NEN 7510: informatiebeveiliging in de zorg
Informatiebeveiliging speelt een belangrijke rol in veel branches, en zeker in de zorg. Hier worden vertrouwelijke medische gegevens en patiëntgegevens beheerd en gedeeld. Deze informatie mag natuurlijk niet in handen komen van onbevoegde personen. En dat is in de zorg nog niet zo eenvoudig. Het gaat om zeer grote hoeveelheden data en er zijn veel partijen betrokken bij het verzamelen, opslaan en verwerken hiervan. Denk onder andere aan zorgaanbieders, patiënten en zorgverzekeraars, die samen een uitgebreid netwerk vormen. Als de informatie niet op de juiste manier beveiligd wordt kan dit grote gevolgen hebben voor zowel patiënten als zorgaanbieders.
NEN 7510
is een Nederlandse norm die eisen stelt aan de
informatiebeveiliging
in de zorg. Deze is afgeleid van de internationale norm ISO 27001, de standaard voor informatiebeveiliging. In het vervolg van deze blog gaan we verder in op NEN 7510 en vindt u het antwoord op de volgende drie vragen:
- Wat zijn de voordelen van NEN 7510?
- Is NEN 7510 verplicht?
- Wat zijn de eisen van NEN 7510 voor informatiebeveiliging in de zorg?
Is NEN 7510 verplicht?
Bij NEN 7510 draait het om informatiebeveiliging voor alle typen aanbieders in de zorg, zoals ziekenhuizen, verpleeghuizen en andere zorginstellingen. Het geeft ze de juiste handvatten. Is het ook verplicht om te voldoen aan deze norm? Het korte antwoord daarop is: ja. Voor zorg verlenende instellingen is het verplicht te voldoen aan de eisen van NEN 7510. Dat geldt ook voor andere partijen die persoonlijke gezondheidsinformatie verwerken.
De wet ‘Regeling gebruik Burgerservicenummer in de zorg’ stelt dat zorgorganisaties moeten voldoen aan NEN 7510. Deze regeling is onderdeel van de ‘Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg’. Daarnaast voldoet u met NEN 7510 voor een groot deel aan de eisen vanuit de AVG (Wet bescherming persoonsgegevens). Deze laatste wet stelt organisaties verplicht voor om persoonsgegevens adequaat te beveiligen.
Organisaties die werken met medische gegevens en patiëntgegevens moeten kunnen aantonen dat ze voldoen aan NEN 7510. Dat kan door te certificeren, maar dat is niet verplicht. Certificering is zeker verstandig. Naast dat u zeker weet dat u voldoet aan norm, geeft certificeren ook andere voordelen. Zo controleert u met jaarlijkse audits of uw organisatie nog voldoet. De auditor werpt een frisse blik op uw werkprocessen en –systemen, en u weet waar verbetering nodig is.
Wat zijn de eisen van NEN 7510 voor informatiebeveiliging in de zorg?
Het voert te ver om in deze blog alle eisen te benoemen die NEN 7510 bevat, maar we geven u graag een globaal idee van de inhoud. De norm bestaat uit twee delen. Het eerste deel bestaat uit tien hoofdstukken en is hetzelfde als ISO 27001. Deel twee bestaat uit 18 hoofdstukken en bevat eisen die specifiek toegespitst zijn op de zorg. Dit deel is gebaseerd op ISO 27002.
Risicobeheersing speelt een grote rol in de norm. Als u de risico’s niet in beeld hebt kunt u ook geen vervolgstappen ondernemen. U brengt dus goed in kaart welke risico’s er zijn, hoe groot deze zijn en wat de gevolgen zijn in het geval van een incident. In de norm wordt naast risicobeheersing gesproken over beheersmaatregelen, waaronder het opstellen van een informatiebeveiligingsbeleid, toegangsbeveiliging en de organisatie van de informatiebeveiliging. U implementeert de norm dus stap voor stap in uw organisatie. Daarna maakt u de keuze maakt om u al dan niet te certificeren tegen NEN 7510, om te voldoen aan de eisen voor informatiebeveiliging in de zorg.