De wet- en regelgeving omtrent informatiebeveiliging in de zorg

De zorgsector heeft te maken met tal van wetgevingen. Hiervan is het veilig omgaan met informatie een belangrijk onderdeel aangezien er wordt gewerkt met gevoelige informatie en persoonsgegevens. Het is essentieel om hier zorgvuldig mee om te gaan. Veel zorginstellingen zoeken aansluiting bij de ontwikkelde standaarden voor informatiebeveiliging, zoals ISO 27001 of NEN 7510. De normen zijn namelijk o.a. gebaseerd op geldende wet- en regelgeving. Naast het gebruiken van de norm als hulpmiddel om aan wet- en regelgeving te voldoen, heeft het meer voordelen. Daarover lees je meer in het artikel ‘De voordelen van een NEN 7510 managementsysteem in de zorg’. Maar met welke wet- en regelgeving krijg je eigenlijk te maken in de zorg? En hoe staat dat in relatie tot NEN 7510? Daarover lees je meer in dit artikel.

Een zorginstelling (of een leverancier die aan de zorg levert) mag geen onnodige risico’s lopen bij het verwerken van persoonsgegevens. Bekende voorbeelden van ‘eisen’ die opgenomen zijn in de wet- en regelgeving zijn:

‘Simpel’ gezegd moeten zorginstellingen vanuit de wet technische en organisatorische maatregelen treffen om een adequaat informatiebeveiligingsniveau te kunnen garanderen. Per situatie kan dit dus een eigen invulling krijgen.

Bij informatiebeveiliging gaat het om een drietal aspecten: Beschikbaarheid, Integriteit en Vertrouwelijkheid. In de zorgsector houdt dat het volgende in:

Vanuit de wet- en regelgeving worden hier gerichte eisen aan gesteld.

Voldoen aan alle wetten en regels waar je als zorginstelling (of leverancier aan de zorg) mee te maken hebt kan een flinke klus zijn. Waar begin je? Moet je op een nieuwe manier gaan werken of kun je het laten aansluiten op je huidige werkwijze? Hoe weet je of je daadwerkelijk voldoet? Hoe zorg je ervoor dat alle mensen binnen je organisatie meewerken? Hoe verhoog je het bewustzijn?

Een NEN 7510 informatiebeveiligingsmanagementsysteem biedt hiervoor passende handvatten. Het gaat hierbij om het implementeren van een Plan-Do-Check-Act cyclus, waarbij:

Hoewel in het opzetten hiervan de nodige tijd en energie gaat zitten, leert de praktijk dat, wanneer het NEN 7510 managementsysteem eenmaal staat, er weinig ‘ballast’ wordt ervaren. Zeker wanneer het bewustzijn op niveau is, is het een kwestie van ‘wennen’ aan de aangepaste manier van werken.

In de NEN 7510 zijn processen en maatregelen beschreven/voorgeschreven om hier invulling aan te geven. Het is van belang om goed in beeld te brengen in welke mate de huidige manier van werken hier al wel of niet bij aansluit. De praktijk leert dat veel aspecten binnen de organisatie al goed geregeld zijn. Het is daarom verstandig om te beginnen met een nulmeting (GAP-analyse), waardoor je goed in kaart hebt wat er al geregeld is en waar de aandachtspunten zitten.

Aangezien de NEN 7510 norm behoorlijk uitgebreid en diepgaand is en in eerste instantie als een ‘berg’ wordt ervaren, schuiven veel organisaties de implementatie ervan voor zich uit. Helaas worden daarmee ook de meest urgente/bedreigende risico’s ook niet aangepakt. Onze visie: overweeg om de norm ‘in stukjes te hakken’ en te beginnen bij de ‘basics’ die de grootste risico’s wegnemen.

NEN 7510 certificering is niet voor alle zorginstellingen verplicht vanuit de wet. In het kader van de verwerking van het Burgerservicenummer zijn zorgverleners al wel verplicht om conform de eisen van norm te werken (maar certificering wordt niet vereist). Voor ziekenhuizen geldt dat IGJ vereist dat ze met ingang van 2024 aantoonbaar voldoen aan de eisen van NEN 7510, wat feitelijk op certificering neerkomt.
Daarnaast is NEN 7510 voor diverse partijen binnen de branche (bijvoorbeeld Vecozo) verplicht gesteld als aansluitvoorwaarde. Gezien de verantwoordelijkheden binnen de keten, geldt NEN 7510 verder niet alleen voor zorginstellingen, maar ook voor:

Heb jij ondersteuning nodig bij het voldoen aan de wet- en regelgeving omtrent informatiebeveiliging in de zorg? Neem dan gerust contact met ons op. We helpen je graag!