UITGELICHT: VEILIGE MAIL

“Wie niet mee kan komen,
is out of business”

Leveranciers van veiligemailprogramma's

Bekijk ook de video van de Projectathon Veilige mail

Mailen in de zorg mag. Mits het veilig gebeurt. Wat we onder veilig mailen verstaan, is onlangs vastgelegd in de norm NTA 7516. Het project Veilige Mail van het Informatieberaad Zorg maakt de stappen zichtbaar om veilig mailen in het zorgveld praktisch werkbaar te maken.

Tijdens de projectathon op 17 december 2019 ontmoetten 7 leveranciers van veilige mailprogramma’s elkaar om hun product langs de NTA-meetlat te leggen. de interoperabiliteit van de verschillende systemen werd onder de loep genomen. Tim Postema, manager directie informatiebeleid (CIO Office) bij ministerie van VWS, noemt de uitkomst veelbelovend. Hij onderscheidt drie stappen in het project Veilige Mail.

STAP 1: Van ‘niks’ naar NTA 7516

“In de zorg blijft de behoefte om te mailen enorm, doordat veel systemen voor het uitwisselen van informatie nog niet optimaal werken. Maar bij het versturen en ontvangen van persoonlijke gezondheidsinformatie, is veiligheid essentieel. De AVG heeft het werkveld daar opnieuw van bewust gemaakt. Het project Veilige Mail heeft geleid tot afspraken over wat veilig mailen inhoudt en dat het noodzakelijk is dat de verschillende veilige mail producten onderling met elkaar kunnen communiceren. Maar ‘veilig’ betekent niet alleen technisch versleutelen. Vastleggen wie bevoegd is de mail te openen en in te zien en hoe dat te doen bij afwezigheid hoort daar bijvoorbeeld ook bij. Voorwaarde is dat mailen ook praktisch werkbaar moet blijven. Al deze afspraken staan in de NTA 7516, die medio mei 2019 is gepubliceerd en waaraan veilige mail producten medio mei 2020 moeten voldoen. Het toewerken naar een NTA heeft goed geholpen om afspraken te maken tussen leveranciers. Bovendien biedt het document handvatten voor de inspectie en de Autoriteit Persoonsgegevens. Het is overzichtelijk en behapbaar.”

STAP 2: De projectathon

“Alle leveranciers van veilige mail producten hebben de afspraken van de NTA 7516 verwerkt in hun producten, of zijn daar nog mee bezig. Om de stand van zaken van interoperabiliteit zichtbaar te maken, werd op 17 december 2019 de projectathon Veilige Mail georganiseerd. Dat was als het ware de eerste praktijktest: kun je nu productonafhankelijk versturen en ontvangen? Je zet de leveranciers bij elkaar om te toetsen of ze in een veilige omgeving met elkaar kunnen communiceren. Het mooie van deze vorm is dat commerciële belangen geen rol spelen. Ontwikkelaars kunnen kennis delen en elkaar verder helpen.”

STAP 3: Op naar de NEN-certificering

“De resultaten zijn veelbelovend. Alleen al het feit dat we hebben aangetoond dat je productonafhankelijk dezelfde mail kunt ontvangen en versturen, is een verademing voor de gebruikers. Veel zorginstellingen hebben nu namelijk twee of drie verschillende programma’s in gebruik om dit te realiseren. Dat is geen werkbare situatie. Hoewel er nog werk aan de winkel is voor alle partijen, is aangetoond dat de verschillende producten interoperabel zijn. Wie geslaagd is voor de projectathon-test, heeft grote kans dat zijn product straks in mei 2020 voldoet aan de NEN 7510. Er zijn ook leveranciers die niet mee konden doen, omdat ze nog niet zover waren. Die moeten echt aan de bak. Maar niet alleen de leveranciers hebben werk te doen. Ook gebruikers moeten stappen maken om aan de NEN te voldoen. Want technisch gezien kan het allemaal goed geregeld zijn, het gebruik moet ook veilig zijn. Hoe ga je bijvoorbeeld om met groepsaccounts, of met een collega die de hele dag zijn mailbox op het scherm open heeft staan? Want dan voldoe je nog steeds niet de norm. Die organisatorische factoren aan de gebruikerskant moeten ook goed ingeregeld worden in het zorgveld.”

Praktijktest met InteropLAB
Voor deze praktijktest is gebruikgemaakt van het InteropLAB van MedicalPHIT. Van het NTA is een testscript gemaakt om de NTA en de werkbaarheid ervan te testen. Met behulp van InteropLAB zijn de testscenario’s gemodelleerd en in een technische opstelling beschikbaar gesteld voor de leveranciers. Hiermee kon het berichtenverkeer tussen de verschillende componenten van veilig mailen conform NTA 7516 worden getoetst.