Naast focus op kwaliteit (ISO 9001/HKZ) steeds meer aandacht voor informatiebeveiliging in de zorg (NEN 7510)
Naast de focus op kwaliteit in de zorg, komt er in de sector ook steeds meer focus op informatiebeveiliging. In dit artikel vertellen we er meer over.
Nelis van de Pol is directeur bij CertificeringsAdvies Nederland. 'Na jaren als ondernemer te hebben gewerkt, heb ik CertificeringsAdvies Nederland opgezet. Jouw partner, in certificeren!'
nelis@certificeringsadvies.nlHet leveren van verantwoorde zorg en het systematisch bewaken, beheersen en verbeteren van de kwaliteit van de zorg is al jarenlang verplicht volgens de Kwaliteitswet Zorginstellingen. Eén van de redenen waarom veel organisaties in de zorg beschikken over een ISO 9001- of HKZ-certificering. Naast het belang van kwaliteit in de zorg, krijgt ook informatiebeveiliging in deze sector met hoog tempo meer urgentie. De duimschroeven voor aantoonbare informatiebeveiliging worden in de zorgsector steeds verder aangedraaid. Zo is bijvoorbeeld de ‘Wet informatiebeveiliging’ sinds dit jaar (2023) verplicht voor ziekenhuizen. De NEN 7510 norm vormt de basis hiervoor. De hoogste tijd dus om ook hiermee aan de slag te gaan!
Belang en urgentie van informatiebeveiliging in de zorg
Als zorginstelling heb je te maken met een breed scala aan wet- en regelgeving. Denk bijvoorbeeld aan de Arbowet, de Kwaliteitswet Zorginstellingen, de Wet Beroepen in de individuele Gezondheidszorg en de Algemene Verordering Gegevensbescherming (AVG).
In het verlengde van de AVG, zijn zorgverleners in het kader van de verwerking van het Burgerservicenummer verder verplicht om conform de eisen van de NEN 7510 norm voor informatiebeveiliging te werken (certificering wordt nog niet vereist). Voor ziekenhuizen geldt dat IGJ vereist dat ze met ingang van 2024 vanuit de ‘Wet Informatiebeveiliging’ sinds 2023 aantoonbaar voldoen aan de eisen van NEN 7510, wat feitelijk wel op certificering neerkomt.
Niet vreemd natuurlijk, aangezien met de toenemende digitalisering in de zorg steeds meer (medische) persoonsgegevens worden vastgelegd in systemen, waartussen ook steeds meer uitwisseling plaatsvindt. Dit brengt risico’s met zich mee als het gaat om de beschikbaarheid van de gegevens (op het juiste moment op de juiste plaats beschikbaar), de integriteit van de gegevens (je moet kunnen vertrouwen op de juistheid ervan) en de vertrouwelijkheid van de gegevens (niet toegankelijk voor onbevoegden). Het gaat hierbij niet alleen om IT-technische risico’s, maar ook om hoe de fysieke omgeving (panden, kantoren, behandelruimtes, apparatuur etc) beveiligd wordt, hoe de organisatieprocessen zijn ingericht en niet in de laatste plaats de mate van bewustzijn (en het daarnaar handelen) bij de medewerkers m.b.t. het organisatiebeleid op deze gebieden (wat mag er wel en niet met de gegevens worden gedaan).
Geen zorginstelling ontkomt aan een focus op informatiebeveiliging
Gezien het bovenstaande kan je stellen dat geen organisatie in de zorgsector (cure en/of care) eraan ontkomt om in meer of mindere mate aandacht te besteden aan informatiebeveiliging. De mate waarin, is afhankelijk van de context van de organisatie (type instelling, grootte, diensten, type cliënten, systemen etc). Maar niets doen is geen optie.
Voor iedere organisatie vormt de NEN 7510 norm een bruikbaar (of zelfs noodzakelijk) uitgangspunt hiervoor. Voor sommige zal hierbij een selectie van ‘basismaatregelen’ uit de norm vooralsnog voldoende zijn om risico’s vooralsnog voldoende af te dekken, voor anderen zal volledige implementatie (en eventueel certificering) nodig zijn.
Managementsysteem als basis
De NEN 7510 is een zogenoemde managementsysteemnorm. Er zijn in de wereld managementsysteemnormen rondom diverse thema’s, bijvoorbeeld kwaliteitsmanagement, milieumanagement, arbo- en veiligheidsmanagement en informatiebeveiligingsmanagement. Bij een managementsysteem gaat het om het implementeren van een Plan-Do-Check-Act (PDCA) cyclus, waarbij:
- aantoonbaar wordt nagedacht over de eisen/verwachtingen die er bij belanghebbenden (en dus ook vanuit wet- en regelgeving) zijn rondom het thema, over risico’s dat niet aan deze eisen wordt voldaan en over beleid en maatregelen om die risico’s te beperken (PLAN);
- gewerkt wordt conform beleid en maatregelen (DO);
- hierop wordt toegezien/gemonitord (CHECK)
- continu wordt gewerkt aan verdere verbetering (ACT).
