INBISCO QHSE Community
8 okt 2024
De NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. Deze norm is van toepassing op elke organisatie die medische patiëntgegevens beheerd. In deze blog zetten wij op een rij wat de norm is, voor wie de norm belangrijk is en wat de norm inhoud.
De NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. In de zorg worden medische patiëntgegevens beheerd. Het is belangrijk dat hier zorgvuldig mee wordt omgegaan.
NEN 7510 bestaat uit twee delen. De NEN 7510-1 bevat de eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging. De NEN 7510-2 bevat richtlijnen voor het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonlijke gezondheidsinformatie. De norm is op risicobasis.
Dit betekent dat er een risicoanalyse uitgevoerd wordt welke aantoont waar een organisatie zich op moet richten. Als een onderdeel van de norm niet van toepassing is op de organisatie moet er uitgelegd worden waarom niet.
Medische patiëntgegevens bevatten gevoelige informatie over individuen. Zorginstellingen zijn vaak afhankelijk van digitale producten en diensten om deze informatie te verwerken. De informatie moet soms ook gedeeld worden tussen verschillende partijen. Dit zorgt voor verschillende risico’s.
Hackers kunnen de systemen gijzelen of gevoelige personeninformatie lekken op het internet. Dit kan negatieve invloed hebben op de patiëntveiligheid of de toegankelijkheid tot zorg. Het is daarom belangrijk dat de informatie goed beveiligd wordt. Hierom is de NEN 7510 gecreëerd.
NEN 7510 is voor organisaties die werken met persoonlijke gezondheidsinformatie. Persoonlijke gezondheidsinformatie wordt omschreven als informatie in verband tot de lichamelijke of mentale gezondheid van en de verlening van zorgdiensten aan een identificeerbaar persoon. De informatie over registratie van een persoon, betalingen, de identiteit van de zorgverlener, et cetera valt hier allemaal onder.
De norm geldt dan ook niet enkel voor zorginstellingen. Verzekeraars, overheidsinstellingen, medisch laboratoria, scholen, kinderopvangen en sommige leveranciers van deze organisaties vallen ook binnen de scope. Als leverancier moet je jezelf afvragen of je als organisatie ook in contact komt met de persoonlijke gezondheidsinformatie. Dit kan bijvoorbeeld doordat jij als ICT-bedrijf de omgevingen van een ziekenhuis beheert of back-ups maakt met persoonlijke gezondheidsinformatie.
De Inspectie Gezondheidszorg en Jeugd ziet toe op de kwaliteit in de zorg en gebruikt de NEN 7510 als leidraad. Nederlandse normen zijn maatstaven om een organisatie aan te houden. Toch is het bij de NEN 7510 in sommige gevallen wettelijk verplicht om hieraan te voldoen.
In het geval dat een zorgaanbieder het BSN van een persoon verwerkt is het verplicht om aan de NEN 7510 te voldoen. Dit is opgenomen in de Wet aanvullende bepaling verwerking persoonsgegevens in de zorg. Een zorgaanbieder wordt omschreven als een instelling die beroepsmatig zorg verleent.
Als er gebruik wordt gemaakt van een zorginformatiesysteem en/of elektronisch uitwisselingssysteem is het ook verplicht om te voldoen aan de NEN 7510 en de NEN 7512. Dit is op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders. Hier valt ook het logging volgens de NEN 7513 onder.
De NEN 7512 heeft specifiek betrekking tot de elektronische communicatie tussen verschillende betrokkenen. De zekerheid die partijen elkaar moeten bieden voor het verantwoord omgaan met informatie-uitwisseling is onder anderen een onderdeel van de NEN 7512.
De NEN 7513 stelt eisen aan het zogenaamde logging op patiëntendossiers. Logging wordt ook opgenomen in de NEN 7510, maar in de NEN 7513 worden er specifiekere eisen gesteld. De norm schrijft voor welke informatiebehoefte er is, welke gebeurtenissen en gegevens gelogd moeten worden, hoe logging betrouwbaar kan verlopen en eisen aan de weergave van de logging. De NEN 7513 is vergelijkbaar met de internationale norm ISO 27789.
Het is niet mogelijk de organisatie te laten certificeren tegen de NEN 7512 en NEN 7513.
Zelfs als het voor jouw organisatie niet wettelijk verplicht is om aan de NEN 7510 te voldoen, zal de Inspectie Gezondheidszorg en Jeugd de norm als voorbeeld nemen bij het beoordelen van de kwaliteit in de zorg. Het is daarom nog steeds aangeraden om aan de norm te voldoen. Het aantoonbaar voldoen aan de norm is mogelijk door de organisatie te laten certificeren.
De NEN 7510 is een Nederlandse norm specifiek gericht op het beheren en uitwisselen van persoonlijke gezondheidsinformatie. Deze norm is opgesteld voor de informatiebeveiliging in de zorgsector. NEN 7510-1 is vrijwel identiek aan de internationale norm voor informatiebeveiliging, ISO 27001. De NEN 7510-2 bevat voorschriften vergelijkbaar met die van de ISO 27002 en ISO 27799, alleen dan specifiek voor de zorgsector.
De Baseline Informatiebeveiliging Overheid (BIO) is een normkader voor informatiebeveiliging binnen overheidsinstellingen. Sommige overheidsinstellingen vallen ook binnen de scope van de NEN 7510, denk bijvoorbeeld aan Jeugdzorg, en zullen dus aan beiden normen moeten voldoen. Het belangrijkste verschil tussen de BIO en de NEN 7510 is het toepasgebied van de risicoanalyse. Bij de BIO wordt er voornamelijk gekeken naar risico’s als politieke schade, imagoschade en financiële gevolgen, waarbij de NEN 7510 er een focus ligt op de mogelijke negatieve gevolgen voor patiënten, betrokkenen, de organisatie en de maatschappij.
Als je voldoet aan de NEN 7510 heb je ook een gedeelte van de NIS2-richtlijn te pakken. De NIS2-richtlijn is een Europese richtlijn welke gepland staat om in oktober volgend jaar in te gaan. De richtlijn beschrijft maatregelen voor aangewezen essentiële en belangrijke sectoren op het vlak van cyberweerbaarheid. Zorginstellingen vallen hier ook onder. Voor de specifieke eisen van de NIS2-richtlijn, lees onze blog ‘De impact van de CER & NIS2 richtlijn op jouw organisatie’.
De NEN 7510-1 bevat de eisen aan het managementsysteem voor de informatiebeveiliging. Dit begint bij het beschrijven van de context van de organisatie. Wat voor belanghebbenden zijn er? En wat zijn hun behoeften en verwachtingen? Verder moet het toepassingsgebied van het Information Security Management System (ISMS) vastgesteld worden en het ISMS moet ingericht en onderhouden worden.
De verantwoordelijkheid om te voldoen aan de NEN 7510 ligt bij de organisatie zelf. In de norm staat opgenomen dat de directie leiderschap en betrokkenheid moet tonen met betrekking tot het ISMS. Dit betekent dat er moet worden toegezien dat de eisen worden nageleefd, de nodige middelen beschikbaar zijn en continue verbetering moet bevorderd worden. Het informatiebeveiligingsbeleid moet bij de organisatie haar doelen passen en binnen de organisatie gecommuniceerd worden. Het moet ook beschikbaar zijn voor belanghebbenden.
Vervolgens moeten er maatregelen genomen worden om risico’s te beperken. Dit moet doormiddel van het opstellen van een risicobeoordelingsprocedure waarin risico’s worden geïdentificeerd, geanalyseerd en geëvalueerd. Er moet ook een planning gemaakt worden voor het aanpakken van de risico’s. Bij het identificeren van de risico’s wordt er gekeken naar de gevolgen voor de patiënt, betrokkenen, organisatie en de maatschappij.
Het is belangrijk om aan te tonen hoe het ISMS ondersteund wordt. Wie is er verantwoordelijk en welke middelen zijn er beschikbaar? Hoe wordt het bewustzijn in de organisatie omtrent het informatiebeveiligingsbeleid gestimuleerd en hoe ziet de interne en externe communicatie eruit?
Verder vraagt de NEN 7510 om de uitvoering van het beleid vast te stellen. Alle processen, de planning en risicobeoordeling vallen hieronder. Het evalueren van de prestaties en het waarborgen van continue verbetering zijn belangrijke onderdelen van de norm.
De NEN 7510-2 bevat vervolgens verschillende doelstellingen en beheersmaatregelen voor de informatieveiligheid van de instelling. Hier worden ook implementatierichtlijnen bij genoemd. De richtlijnen uit de NEN 7510-2 zijn gericht op het beschermen van de beschikbaarheid en vertrouwelijkheid van de persoonlijke gezondheidsinformatie.
INBISCO Secure is de gebruiksvriendelijke totaaloplossing om compliant te zijn aan de NEN 7510. Via het ISMS kunnen de uitgangspunten met betrekking tot informatiebeveiliging vastgelegd worden. De werkwijze wordt doormiddel van de processen, werkinstructies en alle relevante documenten vastgesteld en kunnen zo eenvoudig gedeeld worden met de organisatie.
Het maken van de risico-inventarisatie kan gemakkelijk in de applicatie. Hier kunnen wegingen en acties aan toegevoegd worden. De acties kunnen vervolgens gemonitord worden. Zo kan je continu blijven verbeteren.
Wil jij weten hoe INBISCO jou kan helpen? Vraag dan vrijblijvend een adviesgesprek aan met INBISCO’s Security Officer, Maureen de Raad.
Ben jij een professional op het gebied van kwaliteit, gezondheid, (digitale)veiligheid en milieu? Meld je dan aan voor de INBISCO Community en ontvang waardevolle inzichten, casestudy’s, best practices en de nieuwste ontwikkelingen op het gebied van QHSE. Mis het niet – schrijf je vandaag nog in en verbeter de kwaliteit en veiligheid binnen jouw organisatie.
We beloven je, we zullen je niet stalken en je kunt je op ieder gewenst moment afmelden.
Hier vind je onze nieuwste blogs, evenementen, demomiddagen en klantverhalen. Blijf op de hoogte van de laatste ontwikkelingen en laat je inspireren door praktijkvoorbeelden op het gebied van kwaliteit, gezondheid, veiligheid en milieu.