Informatiebeveiliging in de zorg

De NEN 7510 norm is specifiek ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector. NEN staat voor Nederlands Normalisatie-instituut. Een NEN-norm is daarmee een norm die vooral in gebruik is in Nederland. NEN 7510 biedt zorginstellingen een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Belangrijk natuurlijk, vanwege de verwerking van gevoelige gegevens.

De norm is gebaseerd op de code voor informatiebeveiliging en lijkt sterk op de ISO 27001 norm. Bij de NEN 7510 is bijna een derde van de standaard beheersmaatregelen van ISO 27001 uitgebreid met een specifieke ‘vertaling’ naar de zorg. Daarnaast zijn er een aantal extra maatregelen specifiek voor de zorg toegevoegd.

Om het NEN 7510 certificaat te behalen moet je aantoonbaar maken dat je voldoet aan de eisen uit de norm. Dat doe je, net als bij ISO 27001, door een managementsysteem om te zetten, ook wel het Information Security Management System (ISMS) genoemd.

NEN 7510 certificering voor zorginstellingen is niet verplicht. Aantoonbaar voldoen aan de eisen echter wel. Je kunt je voorstellen dat er binnen de zorgsector veel gevoelige gegevens worden verwerkt. Samen met de komst van de AVG-wet zijn de regels rondom medische gegevens strenger geworden. En aangezien medische gegevens behoren tot bijzondere persoonsgegevens genieten deze daardoor extra bescherming.

Ondanks dat certificering voor de norm niet verplicht is, kan het wel in je voordeel werken als het gaat om samenwerkingen met andere partijen. Vaak is een NEN 7510 certificering namelijk een aansluitvoorwaarde. Daarmee is NEN 7510 niet alleen relevant voor zorginstellingen, maar ook voor toeleveranciers. Denk bijvoorbeeld aan tussenpartijen voor zorgadministratie, leveranciers van zorgapplicaties of andere verwerkers van medische gegevens.

De NEN 7510 norm is specifiek ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector. De norm biedt alle type zorgaanbieders die werkzaam zijn binnen de gezondheidszorg of organisaties die bij de informatievoorziening betrokken zijn, een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Deze organisaties dienen de juiste IT-beveiligingsprotocollen door te voeren en kritisch te kijken naar de gegevensverzameling en de noodzaak daarvan.

Doordat er in de gezondheidszorgsector veel gevoelige gegevens worden verwerkt, heeft NEN 7510 voor zorginstellingen (ziekenhuizen, verpleeghuizen, GGZ-instellingen, fysiotherapiepraktijken etc.) een verplichtend karakter. Zorgverleners zijn met het oog op de AVG-wet in het kader van de verwerking van het Burgerservicenummer al verplicht om aan de NEN 7510 te voldoen. Ook zijn er binnen de zorgbranche diverse partijen die NEN 7510 eisen als aansluitvoorwaarde, denk bijvoorbeeld aan Vecozo of MedMij. Dat betekent dat de NEN 7510 certificering niet enkel relevant is voor zorgverlenende instanties, maar ook voor toeleveranciers, zoals:

NEN 7510 is van toepassing voor organisaties die in aanraking komen met persoonlijke gezondheidsinformatie. Dit kan binnen de organisatie zelf zijn (zorgverlener), via een interface naar een zorginstelling, danwel door uitbesteding van bepaalde (ICT of andere) processen. Je ziet dan ook dat er van toeleveranciers aan de zorgsector steeds vaker wordt verlangd dat zij het NEN 7510 certificaat behalen.

