Een handboek NEN 7510? Dat is verleden tijd!

Bij CertificeringsAdvies Nederland verzorgen we adviestrajecten en trainingen met betrekking tot NEN 7510. Met regelmaat krijgen we daarbij vanuit organisaties die met NEN 7510 aan de slag willen de vraag of er een ‘handboek NEN 7510’ opgezet moet worden. Daarover kunnen we kort en bondig zijn: een handboek NEN 7510 of praktijkboek NEN 7510, zoals het ooit ook wel werd genoemd, is verleden tijd. Waar laat je dan al je documentatie? Het antwoord daarop vertellen we je in dit blogartikel.

Allereerst nog even terug naar de NEN 7510 norm. Wat is dat ook weer precies? NEN 7510 biedt zorginstellingen, en toeleveranciers die te maken hebben met patiëntgegevens, binnen de Nederlandse zorgsector een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Belangrijk natuurlijk, vanwege de verwerking van gevoelige gegevens. Om het NEN 7510 certificaat te behalen moet je aantoonbaar maken dat je voldoet aan de eisen uit de norm. Dat doe je, net als bij de ISO 27001 norm, door een managementsysteem op te zetten, ook wel het Information Security Management System (ISMS) genoemd.

In het verleden werd er bij het implementeren van NEN 7510 al snel gedacht aan het optuigen van een handboek NEN 7510. En terecht, want destijds was dat ook daadwerkelijk wat er gebeurde. Er werd een dik en wollig praktijkboek NEN 7510 gemaakt waarin alles wat de organisatie deed op het gebied van bescherming van medische persoonsgegevens werd beschreven. Dat was immers nodig om te voldoen aan de eisen van de norm waarin om een verplichte structuur van vastlegging werd gevraagd. Zo bestond het handboek uit allerlei gedocumenteerde procedures, formulieren en checklists. Om die reden associëren veel organisaties ISO- en NEN-normen, zoals NEN 7510, tot op de dag van vandaag met dikke pakken papier.

Gelukkig is dat in de praktijk veranderd. Met de komst van de nieuwe generatie normen is het verplichte handboek NEN 7510 verleden tijd. Tegenwoordig wordt er bij NEN 7510 (en bij andere ISO-normen of afgeleiden daarvan) niet meer gesproken over een handboek, maar over ‘gedocumenteerde informatie’. Dat is eigenlijk een overkoepelende term voor alle documenten en systemen die je in je organisatie gebruikt.

Hoef je dan als organisatie niets meer vast te leggen? Natuurlijk wel! Je bent als organisatie echter vrij om zelf te bepalen op welke manier je iets vastlegt. Het belangrijkste van informatiebeveiliging, en de NEN 7510 norm, is dat je risico’s in kaart brengt en daarvoor beheersmaatregelen treft. Het draait er daarbij om ‘bewijs’ te leveren dat de beheersmaatregel is geïmplementeerd en effectief is, en niet om de manier waarop je iets documenteert of vastlegt. Bij veel organisaties zie je dat het papieren handboek inmiddels is omgezet naar een modern managementsysteem.

Wanneer we binnen de NEN 7510 norm spreken over een managementsysteem, dan bedoelen we een Information Security Management System (ISMS). In dat systeem wordt veel meer vastgelegd dan enkel een uitwerking van beleidsstukken en procedures. Het ISMS is veel meer een hulpmiddel bij de bedrijfsvoering en zorgt ervoor dat de kwaliteit van de gezondheidsinformatie die wordt verwerkt, geborgd en verbeterd wordt. En dat is precies waar het om draait!

Wil je aan de slag met NEN 7510 of heb je vragen over het opzetten van een ISMS? Neem dan gerust contact met ons op. Wij helpen je graag op weg!