Voor uw organisatie is het belangrijk om te voldoen aan de laatste wet- en regelgeving, SmartLockr helpt u hiermee. Als u ons product op de juiste wijze implementeert dan voldoet u aan de NTA 7516. Daar helpen wij u uiteraard mee.
Ons product levert u de basis hiervoor, echter kunnen wij dit niet volledig voor u wegnemen. U dient zelf een aantal stappen uit te voeren, deze vindt u hieronder.
Mocht u vragen hebben over onderstaande stappen dan kunt u contact opnemen met ons customer success team.
A: Configuratie van SmartLockr.
A.1. E-mails via uw eigen domein
A.2. Veilig e-mailen als standaard ingesteld
A.3. Beantwoorden & doorsturen van berichten inschakelen
A.4. Leesbaarheid
A.5. Upload portaal opzetten
B: Configuratie van uw (e-mail)systemen
B.1. Beveilig de toegang tot uw e-mailomgeving
B.2. Beveilig de opslag van uw e-mails
B.3. Log inkomend en uitgaand mailverkeer
NTA 7516 beschrijft in het reeds genoemde hoofdstuk 6.4.2 dat onder meer de volgende gebeurtenissen geregistreerd ('gelogd') moeten worden:
- alle gebeurtenissen met betrekking tot het versturen van ad‐hoc berichten (ongeacht of deze succesvol waren);
- het intrekken van verzonden ad‐hoc berichten;
- het wijzigen van verzonden ad‐hoc berichten;
- het verwijderen (bij de verzender) van verzonden ad‐hoc berichten;
- alle gebeurtenissen met betrekking tot het ontvangen van ad‐hoc berichten;
- het raadplegen van ontvangen ad‐hocberichten;
- het verwijderen van ontvangen ad‐hoc berichten;
- het doorsturen van ontvangen ad‐hoc berichten;
- het aanmaken en opheffen van een e‐mail‐en/of chataccount; en
- het toekennen, wijzigen en intrekken van rechten aan een e‐mail‐en/of chataccount.
B.4. De verzender van een e-mail is onmiskenbaar
B.5. Veilig versturen van e-mails aan andere NTA 7516 partijen
B.6. Directe communicatie naar andere NTA 7516 partijen
C: Beleid en regels
C.1. Minimale eisen vastleggen
C.2. Authenticatie verstrekken aan medewerkers om ad-hocberichten te verzenden
C.3. Gebruik van SmartLockr binnen organisatie
C.4. Toezicht en naleving van beleid
D: Dossierkoppeling opzetten (Optioneel)
A: Configuratie van SmartLockr
A.1. E-mails via uw eigen domein
Eis: Ad-hocberichten mogen niet in handen van onbevoegden komen.
Implementatie: Op ervoor te zorgen dat uw klanten altijd contact zoeken met uw organisatie is het van belang dat alle communicatie die SmartLockr verzendt via uw domein loopt.
Volg de instructie om uw eigen e-mail domeinen in te stellen om hieraan te voldoen:
https://support.smartlockr.eu/hc/nl/articles/360008790560-Hoe-stel-ik-e-mail-domeinen-in-
Hiermee voldoet u aan eisen voor gegevensvertrouwelijkheid (6.1.9) en communicatievertrouwelijkheid (6.1.11).
A.2. Veilig e-mailen als standaard ingesteld
Eis: De veiligste keuze moet standaard ingeschakeld zijn wanneer een e-mail verzonden wordt.
Implementatie: Tijdens de installatie van SmartLockr zorgen wij er altijd voor dat de hoogst mogelijke veiligheid ingeschakeld wordt. Dit doen wij samen met u tijdens de onboarding van uw organisatie als klant. Zo zorgen we er samen voor dat u aan de NTA 7516 voldoet.
Hiermee voldoet u aan eis veiligheid als gemak (6.1.16).
A.3. Beantwoorden & doorsturen van berichten inschakelen
Eis: Het moet voor ontvangers mogelijk zijn te reageren op een bericht en om een bericht door te sturen.
Implementatie: Tijdens de installatie van SmartLockr worden beide functies voor beantwoorden en doorsturen ingeschakeld. Binnen het admin portaal kunt u dit zien door te navigeren naar Gebruikers en kiest voor e-mailinstellingen.
Hiermee voldoet u aan de eisen Continuïteit van ad-hocberichtenverkeer (6.1.14 & 6.1.15).
A.4. Leesbaarheid
Eis: Ad-hocberichten dienen te voldoen aan digitale toegankelijkheid.
Implementatie: SmartLockr voldoet standaard aan de gestelde richtlijnen voor digitale toegankelijkheid. Echter kan het zijn dat hiervan afgeweken wordt als u een eigen huisstijl heeft ingesteld. Het kan dan namelijk voorkomen dat er onvoldoende contract is tussen de achtergrond en de tekst. Twijfelt u hierover, dan kunt u contact met ons opnemen en helpen wij u hiermee.
