Informatiebeveiliging in de zorg: start met NEN 7510!

Zorginstellingen werken met vertrouwelijke patiëntgegevens. Waardevolle data, ook voor kwaadwillenden! Logisch dus, dat in de wetgeving is opgenomen dat zorginstellingen moeten voldoen de NEN 7510 eisen.

NEN 7510 zorg
Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens@certificeringsadvies.nl

In de zorgsector is informatiebeveiliging een hot topic. Wekelijks verschijnen er wel berichten over zorginstellingen die getroffen zijn door ransomware of die te maken hebben met een datalek. Met alle schadelijke gevolgen van dien voor zowel cliënten als de zorginstelling zelf in de vorm van verstoring van de continuïteit van het zorgproces (in geval van ransomware) of verlies of oneigenlijk gebruik van persoonlijke gezondheidsgegevens (bij datalekken).

Wetgeving

Als zorginstelling heb je te maken met patiënt- en gezondheidsgegevens. Gevoelige persoonsgegevens, die niet op straat moeten komen te liggen. Daarnaast ook essentiële data voor de continuïteit van het zorgproces. Dit maakt een zorginstelling kwetsbaar voor kwaadwillenden (bijv. ransomware). Logisch dus, dat al enige tijd in de wetgeving is opgenomen dat zorginstellingen moeten voldoen aan de eisen van NEN 7510, de norm voor informatiebeveiliging in de zorg. Certificering is hierbij niet verplicht, aantoonbaar voldoen wel. Het feit dat het toch met regelmaat misgaat, is wel een indicator dat informatiebeveiliging nog niet overal het juiste (NEN 7510) niveau heeft. En dat wekt geen verbazing, want zeg nu zelf: is veilig omgaan met informatie in jouw organisatie ‘on top of mind’?

Wat is NEN 7510 precies?

NEN 7510 is een (Nederlandse) norm voor informatiebeveiliging, gericht op de zorgsector. Het biedt zorginstellingen en toeleveranciers die verwerker zijn van patiëntgegevens een leidraad voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie. De norm is gebaseerd op (en grotendeels gelijk aan) de internationale (generieke) norm voor informatiebeveiliging, de ISO 27001. Het grootste verschil is dat de NEN 7510 een specifieke ‘vertaalslag’ maakt naar het omgaan met persoonlijke gezondheidsgegevens. Om de certificering te behalen, zet je een ‘Information Security Management System’ (ISMS) op. Naast de verplichting vanuit de wet om te voldoen aan de eisen van de norm, wordt de certificering ook vaak door zorginstellingen gevraagd van hun (IT) leveranciers.

Vergeet het handboek!

Vaak wordt bij het implementeren van een ISO/NEN norm al snel gedacht aan het opstellen van een handboek. Dat is niet gek, in het verleden werd om een verplichte structuur van vastlegging gevraagd. In het handboek werd dan alles wat je deed op het gebied van bescherming van medische persoonsgegevens gedocumenteerd. Je kunt je voorstellen dat dit resulteert in een dik en wollig praktijkboek met allerlei procedures, formulieren en checklists!

Tegenwoordig is dit gelukkig niet meer het geval. Het verplichte handboek is verleden tijd met de komst van de nieuwe generatie normen. Er wordt niet meer gesproken over een handboek, maar over ‘gedocumenteerde informatie’.

Wat levert NEN 7510 op?

Waarom zou je, naast dat je verplicht bent te voldoen aan bepaalde eisen, aan de slag gaan met NEN 7510? Met andere woorden: wat zijn de voordelen van de norm? We zetten er een aantal voor je op een rij:

  • Je onderzoekt, beoordeelt en beheert de risico’s binnen je organisatie op een structurele manier. En daarnaast formaliseer je de processen, procedures en documentatie voor gegevensbeveiliging. Dit zorgt voor verlaging van de kans op incidenten met alle negatieve (imago-, financiële en andere) schadelijke consequenties van dien.
  • Je toont aan dat je informatiebeveiliging goed geborgd is. Dit geeft zekerheid bij externe partijen zoals patiënten of zorgverzekeraars.
  • Er komt een proces van continu verbeteren op gang doordat je de prestaties van je organisatie op de voet volgt met behulp van het structurele beoordelingsproces.

Hoe pak je NEN 7510 implementatie aan?

Het opzetten van een informatiebeveiligingsmanagementsysteem op basis van NEN 7510 is een niet te onderschatten karwei. Het is van belang een interne kartrekker te hebben (Security Officer) en om stakeholders vanuit verschillende relevante afdelingen/functies bij het traject te betrekken. Denk hierbij aan directie, ICT, HR, Facilitaire zaken en de verantwoordelijken voor het primaire proces. Ook is het van belang om vanaf het begin de overige medewerkers mee te nemen in (verbetering van) informatiebeveiligingsbewustzijn.

Aanschaf van de norm is stap 1. Vervolgens maak je vanuit een risicoanalyse de vertaalslag naar de toepassing van de normeisen/beheersmaatregelen binnen jouw organisatie. Daarbij is het raadzaam om het traject in stappen op te delen, te prioriteren en te beginnen met de ‘basics’ (het laaghangend fruit) en voldoende tijd uit te trekken om zaken goed en aantoonbaar te laten landen binnen de organisatie.

Wil je meer weten over NEN 7510 of heb je hulp nodig? Neem gerust contact met ons op!

New call-to-action

Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens@certificeringsadvies.nl

Download NEN 7510 informatiegids

Aan de slag met NEN 7510? Download vrijblijvend de handige NEN 7510 informatiegids. Met daarin:

  • Uitleg over de norm
  • Antwoord op al je vragen
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields