Het borgen van de vertrouwelijkheid, integriteit en beschikbaarheid van persoonlijke gezondheidsinformatie is belangrijk. De NEN 7510 norm biedt organisaties een kader voor informatiebeveiliging in de zorg. NEN 7510 is opgebouwd volgens drie Internationale normen. Deel 1 beschrijft de eisen voor het managementsysteem, gebaseerd op ISO 27001 en de high level structuur. Deel 2 bevat de beheersmaatregelen gebaseerd op ISO 27002, aangevuld met zorgspecifieke beheersmaatregelen vanuit de internationale norm ISO 27799. NEN 7510 is niet de enige norm die focust op beveiliging van persoonlijke gezondheidsinformatie.
NEN 7512 is een aanvullende norm op NEN 7510 en beschrijft de extra zekerheden die partijen elkaar moeten bieden als voorwaarde voor een vertrouwde gegevensuitwisseling. De norm is van toepassing op elektronische communicatie in de zorg, hierbij gaat het over de communicatie tussen zorgverleners en zorginstellingen, maar ook met patiënten, cliënten, zorgverzekeraars en andere partijen die betrokken zijn bij de zorgverlening. De keuze voor een beheersmaatregel is afhankelijk van de classificatie van de persoonlijke gezondheidsinformatie, die uitgewisseld wordt tussen de betrokken partijen. Het is niet mogelijk om te certificeren op NEN 7512, echter in de NEN 7510 is een verwijzing opgenomen naar de NEN 7512.
NEN 7513 is ook een aanvullende norm, welke gaat over logging van het patiënt- of cliëntdossier. Logging is het vastleggen van acties binnen elektronische patiënt- of cliëntdossiers. Het is belangrijk om inzichtelijk te hebben wie toegang heeft tot de informatie in het dossier, volgens welke regels die toegang is verkregen en welke acties er zijn uitgevoerd. De norm biedt zorgaanbieders instructies voor het loggen en het gebruik van logging om te voldoen aan de wettelijke verplichting. Daarnaast stelt het ontwikkelaars van informatiesystemen binnen de zorg een aantal eisen waaraan hun systemen moeten voldoen. Met als doel om integer om te gaan met persoonlijke gezondheidsinformatie. Het is niet mogelijk om te certificeren op NEN 7513, maar ook bij NEN 7513 geldt dat vanuit NEN 7510 verwezen wordt naar de norm.
NTA 7516 is de norm voor het veilig uitwisselen van medische gegevens. Het gaat voornamelijk over mailverkeer, maar het kan ook gaan over chatberichten of communicatie in online portalen. NEN 7510 en NTA 7516 zijn twee aparte normen maar hebben wel een gemeenschappelijk doel, namelijk het nastreven van veilige informatievoorziening de zorg. De NTA 7516 stelt duidelijke voorwaarden aan het veilig en betrouwbaar uitwisselen van persoonlijke gezondheidsinformatie én zorgt ervoor dat multi-kanaalcommunicatie mogelijk is. Multi-kanaalcommunicatie is het uitwisselen van informatie tussen oplossingen van verschillende leveranciers. De norm stelt eisen aan het digitaal uitwisselen van gegevens en houdt daarbij rekening met de gebruiksvriendelijkheid. Een organisatie moet aantoonbaar voldoen aan deze norm wanneer zij medische gegevens online uitwisselt. Dit geldt voor zowel de zorgaanbieder als de aanbieder van een applicatie voor beveiligde uitwisseling. Certificatie tegen de NTA 7516 is mogelijk, maar niet verplicht.
Wil jouw organisatie aan de slag met informatiebeveiliging in de zorg? Onze consultants helpen je graag bij het opzetten van een managementsysteem dat voldoet aan de eisen uit deze norm. Neem contact met ons op en we vertellen je graag meer over de mogelijkheden.
Bron: NEN