Voor de organisatie is het belangrijk om te voldoen aan de laatste wet- en regelgeving, SmartLockr helpt hiermee. Als je ons product op de juiste wijze implementeert dan voldoe je aan de NTA 7516. Daar helpen wij uiteraard bij.
Ons product levert je de basis hiervoor, echter kunnen wij dit niet volledig voor je wegnemen. Je dient zelf een aantal stappen uit te voeren, deze vind je hieronder.
Mocht je vragen hebben over onderstaande stappen dan kun je contact opnemen met ons customer success team.
A: Configuratie van SmartLockr.
A.1. E-mails via eigen domein
A.2. Veilig e-mailen als standaard ingesteld
A.3. Beantwoorden & doorsturen van berichten inschakelen
A.4. Leesbaarheid
A.5. Upload portaal opzetten
B: Configuratie van (e-mail)systemen
B.1. Beveilig de toegang tot de e-mailomgeving
B.2. Beveilig de opslag van e-mails
B.3. Log inkomend en uitgaand mailverkeer
NTA 7516 beschrijft in het reeds genoemde hoofdstuk 6.4.2 dat onder meer de volgende gebeurtenissen geregistreerd ('gelogd') moeten worden:
- alle gebeurtenissen met betrekking tot het versturen van ad‐hoc berichten (ongeacht of deze succesvol waren);
- het intrekken van verzonden ad‐hoc berichten;
- het wijzigen van verzonden ad‐hoc berichten;
- het verwijderen (bij de verzender) van verzonden ad‐hoc berichten;
- alle gebeurtenissen met betrekking tot het ontvangen van ad‐hoc berichten;
- het raadplegen van ontvangen ad‐hocberichten;
- het verwijderen van ontvangen ad‐hoc berichten;
- het doorsturen van ontvangen ad‐hoc berichten;
- het aanmaken en opheffen van een e‐mail‐en/of chataccount; en
- het toekennen, wijzigen en intrekken van rechten aan een e‐mail‐en/of chataccount.
B.4. De verzender van een e-mail is onmiskenbaar
B.5. Veilig versturen van e-mails aan andere NTA 7516 partijen
B.6. Directe communicatie naar andere NTA 7516 partijen
C: Beleid en regels
C.1. Minimale eisen vastleggen
C.2. Authenticatie verstrekken aan medewerkers om ad-hocberichten te verzenden
C.3. Gebruik van SmartLockr binnen organisatie
C.4. Toezicht en naleving van beleid
D: Dossierkoppeling opzetten (Optioneel)
A: Configuratie van SmartLockr
A.1. E-mails via eigen domein
Eis: Ad-hocberichten mogen niet in handen van onbevoegden komen.
Implementatie: Om ervoor te zorgen dat klanten altijd contact zoeken met jullie organisatie is het van belang dat alle communicatie die SmartLockr verzendt via jullie domein loopt.
Volg de instructie om jullie eigen e-mail domeinen in te stellen om hieraan te voldoen:
https://support.smartlockr.io/hc/nl/articles/360008790560-Hoe-stel-ik-e-mail-domeinen-in-
Hiermee voldoe je aan de eisen voor gegevensvertrouwelijkheid (6.1.9) en communicatievertrouwelijkheid (6.1.11).
A.2. Veilig e-mailen als standaard ingesteld
Eis: De veiligste keuze moet standaard ingeschakeld zijn wanneer een e-mail verzonden wordt.
Implementatie: Tijdens de installatie van SmartLockr zorgen wij er altijd voor dat de hoogst mogelijke veiligheid ingeschakeld wordt. Dit doen wij samen met jou tijdens de onboarding van jouw organisatie als klant. Zo zorgen we er samen voor dat je aan de NTA 7516 voldoet.
Hiermee voldoe je aan de eis veiligheid als gemak (6.1.16).
A.3. Beantwoorden & doorsturen van berichten inschakelen
Eis: Het moet voor ontvangers mogelijk zijn te reageren op een bericht en om een bericht door te sturen.
Implementatie: Tijdens de installatie van SmartLockr worden beide functies voor beantwoorden en doorsturen ingeschakeld. Binnen het admin portaal kun je dit zien door te navigeren naar Gebruikers en kiest voor e-mailinstellingen.
Hiermee voldoe je aan de eisen Continuïteit van ad-hocberichtenverkeer (6.1.14 & 6.1.15).
A.4. Leesbaarheid
Eis: Ad-hocberichten dienen te voldoen aan digitale toegankelijkheid.
Implementatie: SmartLockr voldoet standaard aan de gestelde richtlijnen voor digitale toegankelijkheid. Echter kan het zijn dat hiervan afgeweken wordt als je een eigen huisstijl hebt ingesteld. Het kan dan namelijk voorkomen dat er onvoldoende contrast is tussen de achtergrond en de tekst. Twijfel je hierover, dan kunt je contact met ons opnemen en helpen wij hiermee.
