In de zorgsector is informatiebeveiliging een hot topic. Wekelijks verschijnen er wel berichten over zorginstellingen die getroffen zijn door ransomware of die te maken hebben met een datalek. Met alle schadelijke gevolgen van dien voor zowel cliënten als de zorginstelling zelf in de vorm van verstoring van de continuïteit van het zorgproces (in geval van ransomware) of verlies of oneigenlijk gebruik van persoonlijke gezondheidsgegevens (bij datalekken).
Wetgeving
Als zorginstelling heb je te maken met patiënt- en gezondheidsgegevens. Gevoelige persoonsgegevens, die niet op straat moeten komen te liggen. Daarnaast ook essentiële data voor de continuïteit van het zorgproces. Dit maakt een zorginstelling kwetsbaar voor kwaadwillenden (bijv. ransomware). Logisch dus, dat al enige tijd in de wetgeving is opgenomen dat zorginstellingen moeten voldoen aan de eisen van NEN 7510, de norm voor informatiebeveiliging in de zorg. Certificering is hierbij niet verplicht, aantoonbaar voldoen wel. Het feit dat het toch met regelmaat misgaat, is wel een indicator dat informatiebeveiliging nog niet overal het juiste (NEN 7510) niveau heeft. En dat wekt geen verbazing, want zeg nu zelf: is veilig omgaan met informatie in jouw organisatie ‘on top of mind’?
Artikeltip: ‘Voor wie is NEN 7510 verplicht?’
Wat is NEN 7510 precies?
NEN 7510 is een (Nederlandse) norm voor informatiebeveiliging, gericht op de zorgsector. Het biedt zorginstellingen en toeleveranciers die verwerker zijn van patiëntgegevens een leidraad voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie. De norm is gebaseerd op (en grotendeels gelijk aan) de internationale (generieke) norm voor informatiebeveiliging, de ISO 27001. Het grootste verschil is dat de NEN 7510 een specifieke ‘vertaalslag’ maakt naar het omgaan met persoonlijke gezondheidsgegevens. Om de certificering te behalen, zet je een ‘Information Security Management System’ (ISMS) op. Naast de verplichting vanuit de wet om te voldoen aan de eisen van de norm, wordt de certificering ook vaak door zorginstellingen gevraagd van hun (IT) leveranciers.
Artikeltip: ‘NEN 7510 Information Security Management System (ISMS)’.
Een eerste stap naar certificering?
Informatiebeveiligingsrisico’s worden voor iedere organisatie steeds belangrijker. Niets doen is geen optie meer! Is het niet vanuit eigen behoefte, dan wel vanuit eisen van klanten/stakeholders. Tijd om aan de slag te gaan dus! Maar hoe? Een laagdrempelige en toegankelijke manier hiervoor is door te beginnen met een NEN 7510 opstaptraject!
Vergeet het handboek!
Vaak wordt bij het implementeren van een ISO/NEN norm al snel gedacht aan het opstellen van een handboek. Dat is niet gek, in het verleden werd om een verplichte structuur van vastlegging gevraagd. In het handboek werd dan alles wat je deed op het gebied van bescherming van medische persoonsgegevens gedocumenteerd. Je kunt je voorstellen dat dit resulteert in een dik en wollig praktijkboek met allerlei procedures, formulieren en checklists!
Tegenwoordig is dit gelukkig niet meer het geval. Het verplichte handboek is verleden tijd met de komst van de nieuwe generatie normen. Er wordt niet meer gesproken over een handboek, maar over ‘gedocumenteerde informatie’.
Meer weten? Lees dan ook het artikel: ‘ISO 9001:2015: Geen handboek maar gedocumenteerde informatie‘.
Wat levert NEN 7510 op?
Waarom zou je, naast dat je verplicht bent te voldoen aan bepaalde eisen, aan de slag gaan met NEN 7510? Met andere woorden: wat zijn de voordelen van de norm? We zetten er een aantal voor je op een rij:
- Je onderzoekt, beoordeelt en beheert de risico’s binnen je organisatie op een structurele manier. En daarnaast formaliseer je de processen, procedures en documentatie voor gegevensbeveiliging. Dit zorgt voor verlaging van de kans op incidenten met alle negatieve (imago-, financiële en andere) schadelijke consequenties van dien.
- Je toont aan dat je informatiebeveiliging goed geborgd is. Dit geeft zekerheid bij externe partijen zoals patiënten of zorgverzekeraars.
- Er komt een proces van continu verbeteren op gang doordat je de prestaties van je organisatie op de voet volgt met behulp van het structurele beoordelingsproces.
Hoe pak je NEN 7510 implementatie aan?
Het opzetten van een informatiebeveiligingsmanagementsysteem op basis van NEN 7510 is een niet te onderschatten karwei. Het is van belang een interne kartrekker te hebben (Security Officer) en om stakeholders vanuit verschillende relevante afdelingen/functies bij het traject te betrekken. Denk hierbij aan directie, ICT, HR, Facilitaire zaken en de verantwoordelijken voor het primaire proces. Ook is het van belang om vanaf het begin de overige medewerkers mee te nemen in (verbetering van) informatiebeveiligingsbewustzijn.
Aanschaf van de norm is stap 1. Vervolgens maak je vanuit een risicoanalyse de vertaalslag naar de toepassing van de normeisen/beheersmaatregelen binnen jouw organisatie. Daarbij is het raadzaam om het traject in stappen op te delen, te prioriteren en te beginnen met de ‘basics’ (het laaghangend fruit) en voldoende tijd uit te trekken om zaken goed en aantoonbaar te laten landen binnen de organisatie.
Wil je meer weten over NEN 7510 of heb je hulp nodig? Neem gerust contact met ons op!
