# NTA 7516 Mailflow Gids

## Overzicht

NTA 7516 is de Nederlandse Technische Afspraak voor veilig e-mailverkeer in de zorg. Deze gids beschrijft hoe het Noveu platform voldoet aan de eisen voor veilige berichtenuitwisseling.

## Toepassingsgebied

NTA 7516 is verplicht voor:
- Ziekenhuizen en zorginstellingen
- Huisartsen en specialisten
- Apotheken
- Zorgverzekeraars
- Elke partij die patiëntgegevens uitwisselt

## Kernprincipes

### 1. Vertrouwelijkheid

**Eisen:**
- End-to-end encryptie van berichten
- Toegang alleen voor geautoriseerde ontvangers
- Geen onbevoegde toegang tijdens transport

**Noveu Implementatie:**
- TLS 1.3 voor transport
- S/MIME of PGP voor end-to-end encryptie
- Zero-knowledge architectuur voor berichtinhoud

### 2. Integriteit

**Eisen:**
- Berichten mogen niet ongemerkt gewijzigd worden
- Digitale handtekeningen waar vereist

**Noveu Implementatie:**
- Cryptografische hashing van berichten
- Digitale signatures voor non-repudiation
- Tamper-evident logging

### 3. Beschikbaarheid

**Eisen:**
- Berichten moeten tijdig aankomen
- Systemen moeten betrouwbaar functioneren

**Noveu Implementatie:**
- 99.9% uptime SLA
- Geografisch redundante infrastructuur
- Automatische failover

### 4. Controleerbaarheid

**Eisen:**
- Complete audit trail van berichtenverkeer
- Logging van toegang en acties

**Noveu Implementatie:**
- Immutable audit logs
- 7 jaar retentie voor zorgsector
- Real-time log export naar SIEM

## Mailflow Architectuur

```
┌──────────────┐     TLS 1.3      ┌──────────────┐
│   Zender     │ ───────────────► │ Noveu Mail   │
│   (Zorg A)   │                  │   Gateway    │
└──────────────┘                  └──────┬───────┘
                                         │
                                         │ Encryptie
                                         │ Logging
                                         │ Policy check
                                         ▼
                                  ┌──────────────┐
                                  │ Secure Mail  │
                                  │   Store      │
                                  └──────┬───────┘
                                         │
                                         │ TLS 1.3
                                         ▼
┌──────────────┐     Pull/Push    ┌──────────────┐
│   Ontvanger  │ ◄─────────────── │ Delivery     │
│   (Zorg B)   │                  │ Service      │
└──────────────┘                  └──────────────┘
```

## Veiligheidsmaatregelen per Fase

### Verzending

| Fase | Maatregel | Verificatie |
|------|-----------|-------------|
| Authenticatie | MFA + certificaat | Auth logs |
| Autorisatie | RBAC controle | Access logs |
| Classificatie | Automatische labeling | Policy logs |
| Encryptie | TLS + S/MIME | Certificate chain |

### Transport

| Fase | Maatregel | Verificatie |
|------|-----------|-------------|
| Routing | EU-only infrastructuur | Network logs |
| Inspectie | DLP en malware scan | Scan logs |
| Buffering | Encrypted at rest | Storage audit |

### Ontvangst

| Fase | Maatregel | Verificatie |
|------|-----------|-------------|
| Decryptie | Key in HSM | Key access logs |
| Levering | Secure channel | Delivery receipts |
| Bevestiging | Read receipts | Notification logs |

## Logging Vereisten

### Minimum Logvelden

```json
{
  "timestamp": "2026-01-15T10:30:00Z",
  "messageId": "msg-uuid-123",
  "sender": "arts@ziekenhuis-a.nl",
  "recipient": "specialist@kliniek-b.nl",
  "action": "DELIVERED",
  "encryptionLevel": "S/MIME",
  "sourceIP": "10.0.0.1",
  "userAgent": "Outlook/365",
  "classification": "MEDISCH_VERTROUWELIJK"
}
```

### Retentie

| Type | Retentie | Reden |
|------|----------|-------|
| Transport logs | 2 jaar | Operationeel |
| Access logs | 7 jaar | Wettelijk (zorg) |
| Content metadata | 7 jaar | Dossiervorming |
| Berichtinhoud | Configureerbaar | Organisatie beleid |

## Compliance Checklist

### Technisch
- [ ] TLS 1.3 geactiveerd
- [ ] S/MIME of PGP certificaten uitgerold
- [ ] DLP policies geconfigureerd
- [ ] Audit logging actief
- [ ] Backup en recovery getest

### Organisatorisch
- [ ] Verwerkersovereenkomst met Noveu
- [ ] Privacy-by-design assessment
- [ ] Personeel getraind op veilig mailgebruik
- [ ] Incident response plan voor datalekken

### Audit
- [ ] Jaarlijkse externe audit
- [ ] Penetration test op mailinfrastructuur
- [ ] Log review door security team

## Noveu Ondersteuning

| Service | Beschrijving |
|---------|--------------|
| Setup | Configuratie van veilige mailflow |
| Training | Gebruikerstraining veilig mailen |
| Audit support | Bewijsverzameling en rapportage |
| Incident response | 24/7 ondersteuning bij incidenten |

---

*Laatste update: Januari 2026*  
*Conform NTA 7516:2019 en AVG vereisten*