NEN 7510

NEN 7510 is een Nederlandse norm en gaat over informatiebeveiliging in de zorg. Deze norm is o.a. gebaseerd op de internationale ISO 27001 norm, die beschrijft welke maatregelen genomen moeten worden om op de juiste manier om te kunnen gaan met patiëntgegevens.  Voldoe je aan NEN 7510, dan heb je goed nagedacht over alle risico’s en kun je laten zien dat er gestructureerd en planmatig wordt gewerkt aan verbetering. Er zijn maatregelen getroffen om risico’s te voorkomen en er is vastgesteld dat deze maatregelen ook daadwerkelijk effectief zijn.

Persoonlijke gezondheidsinformatie is informatie over een identificeerbaar persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening aan, de persoon in kwestie. Hieronder valt ook:

• Informatie over de registratie van de persoon voor de verlening van zorgdiensten;
• Informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
• Een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
• alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
• informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof;
• Identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.

NEN 7510 wordt genoemd in artikel 2 van de AMvB. Dit is de Wet voor het gebruik van BSN in de zorg. Patiëntgegevens moeten op een adequate manier moeten worden beveiligd voor het geven van verantwoorde zorg. Informatiebeveiliging is een belangrijk onderdeel daarbij. Informatiebeveiliging valt onder toezicht van de Inspectie Gezondheidszorg en Jeugd (IGJ) en deze inspectie gebruikt de NEN 7510 voor het toetsen van adequate informatiebeveiliging door zorginstellingen. Certificatie is niet noodzakelijk volgens de wet. Een aantal organisaties moeten wel aantoonbaar voldoen aan de eisen van NEN 7510. Dit geldt bijvoorbeeld voor zorgverleners en ziekenhuizen.

Zowel NEN 7510 als ISO 27001 gaan over de beschikbaarheid, integriteit en vertrouwelijkheid van kritische informatie. Het is belangrijk dat keuzes worden onderbouwd en dat er een systematiek van werken wordt ingericht, waardoor je aandacht blijft houden voor informatiebeveiliging. Het grote verschil is dat NEN 7510 specifiek is toegespitst op de gezondheidszorg. Er wordt gekeken naar persoonlijke gezondheidsinformatie. De norm geeft specifieke toelichting op zorgsituaties en geeft richting aan de afweging van de risico’s.

De NEN heeft, in opdracht van het ministerie van VWS, het Informatieberaad Zorg en gemeenten, de NTA 7516-norm ontwikkeld. Aan de hand van deze norm kan worden bepaald of communicatiemethoden voldoende zijn beveiligd. NTA 7516 is de norm voor het veilig communiceren van gezondheidsinformatie. Onder communiceren valt niet alleen e-mail, maar ook messenger apps, chats en online portalen. Aan de hand van 21 elementen (beleid, loggingseisen en 19 criteria ten aanzien van beschikbaarheid, integriteit, vertrouwelijkheid, interoperabiliteit en gebruiksvriendelijkheid) beschrijft de NTA 7516 waaraan voldaan dient te worden voordat een organisatie kan stellen dat zij gezondheidsinformatie veilig communiceert. Lees er meer over op deze pagina.

Steeds vaker helpen wij organisaties ook bij het voldoen aan de NEN 7512 en NEN 7513 eisen. De NEN 7512 norm geeft aanvullende zekerheden die de partijen onderling met elkaar moeten bieden voor vertrouwde gegevensuitwisseling. Tevens voorziet deze norm in nadere invulling aan richtlijnen zoals beschreven in de NEN 7510. Dagelijks wordt van vele cliënten en patiënten vertrouwelijke gezondheidsinformatie ingezien, bewerkt, gedeeld of verwijderd. In bijna alle voorkomende gevallen betreft het terechte handelingen door geautoriseerde personen of systemen. In die gevallen dat dit niet het geval is, wil je graag kunnen aantonen wie welke data heeft ingezien of bewerkt. Op deze manier kan je controleren of dit schadelijke impact heeft voor cliënten, patiënten of de organisatie. NEN 7513 komt nu om de hoek kijken. Lees meer over NEN 7512 en NEN 7513 op deze pagina.