Informatiebeveiliging in de zorg: start met NEN 7510!

In de zorgsector is informatiebeveiliging een hot topic. Wekelijks verschijnen er wel berichten over zorginstellingen die getroffen zijn door ransomware of die te maken hebben met een datalek. Met alle schadelijke gevolgen van dien voor zowel cliënten als de zorginstelling zelf in de vorm van verstoring van de continuïteit van het zorgproces (in geval van ransomware) of verlies of oneigenlijk gebruik van persoonlijke gezondheidsgegevens (bij datalekken).

Als zorginstelling heb je te maken met patiënt- en gezondheidsgegevens. Gevoelige persoonsgegevens, die niet op straat moeten komen te liggen. Daarnaast ook essentiële data voor de continuïteit van het zorgproces. Dit maakt een zorginstelling kwetsbaar voor kwaadwillenden (bijv. ransomware). Logisch dus, dat al enige tijd in de wetgeving is opgenomen dat zorginstellingen moeten voldoen aan de eisen van NEN 7510, de norm voor informatiebeveiliging in de zorg. Certificering is hierbij niet verplicht, aantoonbaar voldoen wel. Het feit dat het toch met regelmaat misgaat, is wel een indicator dat informatiebeveiliging nog niet overal het juiste (NEN 7510) niveau heeft. En dat wekt geen verbazing, want zeg nu zelf: is veilig omgaan met informatie in jouw organisatie ‘on top of mind’?

NEN 7510 is een (Nederlandse) norm voor informatiebeveiliging, gericht op de zorgsector. Het biedt zorginstellingen en toeleveranciers die verwerker zijn van patiëntgegevens een leidraad voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie. De norm is gebaseerd op (en grotendeels gelijk aan) de internationale (generieke) norm voor informatiebeveiliging, de ISO 27001. Het grootste verschil is dat de NEN 7510 een specifieke ‘vertaalslag’ maakt naar het omgaan met persoonlijke gezondheidsgegevens. Om de certificering te behalen, zet je een ‘Information Security Management System’ (ISMS) op. Naast de verplichting vanuit de wet om te voldoen aan de eisen van de norm, wordt de certificering ook vaak door zorginstellingen gevraagd van hun (IT) leveranciers.

Vaak wordt bij het implementeren van een ISO/NEN norm al snel gedacht aan het opstellen van een handboek. Dat is niet gek, in het verleden werd om een verplichte structuur van vastlegging gevraagd. In het handboek werd dan alles wat je deed op het gebied van bescherming van medische persoonsgegevens gedocumenteerd. Je kunt je voorstellen dat dit resulteert in een dik en wollig praktijkboek met allerlei procedures, formulieren en checklists!

Tegenwoordig is dit gelukkig niet meer het geval. Het verplichte handboek is verleden tijd met de komst van de nieuwe generatie normen. Er wordt niet meer gesproken over een handboek, maar over ‘gedocumenteerde informatie’.

Het opzetten van een informatiebeveiligingsmanagementsysteem op basis van NEN 7510 is een niet te onderschatten karwei. Het is van belang een interne kartrekker te hebben (Security Officer) en om stakeholders vanuit verschillende relevante afdelingen/functies bij het traject te betrekken. Denk hierbij aan directie, ICT, HR, Facilitaire zaken en de verantwoordelijken voor het primaire proces. Ook is het van belang om vanaf het begin de overige medewerkers mee te nemen in (verbetering van) informatiebeveiligingsbewustzijn.

Aanschaf van de norm is stap 1. Vervolgens maak je vanuit een risicoanalyse de vertaalslag naar de toepassing van de normeisen/beheersmaatregelen binnen jouw organisatie. Daarbij is het raadzaam om het traject in stappen op te delen, te prioriteren en te beginnen met de ‘basics’ (het laaghangend fruit) en voldoende tijd uit te trekken om zaken goed en aantoonbaar te laten landen binnen de organisatie.

Wil je meer weten over NEN 7510 of heb je hulp nodig? Neem gerust contact met ons op!