Hiermee voldoet u aan de eis leesbaarheid (6.1.17).
A.5. Upload portaal opzetten
Eis: Biedt personen een manier aan om veilige communicatie met uw organisatie te initiëren.
Implementatie: Door een upload portaal aan te maken en aan te bieden op uw website kunt u aan deze eis voldoen. Het is hierbij wel van belang dat u de identiteit van de verzender verifieert. Dit kan door telefonisch contact op te nemen met de persoon op basis van gegevens die u reed in uw systeem heeft ontvangen. Wij raden u aan dit in het beleid op te nemen dat u voor NTA 7516 dient op te stellen (zie punt C.3 en verder).
Hiermee voldoet u aan de eis door personen geïnitieerd ah-hocberichtenverkeer (6.5).
B: Configuratie van uw e-mailsysteem
B.1. Beveilig de toegang tot uw e-mailomgeving
Eis: Alle gebruikers moeten met twee factor authenticatie (2FA) inloggen alvorens zij e-mails kunnen versturen or ontvangen.
Implementatie: In de praktijk betekent dit dat u toegang tot de mailboxen moet beveiligen met twee factoren. Dus een combinatie van wachtwoord met token of SMS. Dit kan ingesteld zijn op applicatie niveau (Outlook login) of op systeem niveau (Desktop login).
Hiermee voldoet u aan de eisen voor herkomst bevestiging (6.1.5), onweerlegbaarheid verzender (6.1.7) en toegangsvertrouwelijkheid (6.1.10).
B.2. Beveilig de opslag van uw e-mails
Eis: E-mails moeten beveiligd opgeslagen worden, er mag geen mogelijkheid zijn voor ongeautoriseerde om inzicht te krijgen in de e-mail die in het kader van NTA 7516 verzonden zijn.
Implementatie: E-mails moeten op een dusdanige manier opgeslagen worden dat er geen toegang mogelijk is voor onbevoegden. In het geval van een e-mailserver buiten de Europese Economische Ruimte (EER) moet deze in overeenstemming zijn met de AVG. Hetzelfde geldt voor andere systemen (denk aan backup of administratiesystemen) waar de e-mails in opgeslagen worden.
U dient een verwerkersovereenkomst te hebben afgesloten met leveranciers van uw e-mail server of andere diensten waar uw e-mails opgeslagen worden. Voor wat betreft SmartLockr is dit uiteraard door ons geregeld in de overeenkomst die wij aangegaan zijn.
Hiermee voldoet u aan eisen voor gegevensvertrouwelijkheid (6.1.9) en internationaal ad-hocberichtenverkeer (6.1.13).
B.3. Log inkomend en uitgaand e-mailverkeer
Eis: Voor het versturen van ad-hocberichtenverkeer dient u te voldoen aan de NEN 7513:2018 (met enkele uitzonderingen).
Implementatie: Als organisatie betekent dit voor u dat u inkomende en uitgaand e-mail verkeer moet registeren (loggen). Voor berichten die met SmartLockr naar personen (cliënten) verzonden worden loggen wij dit. Berichten die direct gestuurd worden naar andere professionals worden automatisch gelogd omdat deze opgeslagen worden in verzonden items (sent items).
Uw e-mail provider kan u helpen zorg te dragen voor de juiste inrichting hiervan.
Hiermee voldoet u aan eis Logging (6.4.2).
B.4. De verzender van een e-mail is onmiskenbaar
Eis: Het moet onmiskenbaar zijn welke professional binnen uw organisatie een e-mail verzonden heeft
Implementatie: Door gebruik te maken van SPF, DMARC & DKIM in combinatie met de juiste toegangscontrole kunt u bovenstaande bewerkstelligen. Wij helpen u tijdens de NTA 7516 onboarding van SmartLockr de juiste stappen te zetten om dit te bewerkstelligen. Onderdeel hiervan is het toevoegen van de juist DNS record in uw domein configuratie.
Hiermee voldoet u deels aan eis Onweerlegbaarheid verzender (6.1.7).
B.5. Veilig versturen van e-mails aan andere NTA 7516 partijen
Eis: e-mails die direct naar andere partijen gestuurd worden dienen aan een aantal veiligheidseisen te voldoen.
Implementatie: Als organisatie dient u aan de volgende veiligheidseisen te voldoen. Uw e-maildomein moet beveiligd zijn met DNSSEC en uw inkomende e-mailserver moet DANE (of PKIX) en TLS 1.2 of hoger ondersteunen.