Het grootste verschil tussen de ISO 27001 en de NEN 7510 norm is de gespecificeerde toepasbaarheid van de NEN norm in de zorg. We hebben het hier over informatiebeveiliging. Het soort informatie is dan ook het belangrijkste criterium als het gaat om een keuze voor ISO 27001 of NEN 7510. Onderscheidend tussen ISO 27001 en NEN 7510 is daarbij de vraag of het gaat om gezondheidsinformatie of niet. Is er géén sprake van gezondheidsgegevens die beveiligd moeten worden, dan is NEN 7510 niet toepasbaar en kies je automatisch voor ISO 27001. Heeft de informatiebeveiliging wel betrekking op gezondheidsinformatie (binnen de organisatie zelf of via een interface naar een zorginstelling, danwel door uitbesteding van bepaalde processen), kies dan altijd voor NEN 7510.

Er kan soms ook een reden zijn om voor zowel ISO 27001 als NEN 7510 te kiezen. Dat heeft namelijk te maken met het toepassingsgebied (de ‘scope’) van de certificering. Wanneer je te maken hebt met internationale belanghebbenden m.b.t. de informatie waar je certificering op van toepassing is, dan volstaat alleen een NEN 7510 certificering mogelijk niet. In dat geval loont het om voor ISO 27001 certificering te gaan. Een andere reden om voor beide certificaten te gaan, is als voor jouw organisatie (en jouw stakeholders) naast gezondheidsinformatie ook andersoortige informatie relevant is om aantoonbaar te beveiligen.

De HLS structuur is een nieuwe structuur waaronder de ISO normen worden uitgegeven. Hiermee hanteren alle normen dezelfde onderwerpen. Dat maakt het makkelijker om verschillende normen te combineren in één managementsysteem. In het managementsysteem van CertificeringsAdvies Nederland kunnen alle normen verwerkt worden. Ook degene die geen gebruik maken van de HLS.

De overeenkomst tussen NEN 7510 en ISO 27001, is dat het beide kaders zijn voor het opzetten van een managementsysteem; het ISMS. Beide normen beschrijven hoe een organisatie de informatiebeveiliging moet organiseren in haar processen. De NEN 7510 lijkt inhoudelijk dan ook erg veel op de ISO 27001 norm. Om het NEN 7510 certificaat te behalen moet je aantoonbaar maken dat je voldoet aan de eisen uit de norm. Dat doe je door een managementsysteem om te zetten, ook wel het Information Security Management System (ISMS) genoemd.

De NEN 7510 norm is zeer belangrijk in de zorg. Iedere patiënt verwacht van de zorginstellingen dat zijn of haar informatie goed beveiligd is en niet zomaar op straat komt. De NEN 7510 norm is tegenwoordig niet alleen maar voor instellingen, maar ook (toe) leveranciers die te maken hebben met patiëntgegevens kunnen zich laten certificeren.

Tijdens de implementatie van NEN 7510 hanteren we een checklist die dieper ingaat op de algemene manier om de norm te implementeren in je organisatie. De NEN 7510 checklist bestaat uit de volgende stappen:

Wanneer je de NEN 7510 norm hebt geïmplementeerd, is het tijd om een audit uit te voeren. Allereerst bepaal je door middel van een interne audit of je organisatie voldoende klaargestoomd is voor de officiële externe audit. Deze interne audit mag uitgevoerd worden door een eigen medewerker. Hier zitten echter wel nog een aantal haken en ogen aan. Deze persoon mag bijvoorbeeld niet zijn eigen processen beoordelen. Onder andere om die reden kiezen organisaties er vaak voor om de interne audit uit te laten voeren door een externe onafhankelijke deskundige. Heb je de interne audit gehad, dan is het tijd voor de externe audit. Deze wordt altijd uitgevoerd door een Certificerende Instantie (CI), omdat:

Om je organisatie voor te bereiden op de NEN 7510 certificering zijn er diverse mogelijkheden voor het volgen van trainingen. Zo bieden we via onze CAN Academy een:

