dus drukke maanden tegemoet.

Waar komt de NTA 7516 vandaan?

In mijn eerdere blog vertelde ik al over het hoe en waarom van de norm. Daarom hier een samenvatting. Op verzoek van de Autoriteit Persoonsgegevens (AP), Ministerie van VWS, veldpartijen en koepels, heeft de NEN sinds oktober 2018 gewerkt aan de genoemde norm. Ruim 50 verschillende stakeholders uit het veld, van koepels tot individuele instellingen, tot belangenverenigingen en leveranciers, zijn in dit proces betrokken. Op 15 mei 2019 is de norm officieel gepubliceerd.

Het doel van de norm is er voor te zorgen dat organisaties gezondheidsinformatie altijd veilig versturen en delen. Ook schrijft de norm voor dat zorgaanbieders moeten werken met een communicatiedienstenaanbieder (verder: leverancier) die NTA 7516-gecertificeerd is. Certificering moet waarborgen dat verschillende leveranciers onderling met elkaar gekoppeld zijn, zodat de ontvangende partij geen last heeft van het feit dat de verzendende partij hierin een andere keuze heeft gemaakt. Net zoals je nu niet weet of degene die jou belt KPN, T-mobile, of Vodafone heeft. Ideaal!

Gemeenten aan de bak! En snel…

Nu de norm er is moeten alle stakeholders aan de bak! VWS heeft gesteld dat alle betrokken organisaties binnen 1 jaar aan de norm moeten voldoen. Daarna gaat de AP handhaven. In mijn presentatie op Zorgt&ICT in maart heb ik al uiteengezet wat er in de norm staat en welke maatregelen organisaties dus moeten gaan nemen. Naast de inhoud is het van belang om naar het proces te kijken. Officieel hebben partijen een jaar, dus tot 15 mei 2020, om aan de norm te voldoen, voor gemeenten (en voor alle stakeholders binnen de keten van de WvGGZ) komt de deadline al eerder.

Per 1 januari 2020 treedt de Wet op de Verplichte Geestelijke Gezondheidszorg (WvGGZ) in werking. Daarin speelt veilige e-mail conform de NTA 7516 een cruciale rol. In de factsheet WvGGZ zet de VNG uiteen wat de impact van de WvGGZ is voor gemeenten. Hierin wordt de NTA 7516 een aantal keer expliciet als vereiste genoemd als basis voor veilige uitwisseling van informatie in de WvGGZ-keten.

Als gemeenten dit voor 1 januari geregeld willen hebben, betekent dat, terugrekenend, dat zij

  • Uiterlijk in september
    • in kaart moeten hebben gebracht welke ad hoc communicatiestromen zij nu hebben,
    • wat daarin het ‘gat’ is met de vereisten van de NTA 7516
    • welk deel van dat gat met beleid gedicht kan worden en voor welk deel van het gat leveranciers nodig zijn
    • welk deel van de gaten door de huidige leverancier, als die er al is, opgevuld kan worden
    • of het nodig is een of meer aanvullende leveranciers te contracteren of dat overstappen van leverancier beter is
  • Uiterlijk in oktober
    • Marktonderzoek afgerond te hebben naar mogelijkheden van leveranciers
    • Contractering met nieuwe leveranciers (in vergevorderd stadium) afgerond te hebben
    • Nieuw/aanvullend beleid uitgewerkt te hebben
  • Uiterlijk in november
    • Starten met voorbereiding implementatie nieuwe leveranciers
    • Starten met voorbereiding nieuw beleid
  • Uiterlijk in december
    • Technische implementatie nieuwe leveranciers
    • Introductie nieuwe leveranciers en nieuw beleid onder medewerkers
    • Inregelen monitoring rondom naleving etc.

Ik neem aan dat jullie snappen dat dit een behoorlijk krappe planning is. Idealiter liggen alle deadlines 1 of 2 maanden eerder. Zeker omdat ik verwacht dat de meeste gemeenten tot de conclusie komen dat hun huidige werkwijze en/of leverancier vervangen of aangevuld moet worden. Er zijn namelijk al diverse (grote) leveranciers die te kennen hebben gegeven de inspanning om aan de norm te voldoen niet te willen of kunnen leveren…

Wat de norm inhoudt voor gemeenten

We merken dat de norm onder gemeenten een actueel onderwerp is. Maar we merken ook dat er veel vragen zijn over wat, hoe en wanneer. De norm schetst namelijk circa 20 eisen waar organisaties aan moeten voldoen. Voorbeelden zijn sterke authenticatie conform eIDAS substantieel voor zowel alle medewerkers als alle ontvangers, veilig kunnen antwoorden, veilig kunnen doorsturen, ontvangers mogen geen apart account en software nodig hebben, interoperabiliteit tussen leveranciers, etc. Maar wat dit precies betekent?

Alles over de norm NTA 7516

In dit blog heb je meer kunnen lezen over de NTA7516. Er is meer informatie beschikbaar over dit onderwerp op onze pillar page. Meer informatie over de nieuwe norm over ad hoc communicatie vind je via onderstaande knop.

Lees alles over de NTA 7516

 

Picture of Rick Goud

Rick Goud

Rick heeft ruim 6 jaar gewerkt als strategieconsultant in de gezondheidszorg bij Gupta Strategists. Hij studeerde medische informatiekunde aan de UvA en Zorgmanagement aan de Erasmus Universiteit. Daarnaast is hij gepromoveerd in de Geneeskunde aan de UVA op de ontwikkeling, implementatie en evaluatie van beslissingsondersteunende systemen in de zorg. Tijdens zijn studie heeft Rick een aantal jaar als programmeur gewerkt. Het idee achter ZIVVER ontstond tijdens zijn werk als strategieconsultant. Overal waar hij kwam werd veel met gevoelige data gewerkt zoals patiëntgegevens, prijsafspraken, marktprestaties, contracten etc. Bij elke klant speelden vragen over veiligheid van de data, hergebruik van de data, etc. Regelmatig zag hij dat gebruik gemaakt werd van oplossingen waarbij de veiligheid en beheersbaarheid onduidelijk was. Op basis hiervan zag hij dat er een duidelijke behoefte was aan een oplossing zoals ZIVVER die biedt.