Informatiebeveiliging (privacy!) is een gevoelig onderwerp in de zorgwereld. De tijd dat zorginstellingen de normering NEN 7510 konden negeren, ligt dan ook ver achter ons. Tegenwoordig vragen steeds meer ICT-leveranciers aan zorginstellingen zich af of NEN 7510 commercieel gezien ook voor hen een handige stap is.

Dat leveranciers deze vraag vaak stellen aan onze collega Paul den Uijl, is niet zo vreemd. Hij maakt namelijk deel uit van de schrijversgroep van NEN voor de aangepaste norm NEN 7512. Ons antwoord is een volmondig ja! Ik leg je graag uit waarom. Hiervoor is het handig dat we ons verdiepen in de norm zelf en, ook niet onbelangrijk, in de wettelijke basis voor de norm.

Wat is NEN 7510?

Het certificaat NEN 7510 ‘Informatiebeveiliging in de zorg’ is speciaal ontwikkeld voor instellingen in de gezondheidszorg en voor organisaties die patiëntgegevens verwerken of beheren. Het Ministerie van VWS eist van deze instellingen dat de informatiebeveiliging op orde is. Bij de toetsing hiervan hanteert de Inspectie voor de Gezondheidszorg de norm NEN 7510 als kader.

NEN 7510 is gebaseerd op ISO 27001, waarbij de richtlijnen van deze NEN-norm specifiek zijn toegespitst op informatiebeveiliging in de zorgsector.  NEN 7510 dekt het hele gebied van informatiebeveiliging af, dus op technisch, organisatorisch én procedureel vlak. Zo worden de beschikbaarheid, integriteit en vertrouwelijkheid van de patiëntinformatie extra gewaarborgd.

In de wet

Het wettelijk kader van NEN 7510 vind je in het Staatsbesluit van 10 november 2017, “houdende nadere regels over functionele, technische en organisatorische maatregelen bij elektronische gegevensverwerking door en tussen zorgaanbieders”. In dit besluit staat in artikel 3 lid 4 duidelijk beschreven wat belangrijk is voor ICT-dienstverleners aan zorginstellingen:

“Een rechtspersoon, niet zijnde een zorgaanbieder, die een elektronisch uitwisselingssysteem beheert en in stand houdt, voldoet aan de volgende voorwaarden:

  1. een van de rechtspersoon onafhankelijke organisatie heeft na onderzoek vastgesteld dat de rechtspersoon en het systeem dat hij beheert voldoen aan het bepaalde in NEN 7510 en NEN 7512 en heeft die bevinding opgenomen in een door die organisatie ten behoeve van de rechtspersoon opgesteld audit-rapport;
  2. de rechtspersoon heeft het College bescherming persoonsgegevens de in artikel 27 van de wet voorgeschreven melding gedaan onder overlegging van het in onderdeel a bedoelde audit-rapport dat niet ouder is dan drie maanden;
  3. de in onderdeel a bedoelde vaststelling is niet langer dan vijf jaar geleden gedaan.”

Niet één, maar twee! En zelfs drie…

De goede lezer ziet natuurlijk direct dat in dit artikel zelfs twee NEN-normeringen worden genoemd: NEN 7510, de norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg, en NEN 7512, de nadere invulling van NEN 7510 betreffende de veiligheid van gegevensuitwisseling tussen partijen in de zorg. Daarnaast bestaat er nog een aanvullende norm: NEN 7513, de nadere invulling van NEN 7510 betreffende het vastleggen van acties op elektronische patiëntdossiers. Het is duidelijk dat de informatiebeveiliging in de zorg uiterst serieus wordt genomen!

Waarom moet je als leverancier een NEN-certificering willen?

In artikel 3 wordt zowel van de zorgaanbieder als van de verantwoordelijke voor een elektronisch uitwisselingssysteem geëist, dat zij zorgen voor een veilig en zorgvuldig gebruik van hun systemen overeenkomstig het bepaalde in NEN 7510 en NEN 7512. Zij moeten dus voldoen aan de beschreven organisatorische eisen en ervoor zorgen dat de gebruikte systemen voldoen aan de technische eisen. Daarbij wordt expliciet vermeld dat de leveranciers – niet zijnde de zorgverleners zelf – die een elektronisch uitwisselingssysteem beheren en in stand houden, moeten voldoen aan dezelfde eisen. En dat op basis van een onafhankelijk onderzoek moet zijn vastgesteld dat deze leveranciers voldoen aan NEN 7510 en NEN 7512.

Hoe kun je dus het best laten zien dat je als leverancier van ICT-diensten aan een zorginstelling voldoet aan de genoemde eisen? Het antwoord ligt voor de hand: door je te certificeren voor NEN 7510 en, indien van toepassing, ook voor NEN 7512 en 7513. Het commerciële belang hoeft geen verdere toelichting meer, lijkt me.

Heeft u vragen over de implementatie van NEN 7510 of de aanvulling van NEN 7510, 7512 en/of 7513 op uw huidige ISO27001? We helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.