NTA 7516: kan uw organisatie patiëntgegevens al veilig versturen?

Vrijwel iedereen is het erover eens dat medische gegevens goed beschermd moeten worden. Tegelijkertijd vragen technologische ontwikkelen om snellere en gemakkelijkere uitwisseling van gegevens. Om de privacy van patiënten te beschermen, heeft de NEN recent een norm gepubliceerd, de NTA7516. Deze norm schrijft voor hoe medische gegevens online uitgewisseld moeten worden. Sinds vorig jaar zijn alle organisaties die medische gegevens vesturen verplicht hieraan te voldoen.

Sinds de invoering van de AVG in 2018 zijn bedrijven verplicht om maatregelen te nemen voor de bescherming van persoonsgegevens. De AVG is een algemene verordening en daarom ontbreekt het vaak aan technische details. NEN (Nederlands Normalisatie Instituut) heeft daarom in 2019 op verzoek van VWS (Ministerie van Volksgezondheid, Welzijn en Sport), Informatieberaad Zorg en Nederlandse gemeenten de NTA7516 ontwikkeld. Deze nieuwe norm heeft juist wel concrete eisen gesteld aan het versturen van persoonlijke medische gegevens. De NTA7516 is gepubliceerd in mei 2019 en daarmee direct van kracht geworden. Dit betekent dat alle zorginstellingen zoals bijv. ziekenhuizen, huisartspraktijken en tandartsen moeten voldoen aan de norm. Echter moeten ook andere instellingen zoals bijvoorbeeld gemeentes, sportbonden, verzekeraars en andere partijen zich houden aan deze norm bij het uitwisselen van persoonlijke medische gegevens.

Zes gecertificeerde technische oplossingen

Bij Ordina krijgen we regelmatig de vraag hoe organisaties NTA7516-conform kunnen worden. Op dit moment zijn er zes technische oplossingen die gecertificeerd zijn. Een organisatie dient gebruik te maken van één van deze zes partijen wil ze volledig voldoen aan de NTA7516. Ordina heeft de ervaring en expertise in huis om u hierbij onafhankelijk te helpen. Dit start met het analyseren van organisatieprocessen en opstellen van wensen/eisen. Op basis hiervan selecteren en implementeren wij de juiste technische oplossing en zorgen dat alle gebruikers een gedegen opleiding krijgen.

Alleen techniek is ontoereikend

Alleen het installeren van een technische oplossing is helaas ontoereikend om aan de NTA7516 te voldoen. Een organisatie moet namelijk ook een set aanvullende maatregelen implementeren. Voorbeelden van dergelijke maatregelen zijn bijvoorbeeld het gebruik van eHerkenning / DigID, beleid over het gebruik van een adresboek en handhaving van de norm door middel van logging. Ordina heeft de ervaring om uw organisatie succesvol te laten voldoen aan de NTA7516 norm door de installatie van een technische oplossing én de aanvullende maatregelen te borgen, zelfs bij complexe processen.

Zo werken we samen aan veilige communicatie binnen de zorg!

Schrijvers van deze blog zijn Eduard de Pinéda en Frank Westers, beiden cybersecurity consultants bij Ordina. Wilt u meer weten over veilige communicatie binnen het zorgdomein, neem dan contact op met Peter Groenewegen, Business lead Blue Team services of download hier de leaflet.