NEN 7510 stappenplanEen (potentiële) klant, actief in de zorg, vraagt of je gecertificeerd bent voor NEN 7510, de norm voor informatiebeveiliging in de zorg. Je bent dat niet, maar wilt wel deze klant bedienen. Wat moet je doen? In dit blogartikel tref je een mini-actieplan aan, dat dieper ingaat op de algemene manier om NEN 7510 te implementeren in jouw organisatie. Met dit NEN 7510 stappenplan helpen we je op weg. Heb je hulp nodig of wil je meer weten? Neem gerust contact op.

Noot vooraf: Het NEN 7510 stappenplan veronderstelt dat je al ISO 27001 gecertificeerd bent of informatiebeveiligingseisen van zorginstellingen kent uit de praktijk en hier een informatiebeveiligingsmanagementsysteem op hebt ingericht en gaat er verder vanuit dat je het idee hebt al dichtbij de eisen van NEN 7510 in de buurt te komen.

Achtergrond van de vraag naar NEN 7510 certificering

Om te beginnen is het goed om te realiseren waaróm je opdrachtgever (de zorginstelling) een NEN 7510 certificering van je vraagt. Over het algemeen komt dat voort vanuit de aan de zorginstelling opgelegde eis om de persoonlijke gezondheidsinformatie die in het zorgverleningsproces omgaat goed te beveiligen. Daarbij moet inzichtelijk worden gemaakt wie er op welk moment in het proces toegang kan hebben tot persoonlijke gezondheidsinformatie. De rol die (medewerkers van) leveranciers daarbij innemen komt hierbij nadrukkelijk aan bod. Je klant moet kunnen aantonen dat de informatiebeveiliging goed geregeld is bij de zaken die hij aan jouw organisatie uitbesteedt. Een NEN 7510 certificaat geeft je klant daarbij de meeste zekerheid.

Tip: Lees ook het artikel ‘Voor wie is NEN 7510 verplicht?

Stap 1: Waar kom je in aanraking met persoonlijke gezondheidsinformatie?

Eerste praktijkvraag (en dus stap 1 in dit NEN 7510 stappenplan) is of je in aanraking komt met persoonlijke gezondheidsinformatie.

‘Informatie over een identificeerbare persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie, waaronder ook begrepen kan worden:
a) informatie over de registratie van de persoon voor de verlening van zorgdiensten;
b) informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
c) een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
d) alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
e) informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof, en
f) identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon’.

Bron: NEN 7510-1:2017, NEN.

Indien je op geen enkele wijze toegang hebt tot persoonlijke gezondheidsinformatie, dan zijn de eisen aan jou als IT-leverancier niet anders dan de eisen van ISO 27001 (de ‘gebruikelijke’ eisen voor informatiebeveiliging). Dan is NEN 7510 certificering ook niet mogelijk.

Kom je wel in aanraking met persoonlijke gezondheidsinformatie, dan worden de specifieke eisen van NEN 7510 relevant. Het verschil tussen ISO 27001 en NEN 7510 ligt in drie unieke eisen voor de zorg en 33 verdiepende eisen. Daarbij is de vraag van belang waar en hoe je in aanraking komt met persoonlijke gezondheidsinformatie. Mogelijk kun je de NEN 7510 certificering behalen zonder aan al deze 36 aanvullende eisen van de NEN norm te moeten voldoen (je bent als ICT bedrijf immers geen zorgverlener). Door goed in beeld te brengen waar en hoe je in aanraking komt met persoonlijke gezondheidsinformatie, kun je bepalen welke beveiligingseisen vanuit NEN 7510 relevant zijn voor jouw specifieke dienstverlening. Ben je bijvoorbeeld verantwoordelijk voor de opslag van dit soort gegevens, dan moet je ze encrypten. Maar als een ander ze alleen aan jou toont terwijl je ondersteunt bij een incident, dan heb je naar verwachting niet eens de mogelijkheid deze te encrypten. Mogelijk gaan die eisen dus niet verder dan de beheersing die je al ingericht hebt. Zo voorkom je de valkuil dat je te veel werk oppakt – of dat je ten onrechte opziet tegen het werk dat op je afkomt, terwijl het in de praktijk mogelijk meevalt!

