Wat is de NEN 7510?

De NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. In de zorg worden medische patiëntgegevens beheerd. Het is belangrijk dat hier zorgvuldig mee wordt omgegaan.

NEN 7510 bestaat uit twee delen. De NEN 7510-1 bevat de eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van het managementsysteem voor informatiebeveiliging. De NEN 7510-2 bevat richtlijnen voor het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonlijke gezondheidsinformatie. De norm is op risicobasis.

Dit betekent dat er een risicoanalyse uitgevoerd wordt welke aantoont waar een organisatie zich op moet richten. Als een onderdeel van de norm niet van toepassing is op de organisatie moet er uitgelegd worden waarom niet.

Waarom is de NEN 7510 er?

Medische patiëntgegevens bevatten gevoelige informatie over individuen. Zorginstellingen zijn vaak afhankelijk van digitale producten en diensten om deze informatie te verwerken. De informatie moet soms ook gedeeld worden tussen verschillende partijen. Dit zorgt voor verschillende risico’s.

Hackers kunnen de systemen gijzelen of gevoelige personeninformatie lekken op het internet. Dit kan negatieve invloed hebben op de patiëntveiligheid of de toegankelijkheid tot zorg. Het is daarom belangrijk dat de informatie goed beveiligd wordt. Hierom is de NEN 7510 gecreëerd.

Voor wie is de NEN 7510?

NEN 7510 is voor organisaties die werken met persoonlijke gezondheidsinformatie. Persoonlijke gezondheidsinformatie wordt omschreven als informatie in verband tot de lichamelijke of mentale gezondheid van en de verlening van zorgdiensten aan een identificeerbaar persoon. De informatie over registratie van een persoon, betalingen, de identiteit van de zorgverlener, et cetera valt hier allemaal onder.

De norm geldt dan ook niet enkel voor zorginstellingen. Verzekeraars, overheidsinstellingen, medisch laboratoria, scholen, kinderopvangen en sommige leveranciers van deze organisaties vallen ook binnen de scope. Als leverancier moet je jezelf afvragen of je als organisatie ook in contact komt met de persoonlijke gezondheidsinformatie. Dit kan bijvoorbeeld doordat jij als ICT-bedrijf de omgevingen van een ziekenhuis beheert of back-ups maakt met persoonlijke gezondheidsinformatie.

Is de NEN 7510 verplicht?

De Inspectie Gezondheidszorg en Jeugd ziet toe op de kwaliteit in de zorg en gebruikt de NEN 7510 als leidraad. Nederlandse normen zijn maatstaven om een organisatie aan te houden. Toch is het bij de NEN 7510 in sommige gevallen wettelijk verplicht om hieraan te voldoen.

In het geval dat een zorgaanbieder het BSN van een persoon verwerkt is het verplicht om aan de NEN 7510 te voldoen. Dit is opgenomen in de Wet aanvullende bepaling verwerking persoonsgegevens in de zorg. Een zorgaanbieder wordt omschreven als een instelling die beroepsmatig zorg verleent.

Als er gebruik wordt gemaakt van een zorginformatiesysteem en/of elektronisch uitwisselingssysteem is het ook verplicht om te voldoen aan de NEN 7510 en de NEN 7512. Dit is op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders. Hier valt ook het logging volgens de NEN 7513 onder.

De NEN 7512 heeft specifiek betrekking tot de elektronische communicatie tussen verschillende betrokkenen. De zekerheid die partijen elkaar moeten bieden voor het verantwoord omgaan met informatie-uitwisseling is onder anderen een onderdeel van de NEN 7512.

De NEN 7513 stelt eisen aan het zogenaamde logging op patiëntendossiers. Logging wordt ook opgenomen in de NEN 7510, maar in de NEN 7513 worden er specifiekere eisen gesteld. De norm schrijft voor welke informatiebehoefte er is, welke gebeurtenissen en gegevens gelogd moeten worden, hoe logging betrouwbaar kan verlopen en eisen aan de weergave van de logging. De NEN 7513 is vergelijkbaar met de internationale norm ISO 27789.

Het is niet mogelijk de organisatie te laten certificeren tegen de NEN 7512 en NEN 7513.

Zelfs als het voor jouw organisatie niet wettelijk verplicht is om aan de NEN 7510 te voldoen, zal de Inspectie Gezondheidszorg en Jeugd de norm als voorbeeld nemen bij het beoordelen van de kwaliteit in de zorg. Het is daarom nog steeds aangeraden om aan de norm te voldoen. Het aantoonbaar voldoen aan de norm is mogelijk door de organisatie te laten certificeren.

Wat is het verschil tussen NEN 7510 en andere normen voor informatiebeveiliging zoals ISO 27001, BIO of de NIS2-richtlijn?

De NEN 7510 is een Nederlandse norm specifiek gericht op het beheren en uitwisselen van persoonlijke gezondheidsinformatie. Deze norm is opgesteld voor de informatiebeveiliging in de zorgsector. NEN 7510-1 is vrijwel identiek aan de internationale norm voor informatiebeveiliging, ISO 27001. De NEN 7510-2 bevat voorschriften vergelijkbaar met die van de ISO 27002 en ISO 27799, alleen dan specifiek voor de zorgsector.

