Waarom jouw huidige e-mail waarschijnlijk geen veilige e-mail meer mag heten

5 min lezen - gepubliceerd op 21 juni 2019

De kans is groot dat jouw organisatie inmiddels veilige e-mail heeft. Anders hebben je CISO, ISO, FG, CEO en andere bestuurders zitten slapen. De kans is echter ook groot dat die ‘veilige e-mail’ eigenlijk helemaal niet zo veilig is. Sommige mensen zien het aanzetten van encryptie, zogenaamde opportunistische TLS, al als veilige e-mail, terwijl andere claimen dat e-mail helemaal niet veilig te krijgen is. Gelukkig is er nu duidelijkheid. In mei heeft de NEN een norm voor veilige ‘ad hoc communicatie’ uitgebracht. Deze norm biedt duidelijkheid over wanneer iets veilige e-mail mag heten. De eisen zijn pittig, maar het belang ervan is steeds helder onderbouwd. Een goed moment dus om de keuze die je maakte toen je ‘echt snel iets moest hebben’ nog eens tegen het licht te houden.

E-mail is de zwakste schakel onder de AVG

Sinds de introductie van de Algemene Verordening Gegevensbescherming (AVG of GDPR) hebben bedrijven een verantwoordelijkheid om te zorgen dat persoonsgegevens niet in verkeerde handen vallen. Waarschijnlijk is ook jouw organisatie bezig geweest om de basis op orde te krijgen. Hieronder viel waarschijnlijk ook het implementeren van veilig e-mailen en/of bestanden delen. Want in 2018 werden in Nederland bij de Autoriteit Persoonsgegevens (AP) bijna 21.000 datalekken gemeld en het grootste deel van die lekken ontstond door fouten van eigen medewerkers tijdens het e-mailen en bestanden delen. Organisaties moesten eigenlijk wel aan de veilige e-mail, want e-mail is een wijdverbreide en essentiële manier van communiceren. Gemiddeld zijn werknemers 1 tot 2 uur per dag (= 12-25% van de werkdag!) bezig met het sturen of lezen van e-mails. Verbieden kan dus niet. Daar waar geprobeerd wordt te gaan communiceren via portalen, faalt dit vrijwel altijd of blijft een significante stroom e-mail bestaan. Niets is zo moeilijk als het gedrag van medewerkers veranderen.


Veel veilige e-mail blijkt niet veilig te zijn

Beveiliging van e-mail is dus nodig en de markt biedt diverse oplossingen. Vanwege de grote implementatielast van de AVG ontbrak het bij veel organisaties aan tijd en kennis om goed te bepalen wat een oplossing moet bieden om echt veilig te zijn. Het was moeilijk om het kaf van het koren te scheiden. Gelukkig is er nu een norm die duidelijkheid geeft over wat veilige e-mail echt is: de NTA 7516. Hieronder valt alle ‘ad hoc’ communicatie van gezondheidsinformatie. Dit is volgens de norm ‘alle communicatie waarvoor een verzender specifiek voor het geval en de situatie besluit om een bericht te versturen’. Een typisch voorbeeld hiervan is natuurlijk e-mail. Maar de norm is veel breder. Alle ad hoc communicatie vanuit apps en portalen valt ook onder de norm. Dus ook alle berichten die worden verstuurd vanuit een EPD, HIS, CRM of Zaaksysteem. Of via een messenger platform zoals WhatsApp, Threema, Signal en ga zo maar door.

We houden het in dit artikel bij e-mail: de belangrijkste en meest gebruikte vorm van communiceren. De norm beschrijft ruim twintig eisen waaraan organisaties, samen met hun aanbieder van communicatiediensten moeten voldoen. Wij bespreken de ‘spannendste’ eisen:

  • Sterke authenticatie van medewerkers. Dus alleen toegang tot gevoelige informatie na sterke authenticatie. Als jouw medewerkers bij hun e-mail kunnen vanaf een computer met Outlook of mobiele telefoon met bijvoorbeeld Apple Mail of Thunderbird met alleen een wachtwoord, is dit verre van toereikend. Twee-factor authenticatie is een eis!
  • Sterke authenticatie van ontvangers. Je mag e-mails alleen versturen als je zeker weet dat de mailbox van de ontvanger beveiligd is met sterke authenticatie. Vergelijkbaar met de mailboxen van jouw eigen medewerkers. Als je dat niet zeker weet, mag je de mail alleen sturen als je de sterke authenticatie regelt, dus bijvoorbeeld via een eenmalige code via SMS.
  • Sterke beveiliging tijdens transport en bij opslag. Informatie mag niet leesbaar in handen van onbevoegden komen. Klinkt makkelijk, maar weet je of en hoe jouw leverancier gegevens versleutelt? Waarschijnlijk niet. Maar de kans is groot dat hij dit niet goed doet: de meeste partijen versleutelen wel gegevens, maar hebben zelf de sleutel. Dit is het geval bij vrijwel alle grote cloudpartijen, waaronder Microsoft en Google. En Amerikaanse partijen die vallen onder de Cloud Act geven nog meer kopzorgen.
  • Gebruiksvriendelijk en veilig voor de verzender en ontvanger. Zonder gebruiksvriendelijkheid gaan gebruikers omwegen zoeken en komt de veiligheid in het gedrang, stelt de norm. Daarom stelt deze eisen, zoals

