Informatiebeveiliging is voor steeds meer organisaties van groot belang. Ook in de zorgsector, waar persoonlijke gezondheidsinformatie (medische gegevens) wordt uitgewisseld. Het is essentieel dat er op een integere wijze met deze informatie wordt omgegaan. Door de invoering van de Algemene Verordening Gegevensbescherming (AVG) wordt tegenwoordig ook strengere eisen gesteld aan informatiebeveiliging. Maar hoe tonen (zorg)organisaties aan dat ze informatiebeveiliging goed hebben ingeregeld? Dit kan aan de hand van de NEN 7510. We vertellen je graag meer over deze norm aan de hand van de 5W’s: wat, wie, wanneer, waarom en waarmee.
Wat is de NEN 7510? Het is dé Nederlandse norm voor informatiebeveiliging in de zorg. De norm is gebaseerd op diverse Internationale normen zoals de ISO 27001, ISO 27002 en ISO 27799. Lees meer over de opbouw van de norm in ons whitepaper. NEN 7510 beschrijft de eisen voor de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie. Persoonlijke gezondheidsinformatie is informatie over een identificeerbaar persoon (een natuurlijk persoon) die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie.
Voor wie is de NEN 7510? De doelgroep van de norm zijn zorgaanbieders en andere beheerders van persoonlijke gezondheidsinformatie. Niet alleen zorgaanbieders kunnen zich dus laten certificeren tegen NEN 7510, maar ook toeleveranciers die persoonlijke gezondheidsinformatie verwerken. Daarnaast kan de norm van toepassing zijn op bijvoorbeeld gemeenten. Zij zijn (vaak) verantwoordelijk voor de Wet Maatschappelijke Ondersteuning (WMO) en jeugdzorg, waarbij ze ook met medische gegevens te maken krijgen. Kortom, de NEN 7510 is voor organisaties die persoonlijke gezondheidsinformatie verwerken, ongeacht de aard en omvang van de organisatie.
Wanneer is NEN 7510 verplicht? Van organisaties die persoonlijke gezondheidsinformatie verwerken wordt verwacht dat zij aantoonbaar voldoen aan de eisen van NEN 7510. Echter, certificatie is niet verplicht. Certificatie tegen NEN 7510 wordt vaak ingezet als middel om aantoonbaar te voldoen. Er zijn namelijk een aantal instanties, wetten en regels die daar op aansturen. Denk bijvoorbeeld aan de AVG, die organisaties verplicht een adequate beveiliging van persoonsgegevens te verzorgen. Door aan de NEN 7510 te voldoen kunnen een aantal eisen uit de AVG worden afgedekt. Daarnaast wordt het aantoonbaar voldoen aan NEN 7510 ook benoemd in wet- en regelgeving, bijvoorbeeld in het Besluit elektronische gegevensverwerking door zorgaanbieders. Ook moeten zorgaanbieders in Nederland aan de Inspectie Gezondheidsdienst en Jeugd (IGJ) kunnen aantonen dat zij beschikken over informatiebeveiliging. Bij het toetsen conform het toetsingskader ‘inzet van e-health door zorgaanbieders’ nemen zij de NEN 7510 als leidraad. Kortom, certificatie is niet verplicht maar wel een makkelijke manier om aantoonbaar te voldoen.
Waarom zou je als organisatie aan de slag gaan met NEN 7510? Naast dat het in sommige gevallen verplicht is om aantoonbaar te voldoen, heeft NEN 7510 ook andere voordelen. We zetten ze graag voor je op een rijtje:
Ofwel, hoe kan je aantoonbaar voldoen aan NEN 7510? Wanneer je nog onbekend bent met de NEN 7510 norm is het aan te raden om te starten met een nulmeting. In de nulmeting wordt bepaald in hoeverre de organisatie al bewust bezig is met informatiebeveiliging. Soms voldoet een organisatie onbewust al aan een aantal gestelde eisen. De norm stelt eisen voor het vaststellen, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd managementsysteem. Er moet dus een informatiebeveiligingsmanagementsysteem (ISMS) worden geïmplementeerd. Hiervoor moet o.a. een risicoanalyse worden uitgevoerd en beleidsdocumenten worden opgesteld. In de risicoanalyse worden de risico’s en kansen op het gebied van informatiebeveiliging in kaart gebracht. Aan de hand van deze analyse worden beheersmaatregelen vastgesteld om het risico te verkleinen of zelfs te elimineren. Beheersmaatregelen worden vastgelegd in beleidsdocumenten, bijvoorbeeld een beleidsdocument over toegang tot systemen. Uiteindelijk moet worden getest of de beheersmaatregelen ook daadwerkelijk effectief zijn. In een Verklaring van Toepasselijkheid geeft een organisatie aan welke normelementen van toepassing zijn. Na de implementatie van het ISMS kan een organisatie kiezen of ze op willen gaan voor certificatie. Een Certificerende Instelling beoordeelt het managementsysteem. Als deze voldoet aan de eisen van NEN 7510 wordt het certificaat afgegeven.
Wil jouw organisatie aan de slag met NEN 7510? Onze ervaren consultants helpen graag! Zij weten alles van het opzetten van een ISMS volgens de eisen van NEN 7510. Neem vrijblijvend contact op voor de mogelijkheden.