Informatiebeveiliging in de zorg

NEN 7510 certificering

NEN 7510 biedt zorginstellingen een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Belangrijk natuurlijk, vanwege de verwerking van gevoelige gegevens. Voor zorginstellingen heeft NEN 7510 daarom een verplichtend karakter. Ook van toeleveranciers wordt steeds vaker het NEN 7510 certificaat gevraagd. Heb jij daar ook mee te maken en ben je op zoek naar NEN 7510 certificering? Dan ben je aan het juiste adres! Vanuit de filosofie dat niet de norm, maar jouw Organisatie als uitgangspunt zou moeten dienen, helpt CertificeringsAdvies Nederland je bij NEN 7510 certificering.

NEN 7510
Laptop werken bij CertificeringsAdvies Nederland

Meer informatie of offerte aanvragen?

Wil je meer weten over NEN 7510? Neem dan contact met
ons op! Wil je direct aan de slag? Vraag dan een offerte aan!

Met oog voor resultaat

Aan de slag met NEN 7510

In onze aanpak nemen wij niet de norm, maar de organisatie als uitgangspunt. Op pragmatische wijze analyseren wij processen en optimaliseren deze conform de NEN 7510 richtlijnen. Met oog voor praktijk en resultaat en altijd in samenwerking met jou en je collega’s. Jullie kennen de onderneming tenslotte het beste en alleen op die manier komen we tot het beste resultaat voor de organisatie.

NEN 7510 verplicht

Wat is NEN 7510?

De NEN 7510 norm is specifiek ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector. De norm is gebaseerd op de code voor informatiebeveiliging en lijkt sterk op de ISO 27001 norm. Om het NEN 7510 certificaat te behalen moet je aantoonbaar maken dat je voldoet aan de eisen uit de norm. Dat doe je, net als voor ISO 27001, door een managementsysteem om te zetten, ook wel het Information Security Management System (ISMS) genoemd.

Is NEN 7510 verplicht in de zorg?

NEN 7510 certificering voor zorginstellingen is niet verplicht. Aantoonbaar voldoen aan de eisen echter wel. Je kunt je voorstellen dat er binnen de zorgsector veel gevoelige gegevens worden verwerkt. Samen met de komst van de AVG-wet zijn de regels rondom medische gegevens strenger geworden. En aangezien medische gegevens behoren tot bijzondere persoonsgegevens genieten deze daardoor extra bescherming.

Ondanks dat certificering voor de norm niet verplicht is, kan het wel in je voordeel werken als het gaat om samenwerkingen met andere partijen. Vaak is een NEN 7510 certificering namelijk een aansluitvoorwaarde. Daarmee is NEN 7510 niet alleen relevant voor zorginstellingen, maar ook voor toeleveranciers. Denk bijvoorbeeld aan tussenpartijen voor zorgadministratie, leveranciers van zorgapplicaties of andere verwerkers van medische gegevens.

NEN 7510 stappenplan

Wat is het verschil tussen ISO 27001 en NEN 7510?

Het grootste verschil tussen de ISO 27001 en de NEN 7510 norm is de gespecificeerde toepasbaarheid van de NEN norm in de zorg. De HLS structuur is een nieuwe structuur waaronder de ISO normen worden uitgegeven. Hiermee hanteren alle normen dezelfde onderwerpen. Dat maakt het makkelijker om verschillende normen te combineren in één managementsysteem. In het managementsysteem van CertificeringsAdvies Nederland kunnen alle normen verwerkt worden. Ook degene die geen gebruik maken van de HLS.

De overeenkomst tussen NEN 7510 en ISO 27001, is dat het beide kaders zijn voor het opzetten van een managementsysteem; het ISMS. Beide normen beschrijven hoe een organisatie de informatiebeveiliging moet organiseren in haar processen. De NEN 7510 lijkt inhoudelijk dan ook erg veel op de ISO 27001 norm. Om het NEN 7510 certificaat te behalen moet je aantoonbaar maken dat je voldoet aan de eisen uit de norm. Dat doe je door een managementsysteem om te zetten, ook wel het Information Security Management System (ISMS) genoemd.

NEN 7510 in verschillende branches

De NEN 7510 norm is zeer belangrijk in de zorg. Iedere patiënt verwacht van de zorginstellingen dat zijn of haar informatie goed beveiligd is en niet zomaar op straat komt. De NEN 7510 norm is tegenwoordig niet alleen maar voor instellingen, maar ook (toe) leveranciers die te maken hebben met patiëntgegevens kunnen zich laten certificeren.