ISO-managementsysteemnormen zijn opgebouwd vanuit de Harmonized Structure. Dit is een uniforme standaardopbouw voor alle managementsysteemnormen waardoor normen voor verschillende thema’s (bijv. ISO 9001 kwaliteitsmanagement en ISO 27001 informatiebeveiliging) qua structuur nauw op elkaar aansluiten, wat gecombineerde/geïntegreerde implementatie van verschillende normen eenvoudiger maakt.
HKZ
De eisen van HKZ certificeringen zijn afgeleid van de eisen van ISO 9001:2015 en sluiten aan op actuele thema’s binnen zorgorganisaties. Doordat HKZ uitsluitend is gericht op de zorgsector zijn de eisen wel specifieker dan de eisen in de (voor organisaties in alle sectoren toepasbare) ISO 9001 norm. Aangezien continu verbeteren (net zoals bij de ISO 9001 norm) in de HKZ-normen centraal staat, wordt ook hier de Plan-Do-Check-Act (PDCA) cyclus toegepast en gebruikt als fundament van de norm. Daarnaast werkt de certificatiecyclus bij beide normen ook hetzelfde.
Over het algemeen volgen de HKZ-normen (volledig danwel in afgeleide vorm) de ISO-structuur: 10 hoofdstukken die eisen stellen aan processen, middelen en management van de organisatie en richting geven aan het inrichten van de PDCA cyclus.
NEN 7510
De NEN 7510 norm is gebaseerd op de eisen van ISO 27001 (de algemene norm voor informatiebeveiliging die voor alle sectoren toepasbaar is). De structuur van de normen is hetzelfde, de inhoud komt voor een groot deel ook overeen. Het verschil zit erin dat NEN 7510 een ‘vertaling’ van ISO 27001 maakt naar de zorg en specifieker nog: de beveiliging van medische persoonsgegevens. Dit betekent dat de eisen van ISO 27001 zijn geconcretiseerd, aangescherpt of uitgebreid, met oog op de omgang met dit type gegevens. Onlangs is er een nieuwe versie van ISO 27001 gepubliceerd. Welke gevolgen dit heeft voor NEN 7510, is te lezen in dit artikel: ‘Wat betekent de nieuwe versie van ISO 27001 voor NEN 7510?’
ISO 9001/HKZ certificering geeft een voorsprong bij NEN 7510 implementatie
Doordat de normen voor kwaliteitsmanagement (ISO 9001 / HKZ) en de normen voor informatiebeveiliging (ISO 27001 / NEN 7510) zo’n vergelijkbare structuur hebben, is het een voordeel als je als organisatie al over een managementsysteem/certificering voor een van de andere normen beschikt, op het moment dat je aan de slag gaat met de eisen van NEN 7510.
Beschikt je organisatie al over een werkend kwaliteitsmanagementsysteem (gebaseerd op bijvoorbeeld ISO 9001 of HKZ)? Dan heb je (hoewel het nog steeds een flinke klus zal zijn) met de bestaande PDCA structuur/-cyclus al een goed fundament voor de implementatie van NEN 7510 norm. Mocht je als organisatie zelfs al ISO 27001 gecertificeerd zijn, dan is het toepassen van de NEN 7510 norm over het algemeen nog slechts een kwestie van onderdelen verdiepen of ‘finetunen’.
Meer weten?
Wil je meer weten over hoe je de implementatie van de NEN 7510 norm (of één van de andere genoemde normen) het beste kunt aanpakken? Neem dan gerust contact met ons op. We helpen je graag! Wil je weten waar je organisatie momenteel staat in relatie tot de normeisen en hoe groot de stap is naar een certificeerbaar managementsysteem? Laat dan een nulmeting uitvoeren!
Nelis van de Pol is directeur bij CertificeringsAdvies Nederland. 'Na jaren als ondernemer te hebben gewerkt, heb ik CertificeringsAdvies Nederland opgezet. Jouw partner, in certificeren!'
nelis@certificeringsadvies.nlVraag een nulmeting aan!
En ontdek waar je staat in relatie tot de normeisen
- Direct in kaart
- Praktisch actieplan
- Laagdrempelig