De Baseline Informatiebeveiliging Overheid (BIO) is een normkader voor informatiebeveiliging binnen overheidsinstellingen. Sommige overheidsinstellingen vallen ook binnen de scope van de NEN 7510, denk bijvoorbeeld aan Jeugdzorg, en zullen dus aan beiden normen moeten voldoen. Het belangrijkste verschil tussen de BIO en de NEN 7510 is het toepasgebied van de risicoanalyse. Bij de BIO wordt er voornamelijk gekeken naar risico’s als politieke schade, imagoschade en financiële gevolgen, waarbij de NEN 7510 er een focus ligt op de mogelijke negatieve gevolgen voor patiënten, betrokkenen, de organisatie en de maatschappij.

Als je voldoet aan de NEN 7510 heb je ook een gedeelte van de NIS2-richtlijn te pakken. De NIS2-richtlijn is een Europese richtlijn welke gepland staat om in oktober volgend jaar in te gaan. De richtlijn beschrijft maatregelen voor aangewezen essentiële en belangrijke sectoren op het vlak van cyberweerbaarheid. Zorginstellingen vallen hier ook onder. Voor de specifieke eisen van de NIS2-richtlijn, lees onze blog ‘De impact van de CER & NIS2 richtlijn op jouw organisatie’.

Hoe voldoe je aan de NEN 7510?

De NEN 7510-1 bevat de eisen aan het managementsysteem voor de informatiebeveiliging. Dit begint bij het beschrijven van de context van de organisatie. Wat voor belanghebbenden zijn er? En wat zijn hun behoeften en verwachtingen? Verder moet het toepassingsgebied van het Information Security Management System (ISMS) vastgesteld worden en het ISMS moet ingericht en onderhouden worden.

De verantwoordelijkheid om te voldoen aan de NEN 7510 ligt bij de organisatie zelf. In de norm staat opgenomen dat de directie leiderschap en betrokkenheid moet tonen met betrekking tot het ISMS. Dit betekent dat er moet worden toegezien dat de eisen worden nageleefd, de nodige middelen beschikbaar zijn en continue verbetering moet bevorderd worden. Het informatiebeveiligingsbeleid moet bij de organisatie haar doelen passen en binnen de organisatie gecommuniceerd worden. Het moet ook beschikbaar zijn voor belanghebbenden.

Vervolgens moeten er maatregelen genomen worden om risico’s te beperken. Dit moet doormiddel van het opstellen van een risicobeoordelingsprocedure waarin risico’s worden geïdentificeerd, geanalyseerd en geëvalueerd. Er moet ook een planning gemaakt worden voor het aanpakken van de risico’s. Bij het identificeren van de risico’s wordt er gekeken naar de gevolgen voor de patiënt, betrokkenen, organisatie en de maatschappij.

Het is belangrijk om aan te tonen hoe het ISMS ondersteund wordt. Wie is er verantwoordelijk en welke middelen zijn er beschikbaar? Hoe wordt het bewustzijn in de organisatie omtrent het informatiebeveiligingsbeleid gestimuleerd en hoe ziet de interne en externe communicatie eruit?

Verder vraagt de NEN 7510 om de uitvoering van het beleid vast te stellen. Alle processen, de planning en risicobeoordeling vallen hieronder. Het evalueren van de prestaties en het waarborgen van continue verbetering zijn belangrijke onderdelen van de norm.

De NEN 7510-2 bevat vervolgens verschillende doelstellingen en beheersmaatregelen voor de informatieveiligheid van de instelling. Hier worden ook implementatierichtlijnen bij genoemd. De richtlijnen uit de NEN 7510-2 zijn gericht op het beschermen van de beschikbaarheid en vertrouwelijkheid van de persoonlijke gezondheidsinformatie.

Samengevat:

• De NEN 7510 is een Nederlandse norm voor de informatiebeveiliging in de zorgsector. De norm is opgesplitst in twee delen: NEN 7510-1 en NEN 7510-2.
• Elke organisatie die persoonlijke gezondheidsinformatie beheert of bewerkt moet aan de norm voldoen. De Inspectie Gezondheidszorg en Jeugd is de toezichthouder.
• De NEN 7510-1 stelt eisen aan het ISMS van de organisatie en vraagt om het uitvoeren van een risicoanalyse.
• De NEN 7512 en NEN 7513 zijn ondersteunende normen voor de NEN 7510.
• De NEN 7510-2 bevat de verschillende doelstellingen, beheersmaatregelen en implementatierichtlijnen.

NEN 7510 met INBISCO Secure

INBISCO Secure is de gebruiksvriendelijke totaaloplossing om compliant te zijn aan de NEN 7510. Via het ISMS kunnen de uitgangspunten met betrekking tot informatiebeveiliging vastgelegd worden. De werkwijze wordt doormiddel van de processen, werkinstructies en alle relevante documenten vastgesteld en kunnen zo eenvoudig gedeeld worden met de organisatie.

Het maken van de risico-inventarisatie kan gemakkelijk in de applicatie. Hier kunnen wegingen en acties aan toegevoegd worden. De acties kunnen vervolgens gemonitord worden. Zo kan je continu blijven verbeteren.

Wil jij weten hoe INBISCO jou kan helpen? Vraag dan vrijblijvend een adviesgesprek aan met INBISCO’s Security Officer, Maureen de Raad.

Meld je aan