Hiermee voldoe je aan de eis leesbaarheid (6.1.17).
A.5. Upload portaal opzetten
Eis: Bied personen een manier aan om veilige communicatie met jullie organisatie te initiëren.
Implementatie: Door een upload portaal aan te maken en aan te bieden op de website kun je aan deze eis voldoen. Het is hierbij wel van belang dat je de identiteit van de verzender verifieert. Dit kan door telefonisch contact op te nemen met de persoon op basis van gegevens die reeds in het systeem staan. Wij raden je aan dit in het beleid op te nemen dat je voor NTA 7516 dient op te stellen (zie punt C.3 en verder).
Hiermee voldoe je aan de eis door personen geïnitieerd ah-hocberichtenverkeer (6.5).
B: Configuratie van e-mailsysteem
B.1. Beveilig de toegang tot de e-mailomgeving
Eis: Alle gebruikers moeten met twee factor authenticatie (2FA) inloggen alvorens zij e-mails kunnen versturen or ontvangen.
Implementatie: In de praktijk betekent dit dat je de toegang tot de mailboxen moet beveiligen met twee factoren. Dus een combinatie van wachtwoord met token of SMS. Dit kan ingesteld zijn op applicatie niveau (Outlook login) of op systeem niveau (Desktop login).
Hiermee voldoe je aan de eisen voor herkomst bevestiging (6.1.5), onweerlegbaarheid verzender (6.1.7) en toegangsvertrouwelijkheid (6.1.10).
B.2. Beveilig de opslag van e-mails
Eis: E-mails moeten beveiligd opgeslagen worden, er mag geen mogelijkheid zijn voor ongeautoriseerde om inzicht te krijgen in de e-mail die in het kader van NTA 7516 verzonden zijn.
Implementatie: E-mails moeten op een dusdanige manier opgeslagen worden dat er geen toegang mogelijk is voor onbevoegden. In het geval van een e-mailserver buiten de Europese Economische Ruimte (EER) moet deze in overeenstemming zijn met de AVG. Hetzelfde geldt voor andere systemen (denk aan backup of administratiesystemen) waar de e-mails in opgeslagen worden.
Je dient een verwerkersovereenkomst te hebben afgesloten met leveranciers van de e-mail server of andere diensten waar de e-mails opgeslagen worden. Voor wat betreft SmartLockr is dit uiteraard door ons geregeld in de overeenkomst die wij aangegaan zijn.
Hiermee voldoe je aan eisen voor gegevensvertrouwelijkheid (6.1.9) en internationaal ad-hocberichtenverkeer (6.1.13).
B.3. Log inkomend en uitgaand e-mailverkeer
Eis: Voor het versturen van ad-hocberichtenverkeer dien je te voldoen aan de NEN 7513:2018 (met enkele uitzonderingen).
Implementatie: Als organisatie betekent dit voor dat je inkomende en uitgaand e-mail verkeer moet registeren (loggen). Voor berichten die met SmartLockr naar personen (cliënten) verzonden worden, loggen wij dit. Berichten die direct gestuurd worden naar andere professionals worden automatisch gelogd omdat deze opgeslagen worden in verzonden items (sent items).
De e-mail provider kan je helpen zorg te dragen voor de juiste inrichting hiervan.
Hiermee voldoe je aan de eis Logging (6.4.2).
B.4. De verzender van een e-mail is onmiskenbaar
Eis: Het moet onmiskenbaar zijn welke professional binnen de organisatie een e-mail verzonden heeft
Implementatie: Door gebruik te maken van SPF, DMARC & DKIM in combinatie met de juiste toegangscontrole kun je bovenstaande bewerkstelligen. Wij helpen je tijdens de NTA 7516 onboarding van SmartLockr de juiste stappen te zetten om dit te bewerkstelligen. Onderdeel hiervan is het toevoegen van de juist DNS record in jullie domeinconfiguratie.
Hiermee voldoe je deels aan de eis Onweerlegbaarheid verzender (6.1.7).
B.5. Veilig versturen van e-mails aan andere NTA 7516 partijen
Eis: E-mails die direct naar andere partijen gestuurd worden dienen aan een aantal veiligheidseisen te voldoen.
Implementatie: Als organisatie dien je aan de volgende veiligheidseisen te voldoen. Jullie e-maildomein moet beveiligd zijn met DNSSEC en de inkomende e-mailserver moet DANE (of PKIX) en TLS 1.2 of hoger ondersteunen.
Gezien de technische aard van deze instellingen helpen wij tijdens de onboarding van ons product de juiste instellingen in te regelen. Hiervoor hebben wij echter jullie hulp nodig, daarnaast kan het zijn dat er aanpassingen door jullie IT partner of e-mail provider gedaan moeten worden.
