Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Ondersteuning informatiebeveiliging in de zorg

Ondersteuning NEN 7510

Het handhaven van de beschikbaarheid, integriteit en vertrouwelijkheid (met inbegrip van authenticiteit, toerekenbaarheid en controleerbaarheid) van informatie is het overkoepelende doel van informatiebeveiliging. De in de NEN 7510 vastgelegde (beheers-)maatregelen zijn de (beheers-)maatregelen waarvan is bepaald dat ze geschikt zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie in de zorg te beschermen en ervoor te zorgen dat de toegang tot dergelijke informatie gecontroleerd en verantwoord kan worden.

De NEN 7510:2017 voor informatiebeveiliging in de zorg bestaat uit 2 delen:

  • Deel 1 Het managementsysteem voor informatiebeveiliging: borgt de beschikbaarheid, integriteit en vertrouwelijkheid van informatie door een risicobeheerproces toe te passen, en geeft belanghebbende het vertrouwen dat risico’s adequaat worden beheerd.
  • Deel 2 De maatregelen voor informatiebeveiliging: voorziet in richtlijnen voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie hoe de beschikbaarheid, integriteit en vertrouwelijkheid het best beschermd kan worden.

Relatie met NEN 7512 en NEN 7513

  • NEN 7512 heeft betrekking op de elektronische communicatie in de zorg, en wel tussen zorgverleners en zorginstellingen onderling, met patiënten en cliënten, met zorgverzekeraars en met andere partijen  die bij de zorg zijn betrokken. NEN 7512 beschrijft het proces om te komen tot een goede risicobeoordeling voor gegevensuitwisseling.
  • NEN 7513 beschrijft de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot het elektronisch (patiënt-/cliënt)dossier, die controle van de rechtmatigheid ervan mogelijk maakt, waaronder autorisatie en controle op de logging.

Relatie met wet- en regelgeving

Verschillende wet- en regelgeving, waaronder de Avg, heeft aanknopingspunten met de NEN 7510. In art. 32 Avg is vastgesteld dat de verwerkingsverantwoordelijke en de verwerker ‘passende technische en organisatorische maatregelen treffen om een op risico afgestemd beveiligingsniveau te waarborgen rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.’ Deze verplichting kan worden ingevuld door te voldoen aan de normen voor informatiebeveiliging.

In het Besluit elektronische gegevensverwerking door zorgaanbieders (hangend onder de Wet aanvullende bepalingen verwerking van persoonsgegevens in de zorg (Wabvpz)) is neergelegd dat een zorgorganisatie dient te voldoen aan de volgende NEN-normen:

  • 7510 (informatiebeveiliging in de zorg);
  • 7512 (vertrouwensbasis voor gegevensuitwisseling);
  • 7513 (logging van toegang tot het patiëntdossier).

De NEN 7510 – 7512 – 7513 bestaat uit een verschillende eisen op het gebied van informatiebeveiliging en privacy. Daarbij betreft het onder andere privacygevoelige informatie. De normen hebben betrekking op de wijze waarop informatie is vastgelegd, beveiligd en wordt gebruikt. Ook stelt het verschillende eisen aan het beleid en de afspraken rondom dit aandachtsgebied. 

De focus ligt op de invulling van technische en organisatorische maatregelen in de organisatie, maar ook contractvorming en communicatie met leveranciers. Certificering van deze norm kan zowel door zorgaanbieders en –verleners als hun leveranciers worden behaald. Dit moet altijd door een externe geaccrediteerde organisatie worden gedaan.   

In het kort  

  • De NEN 7510 is een managementsysteem voor zorgaanbieders en IT-leveranciers van zorgapplicaties die hun informatiebeveiliging aantoonbaar op orde willen hebben en continu willen verbeteren.
  • Vraagt naar een balans tussen beschikbaarheid, integriteit en vertrouwelijkheid (privacy) van (persoons)gegevens.
  • Het zet privacy en veilig ‘gebruik’ (verwerking) van persoonsgegevens van patiënten en cliënten centraal.
  • Voldoen aan de norm is een verplichting in het kader van ‘Besluit elektronische gegevensverwerking door zorgaanbieders’ (hangend onder de Wet aanvullende bepalingen verwerking van persoonsgegevens in de zorg (Wabvpz)).
  • Is een certificeerbare norm die wordt vereist door IGJ (Inspectie Gezondheid en Jeugd) en MedMij.
  • Vereist beveiligingsmaatregelen afgestemd op de vastgestelde risico’s in de organisatie waaronder:
    • een informatiebeveiligings- en privacybeleid.
    • bewustwording bij medewerkers.
    • beheersing van ICT-systemen en applicaties (logische beveiliging).
    • beheersing van Fysieke locaties en apparatuur (fysieke beveiliging).
    • beleid en beheersing veilige ketencommunicatie (NEN 7512);
    • beleid en beheersing logging (NEN 7513);
    • periodieke monitoring, meting, controles en audits op de werking en prestaties.

Globale stappen ondersteuning

De nieuwe NEN 7510:2017 is risk-based geworden. De organisatie maakt een keuze welke maatregelen bijdragen aan de vermindering van de risico’s op basis van een risicobeoordeling.

  • Stap 1: Risicobeoordeling (of 0-meting)
  • Stap 2: Verbeterplan: vaststellen en implementeren van het managementsysteem.
  • Stap 3: Pre-audit certificering: wilt u een NEN 7510 certificaat? Dan is een Information Security Managementsysteem (ISMS) noodzakelijk. 

Meer informatie en contact

Heeft u vragen of opmerkingen? Laat het ons weten. Wij zijn bereikbaar via +31 0(70) 392 22 09 en info@duthler.nl.