Gezien de technische aard van deze instellingen helpen wij u tijdens de onboarding van ons product de juiste instellingen in te regelen. Hiervoor hebben wij echter uw hulp nodig, daarnaast kan het zijn dat er aanpassingen door uw IT partner of e-mail provider gedaan moeten worden.
Hiermee voldoet u (deels) aan eisen veilige connectie (6.2.2.1) en multikanaalcommunicatie (7.2).
B.6. Directe communicatie naar andere NTA 7516 partijen
Eis: Communicatie met andere professionals die aan de NTA 7516 voldoen vind plaats middels directe e-mail. Uw organisatie moet kenbaar maken dat u aan de NTA 7516 voldoet.
Implementatie: Er dient een extra TXT record toegevoegd te worden aan uw DNS instellingen. Deze dient de volgende informatie te bevatten:
- Naam: @
- TTL: 5 Min
- Type: TXT
- Waarde:
v=NTA7516-1;startdate:2020-05;enddate:2023-05;provider:smartlockr;ntamx:10 ntamx.smartlockr.eu;
Let op bij de waarde dat u de startdate aanpast naar de eerste maand van NTA 7516 implementatie en de enddate 3 jaar later zet.
Hiermee voldoet u (deels) aan eisen veilige connectie (6.2.2.1) & multikanaalcommunicatie (7.2).
C: Beleid en regels
Als professional bent u vanuit de NTA 7516 verplicht een beleid en regels op te stellen. SmartLockr helpt u hiermee, u dient de volgende punten gedocumenteerd te hebben en binnen uw organisatie geïmplementeerd.
C.1. Minimale eisen vastleggen
Voor uw organisatie dient u minimale eisen vast te leggen voor de criteria 6.1.2 t/m 6.1.19 van de NTA 7516. U dient deze te onderbouwen op basis van uw specifieke organisatie, daarnaast zijn er ook zijn grenswaarden opgesteld.
Ons product voorziet in de genoemde grenswaarden en criteria van 6.1.2 t/m 6.1.4, 6.1.6, 6.1.8, 6.1.9, 6.1.11, 6.1.13, 6.1.18, 6.2.1, 6.2.2.2 zoals beschreven in de NTA 7516. Uw organisatie dient zelf zorg te dragen dat andere systemen en leveranciers hier ook aan voldoen.
C.2. Authenticatie verstrekken aan medewerkers om ad-hocberichten te verzenden
Als organisatie dient u beleid te hebben voor:
Legitimatie van Medewerkers: deze dienen zich te legitimeren alvorens zij toegang krijgen tot authenticatiemiddelen die gebruikt worden in ad-hocberichtenverkeer. Meestal maakt dit deel uit van het aannameproces van uw organisatie bij de afdeling personeelszaken. Als dit niet het geval is dient u dit in te richten.
Bevoegdheden beheer: het is van belang dat alleen bevoegde medewerkers toegang hebben tot het verzenden en ontvangen van ad-hocberichten verkeer. Aandachtspunten hierbij zijn gedeelde of groeps e-mailaccounts.
Hiermee voldoet u (deels) aan eis herkomstbevestiging (6.1.5), onweerlegbaarheid verzender (6.1.7), autorisatie verzender (6.1.8) en toegangsvertrouwelijkheid (6.1.10).
C.3. Gebruik van SmartLockr binnen organisatie
NTA 7516 schrijft in 6.3 voor dat uw organisatie beleid moet hebben over zaken als waarnemen tijdens afwezigheid, gebruik van adresboeken, bewaartermijnen en het informeren van uw cliënten (personen).
Als organisatie dient u beleid te hebben voor het verzenden van ad-hocberichten. Medewerkers moeten weten of zij persoonlijk bevoegd zijn om berichten te verzenden en op basis van welke verzendingsgrond dit het geval is. Ook moet u toezien op de navolging van dit beleid.
Hiermee voldoet u aan eis verzendingsgrond (6.1.12).
Indien u vragen heeft over onze service om dit beleid op te stellen kunt u contact met ons opnemen.
C.4. Toezicht en naleving van beleid
Om toezicht en naleving van uw beleid genoemd in C.4. te waarborgen dient u een programma vast te stellen waarmee:
- Continue de naleving van de gebruikersregels wordt gemonitord;
- Jaarlijks de geschiktheid van de gebruiksregels wordt gemonitord;
- Tweejaarlijks de vastgelegde criteria worden beoordeeld op geschiktheid en passendheid.
Meer informatie hierover vindt u in de NTA 7516 6.4.1
D: Dossierkoppeling opzetten (Optioneel)
SmartLockr biedt met een PublicAPI de mogelijkheid om de ad-hocberichten te koppelen met andere systemen als een EPD of DMS. Als u hier meer informatie over wil kunt u contact met ons opnemen.
Hiermee voldoet u aan eis dossierkoppeling (6.1.19).
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.