Hiermee voldoe je (deels) aan de eisen veilige connectie (6.2.2.1) en multikanaalcommunicatie (7.2).
B.6. Directe communicatie naar andere NTA 7516 partijen
Eis: Communicatie met andere professionals die aan de NTA 7516 voldoen vind plaats middels directe e-mail. Jullie organisatie moet kenbaar maken dat jullie aan de NTA 7516 voldoen.
Implementatie: Er dient een extra TXT record toegevoegd te worden aan de DNS instellingen. Deze dient de volgende informatie te bevatten:
- Naam: @
- TTL: 5 Min
- Type: TXT
- Waarde:
v=NTA7516-1;startdate=2020-05;enddate:2023-05;provider=smartlockr;ntamx:=10 ntamx.smartlockr.eu
Let op bij de waarde dat je de startdate aanpast naar de eerste maand van NTA 7516 implementatie en de enddate 3 jaar later zet.
Hiermee voldoe je (deels) aan de eisen veilige connectie (6.2.2.1) & multikanaalcommunicatie (7.2).
C: Beleid en regels
Als professional ben je vanuit de NTA 7516 verplicht een beleid en regels op te stellen. SmartLockr helpt hiermee. Je dient de volgende punten gedocumenteerd en binnen de organisatie geïmplementeerd te hebben.
C.1. Minimale eisen vastleggen
Voor de organisatie dient je minimale eisen vast te leggen voor de criteria 6.1.2 t/m 6.1.19 van de NTA 7516. Je dient deze te onderbouwen op basis van jullie specifieke organisatie, daarnaast zijn er ook zijn grenswaarden opgesteld.
Ons product voorziet in de genoemde grenswaarden en criteria van 6.1.2 t/m 6.1.4, 6.1.6, 6.1.8, 6.1.9, 6.1.11, 6.1.13, 6.1.18, 6.2.1, 6.2.2.2 zoals beschreven in de NTA 7516. De organisatie dient zelf zorg te dragen dat andere systemen en leveranciers hier ook aan voldoen.
C.2. Authenticatie verstrekken aan medewerkers om ad-hocberichten te verzenden
Als organisatie dien je beleid te hebben voor:
Legitimatie van Medewerkers: deze dienen zich te legitimeren alvorens zij toegang krijgen tot authenticatiemiddelen die gebruikt worden in ad-hocberichtenverkeer. Meestal maakt dit deel uit van het aannameproces van de organisatie bij de afdeling personeelszaken. Als dit niet het geval is dien je dit in te richten.
Bevoegdheden beheer: het is van belang dat alleen bevoegde medewerkers toegang hebben tot het verzenden en ontvangen van ad-hocberichten verkeer. Aandachtspunten hierbij zijn gedeelde of groeps e-mailaccounts.
Hiermee voldoe je (deels) aan eis herkomstbevestiging (6.1.5), onweerlegbaarheid verzender (6.1.7), autorisatie verzender (6.1.8) en toegangsvertrouwelijkheid (6.1.10).
C.3. Gebruik van SmartLockr binnen organisatie
NTA 7516 schrijft in 6.3 voor dat de organisatie beleid moet hebben over zaken als waarnemen tijdens afwezigheid, gebruik van adresboeken, bewaartermijnen en het informeren van cliënten (personen).
Als organisatie dien je beleid te hebben voor het verzenden van ad-hocberichten. Medewerkers moeten weten of zij persoonlijk bevoegd zijn om berichten te verzenden en op basis van welke verzendingsgrond dit het geval is. Ook moet je toezien op de navolging van dit beleid.
Hiermee voldoe je aan eis verzendingsgrond (6.1.12).
Indien je vragen hebt over onze service om dit beleid op te stellen kun je contact met ons opnemen.
C.4. Toezicht en naleving van beleid
Om toezicht en naleving van jullie beleid genoemd in C.4. te waarborgen dien je een programma vast te stellen waarmee:
- Continue de naleving van de gebruikersregels wordt gemonitord;
- Jaarlijks de geschiktheid van de gebruiksregels wordt gemonitord;
- Tweejaarlijks de vastgelegde criteria worden beoordeeld op geschiktheid en passendheid.
Meer informatie hierover vind je in de NTA 7516 6.4.1
D: Dossierkoppeling opzetten (Optioneel)
SmartLockr biedt met een PublicAPI de mogelijkheid om de ad-hocberichten te koppelen met andere systemen als een EPD of DMS. Als je hier meer informatie over wilt ontvangen, kun je contact met ons opnemen.
Hiermee voldoe je aan eis dossierkoppeling (6.1.19).
Opmerkingen
0 opmerkingen
Artikel is gesloten voor opmerkingen.