NEN 7510 checklist

Tijdens de implementatie van NEN 7510 hanteren we een checklist die dieper ingaat op de algemene manier om de norm te implementeren in je organisatie. De NEN 7510 checklist bestaat uit de volgende stappen:

  • Waar kom je in aanraking met persoonlijke gezondheidsinformatie?
  • Welke aanvullende of verdiepende eisen van NEN 7510 zijn voor jou relevant?
  • Hoe ga je verder met de implementatie en certificering?

Waarom NEN 7510?

NEN 7510 certificering van je organisatie kan de volgende voordelen hebben:

  • Hiermee voldoe je aan de eisen van het ministerie van VWS of van je klanten met betrekking tot informatiebeveiliging in de zorg.
  • NEN 7510 certificering biedt onafhankelijke zekerheid omtrent je interne controles en geeft intern en aan externe partijen zoals patiënten en zorgverzekeraars aan dat de informatiebeveiliging goed geborgd is.
  • Het NEN 7510 certificaat vormt het onafhankelijke bewijs dat de risico’s voor je organisatie kritisch zijn onderzocht, beoordeeld en beheerd en tegelijkertijd de processen, procedures en documentatie voor gegevensbeveiliging zijn geformaliseerd.
  • Door middel van de NEN 7510-checklist en het regelmatige beoordelingsproces kun je jouw prestaties op de voet volgen en continu verbeteren.
ISMS NEN 7510

Eisen voor NEN 7510 certificering

Wat is de impact van NEN 7510 op je organisatie? We bespreken een aantal belangrijke eisen:

Het beheersen van de risico’s is het belangrijkste principe van beveiliging en is dus ook een belangrijk onderdeel in de norm. Eerst zullen de risico’ s bepaald moeten worden en dat kan met het doorlopen van de volgende stappen:

  • Benoem de bedreigingen en kwetsbaarheden binnen de organisatie
  • Schat in wat de gevolgen zijn als incidenten zich voor doen
  • Schat per bedreiging en kwetsbaarheid in hoe waarschijnlijk het is dat die tot een incident leidt.

De organisatie bepaalt of de risico’s aanvaardbaar zijn aan de hand van criteria die ze eerder heeft vastgesteld. Ook wordt in de norm over beheersmaatregelen gesproken, zoals:

  • Opstellen van een informatiebeveiligingsbeleid
  • Organisatie van de informatiebeveiliging
  • Beheer van bedrijfsmiddelen
  • Fysieke beveiliging en beveiliging van de omgeving
  • Toegangsbeveiliging
  • Beheer van informatiebeveiligingsincidenten

NEN 7510 audit

Wanneer je de NEN 7510 norm hebt geïmplementeerd, is het tijd om een audit uit te voeren. Allereerst bepaal je door middel van een interne audit of je organisatie voldoende klaargestoomd is voor de officiële externe audit. Deze interne audit mag uitgevoerd worden door een eigen medewerker. Hier zitten echter wel nog een aantal haken en ogen aan. Deze persoon mag bijvoorbeeld niet zijn eigen processen beoordelen. Onder andere om die reden kiezen organisaties er vaak voor om de interne audit uit te laten voeren door een externe onafhankelijke deskundige. Heb je de interne audit gehad, dan is het tijd voor de externe audit. Deze wordt altijd uitgevoerd door een Certificerende Instantie (CI), omdat:

  • De CI de bevoegdheid heeft om een officieel certificaat uit te reiken.
  • Deze vrij is van belangverstrengeling.
  • De CI objectief en onafhankelijk is.
NEN 7510 audit

NEN 7510 training

Om je organisatie voor te bereiden op de NEN 7510 certificering zijn er diverse mogelijkheden voor het volgen van trainingen. Zo bieden we via onze CAN Academy een:

  • NEN 7510 normkennis training aan, waarbij je alles leert wat je moet weten over de norm en hoe deze geïmplementeerd kan worden binnen je organisatie.
  • NEN 7510 praktijktraining aan, waarbij je handvatten krijgt om van strategisch beleid en theoriekennis over te gaan naar praktische verbetermaatregelen.
  • NEN 7510 interne audit training aan, waarbij je leer hoe je de audit voorbereidt, welke onderwerpen je moet behandelen, hoe je de juiste antwoorden krijgt en hoe je aan de eisen van de norm kunt voldoen.

Kom in contact met de partner in certificeren!

Meer informatie over de mogelijkheden?

Vraag direct en vrijblijvend een offerte op maat aan of neem contact met ons op!