Een Information Security Management System (ISMS) is een managementsysteem voor informatiebeveiliging. Bij een managementsysteem wordt vaak gedacht aan een dik en wollig handboek waarin alles wat de organisatie doet dient te worden beschreven. Het gaat bij een NEN 7510 ISMS echter om veel meer dan alleen het uitwerken van beleidsstukken en procedures. Het NEN 7510 Information Security Management System (ISMS) moet helpen bij de bedrijfsvoering van de organisatie en ervoor zorgen dat de beschikbaarheid, integriteit en vertrouwelijkheid van de gezondheidsinformatie geborgd en verbeterd wordt. Bij een managementsysteem voor NEN 7510 dient de context van de organisatie in kaart te worden gebracht. Vanuit deze context wordt het informatiebeveiligingsbeleid van de organisatie bepaald en van daaruit worden doelstellingen geformuleerd die de organisatie wil bereiken om de beveiliging van gezondheids-informatie beter te borgen. Dat ziet er schematisch gezien als volgt uit:

Als de doelstellingen geformuleerd zijn, gaat de organisatie een GAP-analyse uitvoeren op de beheersmaatregelen. Daarbij wordt in kaart gebracht welke beheersmaatregelen al geïmplementeerd zijn en wat de organisatie nog wil/moet implementeren. Dit gebeurt op basis van de risicoanalyse. Deze GAP-analyse dient als leidraad voor de verdere implementatie van het NEN 7510 ISMS.

Voordat een organisatie het NEN 7510:2017 certificaat ontvangt, dienen de volgende stappen doorlopen te worden:

Fase 1

Fase 2

Het is verstandig om als organisatie het kostenplaatje in kaart te brengen als je NEN 7510 wilt certificeren. Er zit immers verschil in de kosten en de aanpak van de verschillende consultancybureaus en certificerende instanties. Iedere organisatie is echter uniek en heeft unieke risico’s die de impact van de informatiebeveiliging bepalen. Een NEN 7510 traject is daarom vaak maatwerk. De impact en kosten kunnen pas bepaald worden na een analyse van de huidige situatie en risico’s. Bovendien is de investering in een consultant afhankelijk van de hoeveelheid werk die je wilt uitbesteden en de rol die aan de consultant wordt toebedeeld (coachend / uitvoerend).

Desalniettemin kunnen we bij CertificeringsAdvies Nederland, op basis van onze ruime ervaring op dit gebied, aan de hand van een intake een offerte op maat maken voor jouw organisatie. Zo weet je wat de investering gaat zijn als je aan de slag gaat met de implementatie van de norm.

Het is vooraf lastig te zeggen hoelang een dergelijk traject precies duurt. Dit is namelijk o.a. afhankelijk van:

Wanneer je als organisatie je bedrijfsprocessen helder in kaart hebt, gaat implementatie sneller dan wanneer je vanaf nul moet beginnen. Des te meer er al is en des te minder complex de organisatie in elkaar steekt, des te sneller het NEN 7510 traject doorlopen kan worden. Wanneer je vervolgens aan wilt tonen dat je de informatiebeveiliging op orde hebt, dan kun je dat ISMS laten toetsen en uiteindelijk laten certificeren door een onafhankelijke, certificerende instantie. Wil je een dergelijke toetsing succesvol doorlopen, dan dien je aan te kunnen tonen dat je voldoende aandacht besteedt aan informatiebeveiliging. Daarvoor moet je minimaal drie maanden volgens het ISMS hebben gewerkt. Dit wordt ook wel de ‘bewijsperiode’ genoemd. Na drie maanden kan een externe auditor namelijk beoordelen of het ISMS in de praktijk functioneert.

Deze verklaring hangt samen met de risicoanalyse. In feite is de Verklaring van Toepasselijkheid een opsomming van hetgeen dat van toepassing is voor een bedrijf en geïmplementeerd dient te worden om risico’s te mitigeren. De NEN 7510:2017 norm heeft een bijlage (Annex A) die alle beheersmaatregelen omvat. De Verklaring van Toepasselijkheid is een document waarin de organisatie deze beheersmaatregelen van toepassing verklaart of niet. Deze verklaring maakt uiteindelijk integraal onderdeel uit van het NEN 7510 certificaat van de organisatie.