Vorige maand schreven we over informatiebeveiliging in de zorgwereld en waarom NEN 7510 commercieel interessant is. We ontvingen hier zoveel positieve reacties op, dat we er graag dieper op ingaan. Ditmaal met de vraag: “Wanneer ben je nou eigenlijk klaar voor NEN 7510?”

Is er nog een keuze?

ICT-leveranciers van zorgleners worden vaak gevraagd, of beter gezegd gedwongen, om aan NEN 7510, 7512 én 7513 te voldoen. De standaard modelverwerkersovereenkomst voor de zorgsector (BoZModel Verwerkersovereenkomst) verwoordt het als volgt:

“[…] 4.2  Verwerker werkt aantoonbaar in overeenstemming met ISO 27001 en/of NEN 7510.

4.3  Verwerker voldoet aantoonbaar aan de veiligheidseisen voor netwerkverbindingen zoals beschreven in NEN 7512.

4.4  Verwerker voldoet aantoonbaar aan de eisen ten aanzien van logging zoals beschreven in NEN 7513.

4.5  Verwerker voldoet aantoonbaar aan de eisen van andere NEN-normen voor zover die voor de gezondheidszorg van toepassing zijn verklaard. […]”

Je kunt er als ICT-leverancier in de zorg dus eigenlijk niet meer omheen!

Ben je dan klaar voor NEN 7510 als je aan ISO 27001 voldoet?

Stel dat een leverancier al een ISO 27001 certificaat op zak heeft en nu wil opgaan voor een NEN 7510 certificering, dan is een aantal zaken al afgedekt:

  • NEN 7510-1 gaat in op het zogenaamde Information Security Management System (ISMS) en komt overeen met ISO 27001.
  • NEN 7510-2 behandelt de beheersmaatregelen die moeten worden overwogen. Deze komen overeen met die van ISO 27002 en worden aangevuld met de beheersmaatregelen van ISO 27799.

Een snelle optelsom leidt tot de conclusie dat als een organisatie voldoet aan NEN 7510, deze automatisch ook ISO 27001 naleeft. Maar andersom werkt dit zeker niet! NEN 7510 heeft bijvoorbeeld aanvullende maatregelen voor de screening van personeel. Zo moet de werkgever in de arbeidsvoorwaarden vermelden hoe de medewerkers moeten omgaan met gevoelige informatie, inlogprocedures door middel van tweefactorauthenticatie, scheiden van rollen en rechten enzovoort. Kortom, voor een NEN 7510 certificaat moet je nog echt een stap extra doen.

Nog meer regels…

De laatste maanden is er nog een uitdaging bij gekomen, doordat de Raad voor Accreditatie (RvA) is gekomen met een Specifiek Accreditatie Protocol, SAP-C025. Dit protocol omschrijft het beoordelingsproces voor de certificatie van managementsystemen voor informatiebeveiliging in de zorg volgens NEN 7510-1.

SAP-C025 geeft als aanvulling dat de te certificereninstelling voortaan per cluster moet aangeven wat de van toepassing zijnde wettelijke regels en verordeningen zijn. Hier wordt onderscheid gemaakt tussen Zorginstellingen (cluster Z) en Beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen (cluster B).

Dat betekent dat iedere organisatie, dus ook die uit cluster B(!), voor beide clusters de van toepassing zijnde regels en verordeningen in kaart moet brengen. Als bedrijf uit cluster B moet je dan tevens de wet- en regelgeving in kaart brengen die gelden voor jouw klant uit cluster Z.

Dit maakt het echt complex! Want bij een ICT-leverancier staat vaak data van een zorginstelling, waarvan de leverancier niet weet welke wet en regelgeving hierop betrekking heeft. Neem bijvoorbeeld een hostingpartij die data van een zorginstelling beheert met gegevens over embryo’s. Volgens het protocol dient de leverancier in dit geval ook op de hoogte te zijn van de Embryowet, artikel 5 lid 4. Deze inhoud zal ik je besparen, maar het probleem is duidelijk.

Niet zo eenvoudig als het lijkt

Een ICT-leverancier zal niet van deze wet- en regelgeving op de hoogte zijn en voldoet dus alsnog niet aan de NEN-eisen. De vraag is ook of we dit wel moeten willen. Waarom doet de NEN dit? De reden blijkt eenvoudig. Er zijn te veel niet-zorggerelateerde organisaties met een NEN 7510 certificaat, waardoor er een wildgroei is ontstaan die leidt tot onduidelijkheid in de markt.

De vraag is nu hoe zorginstellingen hiermee om moeten gaan. Mogen ze dit echt verwachten van hun ICT-leveranciers? Voorlopig wordt NEN 7510 duidelijk genoemd in de verwerkersovereenkomsten en bij aanbestedingen is het nog steeds een voorwaarde. Het lijkt mij dat hierover het laatste woord nog niet is gezegd.

Heeft u vragen over de implementatie van NEN 7510 of de aanvulling van NEN 7510, 7512 en/of 7513 op uw huidige ISO 27001 certificering? We helpen u bij inTECHrity graag verder. U kunt contact met ons opnemen door te bellen naar 085 130 1281 of via onze website www.intechrity.nl. Wij zijn officieel ACP-partner van BSI.