Zo weet je zeker, dat je veilig mailt (volgens de AVG)

De AVG stelt strenge eisen aan het veilig mailen van persoonsgegevens. De Autoriteit Persoonsgegevens geeft aan dat je hiervoor ‘passende technische en organisatorische maatregelen’ moet nemen. Maar wat zijn die maatregelen en hoe weet je nu zeker dat je genoeg doet? Dan komt de NTA 7516 om de hoek kijken.

De NTA 7516 is een norm voor gegevensbescherming die in mei 2019 is geïntroduceerd als manier om de uitwisseling van alle privacygevoelige informatie die valt onder de AVG te beschermen. De regelgeving verduidelijkt wat er nodig is om ervoor te zorgen dat aan een aantal AVG-eisen wordt voldaan. Sterker nog, de Autoriteit Persoonsgegevens gebruikt de NTA 7516 als toetsingskader als daar aanleiding toe is, ook in het onderwijs.

Is de NTA 7516 relevant voor jou?

Als je persoonlijke gezondheidsinformatie per e-mail verwerkt, moet je een e-mailproduct gebruiken dat voldoet aan de NTA 7516 om compliance te garanderen. Dus niet alleen zorginstellingen, maar ook onderwijsinstellingen, gemeenten en financiële dienstverleners worden door de NTA 7516 geraakt.

Nieuw, maar ook weer niet

Ondanks dat de NTA 7516 een belangrijke stap is voor veilig communiceren, staat er eigenlijk niets nieuws in. Dit betekent dat er dus geen nieuwe wereld voor je open zou moeten gaan. Het zijn namelijk allemaal zaken die voortvloeien uit andere wetgeving en normenkaders, zoals de AVG, eIDAS vordering, NEN 7510 en NEN7510. Maar dan toegepast op ad hoc communicatie, waarvan e-mail het meest sprekende voorbeeld is. De enige nieuwe eis is interoperabiliteit. Dat betekent dat de systemen waarmee gecommuniceerd wordt, naadloos met elkaar moeten kunnen samenwerken. De leveranciers van deze systemen moeten dit mogelijk maken.

30 maatregelen uitrollen

De NTA 7516 – die je gratis kunt downloaden via de website van NEN – beschrijft welke maatregelen een organisatie moet nemen om vertrouwelijke informatie veilig te kunnen sturen en ontvangen via e-mail. Het beschrijft 30 maatregelen, die de organisatie moet nemen. 11 daarvan hebben deels of geheel met beleid te maken. Denk daarbij aan wie toegang heeft tot een mailbox en hoe om te gaan met fraude of datalekken. De overige maatregelen hebben betrekking op de techniek, waar een leverancier je overigens goed bij kan ondersteunen.

Waar sta je nu?

In welke mate voldoe je nu al aan de NTA 7516 en welke maatregelen moet je nog nemen? Met deze twee handige checklists kan je een goede inschatting maken. Met de ene checklist krijg je inzicht in de vereisten, waaraan de organisatie moet voldoen. De andere checklist kan je aan relevante leveranciers verstrekken om zeker te zijn dat de digitale ecosystemen van jouw organisatie aan de norm voldoen. Als je de volgende stap naar echt veilig mailen wilt zetten, krijg je met deze checklists een vliegende start.

Tip: webinar ‘Veilig mailen in het onderwijs’

Onderwijsinstellingen delen regelmatig via e-mail privacygevoelige informatie met verschillende stakeholders. Veilig mailen is daarom van groot belang. Vanwege wet- en regelgeving als AVG en NTA 7516. Maar nog belangrijker, we hebben te maken met de data van leerlingen, een kwetsbare doelgroep. Daar moeten we heel zorgvuldig mee omgaan.

Tijdens het opgenomen webinar ‘Veilig mailen in het onderwijs’ vertellen we hoe je dit aanpakt.