In de cloud voldoen aan NEN 7510 en NTA 7516

Voor zorg- en overheidsinstellingen die medische gegevens verwerken is het beveiligen van privacygevoelige informatie een must. Naast de AVG moet je daarom ook voldoen aan NEN 7510 en de NTA 7516. Onze techniek is er klaar voor, maar alleen de knop omzetten is niet voldoende.

Organisaties moeten voldoen aan NEN 7510 zodra er sprake is van het verwerken van privacy gevoelige patiënt informatie. Omdat veel organisaties op dit moment naar onze cloud migreren, krijgen we vaak de vraag of onze service voldoet aan NEN 7510. Deze vraag beantwoord je echter niet met een eenvoudige ja of nee. De normering is immers een samenspel van IT, beleid, processen, governance en compliance. Organisaties regelen hierdoor zelf een flink aantal zaken die buiten de verantwoordelijkheden van Microsoft liggen.

Alle functionele eisen aanwezig om te voldoen aan NEN 7510

Kun je dan met de Microsoft cloud voldoen aan de NEN 7510? Dan is het antwoord daarop volmondig ja. We hebben de eisen vanuit NEN 7510 vertaald naar de technische mogelijkheden van Microsoft 365, Azure en Dynamics 365. Daarnaast deed KPMG een audit op Office 365 en Azure en legden ze de resultaten vast in een rapport. Op verzoek kunnen we dit rapport met je  delen. Zowel de technische mapping als het KPMG-rapport vraag je aan via biorprt@microsoft.com

AVG-compliant werken met handige tools

Naast de NEN 7510 moeten zorgorganisaties ook voldoen aan de AVG. Dat betekent dat je datalekken moet voorkomen, ongeoorloofde toegang tot informatie moet verhinderen en verwerkingsactiviteit moet kunnen loggen. Ook dit is mogelijk in het Microsoft cloud-platform. Daarnaast krijg je via de Microsoft Compliance Manager en Microsoft Secure Score inzicht in de huidige security status van je Office 365-omgeving. Hier leg je ook vast welke maatregelen je hebt genomen om AVG-compliant te zijn.

Nieuw: verplicht veilig e-communiceren volgens NTA 7516

Werk je volgens NEN 7510 en ben je AVG compliant? Dan ben je er nog niet! Want alle zorginstellingen, inclusief alle overheidsorganisaties die privacygevoelige, medische gegevens uitwisselen moeten voldoen aan de nieuwe NTA 7516-norm. Dit betekent dat ad hoc communicatie van onder andere persoons-, bank- en medische gegevens via e-mail, chat en portalen veilig moeten zijn.

Extra technische eisen voor veilige communicatie

Om aan de NTA 7515-normering te voldoen, zijn DNSSEC en DANE de technische vereisten. Microsoft 365 en in het bijzonder Exchange Online ondersteunen nog geen DNSSEC en DANE. Daarnaast is er nog een tweede authenticatie nodig als er een e-mail naar een patiënt wordt gestuurd. Om dit mogelijk te maken is er een aanvullende oplossing voor Microsoft 365.

Sluit je NTA 7516-gecertificeerd aan op de zorgketen

Er zijn verschillende partijen die oplossingen bieden om met Microsoft 365 te kunnen voldoen aan de NTA 7516. Zo ontwikkelde Microsoft met Fenestrae Bastion 365 als aanvulling op Office en Microsoft 365. Met deze oplossing kun je voldoen aan NTA 7516.

Wil je hier meer over weten? Kijk dan op Bastion 365 – Veilig e-mailen en sluit je gecertificeerd aan op de beveiligde zorgketen.