- veilig versturen moet de standaard zijn (dus security by default),
- de ontvanger mag niet gedwongen worden een account aan te maken,
- de ontvanger hoeft geen aparte software te installeren,
- veilig antwoorden op berichten moet mogelijk zijn,
- de professional moet een mogelijkheid bieden waarmee ‘normale personen’ zelf het initiatief kunnen nemen om veilig te communiceren met de professional,
- ontvangers moeten berichten veilig kunnen doorsturen,
- berichten moeten eenvoudig aan een (medisch) dossier kunnen worden toevoegd.

  • Volledige logging. Hieronder valt het bijhouden van alle gebeurtenissen met betrekking tot het versturen en raadplegen van berichten en toegang tot loggegevens. Veel oplossingen bieden op dit moment geen enkele vorm van logging, laat staan de specifieke logging die de NTA 7516 eist.
  • Interoperabiliteit tussen organisaties die NTA 7516-proof zijn. Alle leveranciers moeten, als ze nog oplossing voor veilige e-mail willen heten, met elkaar kunnen praten. VWS bepaalt op dit moment het technisch koppelvlak. Jouw oplossing zal met dit koppelvlak moeten kunnen werken.

Veilig e-mailen betekent voldoen aan de NTA 7516

Bovenstaande punten maken dat op dit moment geen enkele organisatie aan de NTA 7516 voldoet. Dit komt doordat nog geen enkele leverancier volledig aan alle eisen van de NTA 7516 voldoet. Daarvoor bestaan twee redenen. In de eerste plaats bestaat voor leveranciers een certificeringsplicht en die certificering bestaat op dit moment nog niet. In de tweede plaats brengt de NTA 7516 voor elke leverancier een ontwikkelagenda met zich mee. We maken met deze norm echt een grote stap en die vergt een flinke inspanning. Onlangs maakten wij als eerste bekend dat ZIVVER voor volledige NTA 7516-compliance gaat.

Een aantal grote spelers, zoals Microsoft, heeft aan VWS aangegeven (voorlopig) niet aan de norm te voldoen, omdat hun huidige oplossingen te ver af staan van wat de norm ziet als veilige e-mail. Zij zien geen mogelijkheden om deze brug op korte termijn te slaan. Er zijn ook leveranciers die nu al zeggen aan de NTA 7516 te voldoen of dat ze dat snel zullen doen. Dat is helaas te mooi om waar te zijn. De eisen zijn stevig en vragen om leveranciers die echt aan de bak gaan om hun dienstverlening volledig in lijn met de norm te krijgen.

De norm heeft ook impact op jouw organisatie. Net als je leverancier, moet ook je organisatie straks voldoen aan de eisen van de norm. Kijk daarom nog eens goed naar je huidige inrichting en de oplossing die je gebruikt. Vraag je IT-manager en CISO naar hun visie op compliance aan de NTA 7516. Hopelijk zijn ze er al mee bezig. Zo niet, dan is dit hét moment om in actie te komen. Voldoen aan de NTA 7516 komt echt niet aanwaaien. Daarvoor moet je als organisatie flink aan de bak. En moet je heel kritisch kijken naar de huidige leverancier. Ga er niet klakkeloos vanuit dat iedereen aan de NTA 7516 zal gaan voldoen. Stel de juiste vragen en de juiste eisen. Ook aan ons. Wij gaan de uitdaging aan!

Rick Goud, CEO

Ben je benieuwd hoe de oplossing voor veilig mailen van ZIVVER er uitziet? Alle features in een notendop vind je in onze productsheet.

Lees alles over de NTA 7516

Picture of Rick Goud

Rick Goud

Rick heeft ruim 6 jaar gewerkt als strategieconsultant in de gezondheidszorg bij Gupta Strategists. Hij studeerde medische informatiekunde aan de UvA en Zorgmanagement aan de Erasmus Universiteit. Daarnaast is hij gepromoveerd in de Geneeskunde aan de UVA op de ontwikkeling, implementatie en evaluatie van beslissingsondersteunende systemen in de zorg. Tijdens zijn studie heeft Rick een aantal jaar als programmeur gewerkt. Het idee achter ZIVVER ontstond tijdens zijn werk als strategieconsultant. Overal waar hij kwam werd veel met gevoelige data gewerkt zoals patiëntgegevens, prijsafspraken, marktprestaties, contracten etc. Bij elke klant speelden vragen over veiligheid van de data, hergebruik van de data, etc. Regelmatig zag hij dat gebruik gemaakt werd van oplossingen waarbij de veiligheid en beheersbaarheid onduidelijk was. Op basis hiervan zag hij dat er een duidelijke behoefte was aan een oplossing zoals ZIVVER die biedt.