Artikeltip: ‘Kiezen voor ISO 27001 of NEN 7510? Of beide? En zijn er alternatieven?

Stap 2: Welke aanvullende/verdiepende eisen van NEN 7510 zijn voor jou relevant?

Je hebt in de voorgaande stap uit dit NEN 7510 stappenplan vastgesteld op welke momenten en hoe je in aanraking komt met gezondheidsinformatie. De volgende stap is controleren welke van die aanvullende  eisen van NEN 7510 relevant voor je zijn en in welke mate je hier al aan voldoet. Voor een gemiddeld ICT bedrijf zijn er zaken wél en zaken niet relevant. Hieronder enkele praktijkvoorbeelden van zaken die je mogelijk op orde moet hebben:

  1. Backup; NEN 7510 stelt de volgende zorgspecifieke beheersmaatregelen (A.12.3.1):
    1. De locatie van de backup dient fysiek beveiligd te zijn;
    2. Persoonlijke gezondheidsinformatie dient encrypted te worden opgeslagen.
  2. Stel, je levert een app of cloud-oplossing waarin persoonlijke gezondheidsinformatie aanwezig is, zoals een EPD. Dan geldt voor die applicatie en het beheer daarvan onder andere:
    1. Toegang moet beperkt zijn tot personen met een zorgrelatie en er moet een actieve behoefte zijn tot toegang tot deze gegevens (A.9.1.1).
    2. Die toegang moet gebaseerd zijn op rollen met bevoegdheden die beperkt zijn tot de behoeften van die rol.
    3. Voor toegang moet multi-factor authenticatie worden toegepast (A.9.4.1)
    4. Er gelden uitgebreide regels en een datamodel voor het loggen van activiteiten in de applicatie (A.12.4.1, de NEN 7513 norm).

Je merkt aan deze twee voorbeelden al dat het per ICT-leverancier zal verschillen wat er (nog) moet worden gedaan om NEN 7510 gecertificeerd te kunnen worden. Lever of ontwikkel je bijvoorbeeld geen EPD? Dan hoef je die zaken niet te regelen. En worden de backups die je verzorgt al standaard encrypted opgeslagen, dan heb je op dat punt geen aanvullend werk meer te verrichten.

Onderdelen uit de NEN 7510 norm die je als ICT-leverancier waarschijnlijk direct al (gedeeltelijk) uit kunt sluiten zijn er ook, zoals:

  1. Screening: je medewerkers verlenen geen zorg; screening van zorgkwalificaties of BIG-registratie is dan ook niet van toepassing.
  2. Plaatsing van apparatuur: als je geen fysieke apparatuur levert, hoef je geen rekening te houden met de elektromagnetische emissies van apparatuur.

NEN 7510 verplichtStap 3: Hoe verder met implementatie en certificering?

Uitkomst van de controle bij stap 2 is een overzicht met de eisen die voor jou relevant zijn en waar je al aan voldoet of niet.

Tip: De uitkomsten van de controle kun je (afhankelijk van de uitkomst) natuurlijk al delen met de (potentiële) opdrachtgever. In sommige gevallen is dit overzicht al voldoende en is een certificaat niet strikt noodzakelijk.

De controle kan leiden tot drie mogelijke conclusies:

  1. Je hebt alle punten al ingericht en kunt dit bewijzen met praktijkvoorbeelden.
  2. Je hebt nog niet alles ingericht, maar de op te lossen punten zijn snel te implementeren.
  3. Je hebt nog lang niet alles ingericht en denkt dat het langer dan drie maanden gaat duren om dit voor elkaar te krijgen.

Meer weten over het NEN 7510 ISMS? Lees het artikel: ‘NEN 7510 Information Security Management System (ISMS)

Per situatie adviseren wij je het volgende te doen:

  1. Bel direct met je certificerende instelling dat je geauditeerd wilt worden en leg de situatie uit. Hun agenda is naar verwachting bepalend voor de snelheid waarmee de certificering gerealiseerd kan worden. Je controleert in de tussentijd je bestaande managementsysteem op aanvullende (zorg gerelateerde) stakeholdereisen en eventuele nieuwe risico’s; dit zal naar verwachting beperkt zijn. Je voegt NEN 7510 toe aan je beleidsdocumenten, voert een beperkte interne audit uit en voert een directiebeoordeling uit over de nieuwe zaken. Je past je Verklaring van Toepasselijkheid aan. Als je al ISO 27001 gecertificeerd bent, klinkt dit ongetwijfeld allemaal bekend. Met enige inspanning is dit binnen enkele weken gedaan.
  2. Je doet hetzelfde als bij punt één, maar zal meer tijd nodig hebben om de nieuwe risico’s te benoemen en maatregelen te implementeren. De doorlooptijd loopt hierdoor op: een audit kan pas plaatsvinden als de nieuwe maatregelen drie maanden in de praktijk zijn gebracht. Een valkuil kan zijn dat je te snel wilt gaan. Vaak is je (potentiële) opdrachtgever al tevreden met de controle die je hebt uitgevoerd en de verbetering die je in gaat zetten. In specifieke gevallen, zoals tenders of bij grote opdrachtgevers, kun je ‘implementatietijd kopen’ door aan je opdrachtgever verklaringen te overleggen van een adviesbureau en de certificerende instelling, waarin de status en verwachte realisatiedatum van de certificering staan vermeld.
  3. Het is goed om te beseffen dat informatiebeveiliging geen ‘papieren formaliteit’ is, maar dat je dit echt doet uit risicobeheersing voor jezelf en je stakeholders. Als je bijvoorbeeld een EPD aanbiedt, wil je erop kunnen vertrouwen dat dit echt veilig functioneert. Is bij de bouw bijvoorbeeld rekening gehouden met het datamodel voor logging? Je opdrachtgever en zijn cliënten verwachten dat dit op orde is. Je kunt als je met de implementatie van de NEN 7510 eisen aan de slag gaat, nog bepalen of je een bepaald deel van je activiteiten wilt certificeren en andere aspecten (vooralsnog) buiten beeld wilt laten. Door de ‘bijsluiter’ bij je certificaat (de Verklaring van Toepasselijkheid) is expliciet zichtbaar waar je voor staat als het gaat om informatiebeveiliging.

Lees het artikel: ‘Verklaring van Toepasselijkheid (VvT) bij NEN 7510:2017

Samengevat: NEN 7510 stappenplan voor certificering

Kortom, als je van (potentiële) opdrachtgevers de vraag krijgt naar een NEN 7510 certificering, is het NEN 7510 stappenplan compact:

  • Stel de eisen van de klant vast en bij welke activiteiten je echt in aanraking komt met (persoonlijke) gezondheidsinformatie.
  • Controleer op basis van die activiteiten, welke eisen er voor jouw organisatie gelden, en of je hier al aan voldoet.
  • Trek een conclusie over hoeveel werk er nog te doen is.
  • Communiceer met je opdrachtgever, bepaal wát je invoert en of je jezelf laat certificeren.
  • Zet door en houd de focus, zoals bij elk nieuw thema dat aandacht verdient.
  • Vier het behalen van je certificering en deel het met je klanten en de rest van de wereld.

Meer informatie of hulp nodig?

Met een NEN 7510 toon je als organisatie patiënten/cliënten, leveranciers, zorgverzekeraars en andere belanghebbende partijen aan dat je zorgvuldig en vertrouwelijk omgaat met privacygevoelige gegevens en de juiste beheersmaatregelen hebt getroffen. Wil je als zorginstelling of toeleverancier aan de zorgsector aan de slag met het behalen van NEN 7510? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag verder.

NEEM CONTACT OP

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl