Leestijd: 5 minuten

NEN 7510 verplicht: voor wie en wat betekent het in de praktijk?

Met een NEN 7510 certificering kun je als organisatie aantoonbaar maken dat je veilig en vertrouwelijk omgaat met (medische) data.

NEN 7510 verplicht
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. NEN 7510 is voor bepaalde zorginstellingen verplicht en krijgt voor steeds meer organisaties een verplichtend karakter. Hoe zit dat precies? En voor wie geldt die verplichting? Dat en meer vertellen we in dit artikel.

Wat is NEN 7510 precies?

De gezondheidszorg heeft, in tegenstelling tot andere branches, te maken met veel persoonlijke patiëntgegevens die vertrouwelijk van aard zijn. Informatiebeveiliging is binnen de zorgbranche daarom zeker geen overbodige luxe. Voor kwaadwillenden wordt het, vanwege de hoeveelheid en gevoeligheid van de data, steeds interessanter om met deze data aan de haal te gaan. Nalatigheid kan daarom grote gevolgen hebben voor de veiligheid van patiënten en hun medisch dossier. Het is dus essentieel dat persoonlijke gezondheidsdata goed beveiligd wordt (opgeslagen) en dat er vertrouwelijk met de gegevens om wordt gegaan. Met een NEN 7510 certificering kun je als organisatie aantoonbaar maken dat je dit goed hebt geborgd.

De NEN 7510 norm is een Nederlandse norm, specifiek ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector. NEN 7510 zorgt ervoor dat medische en persoonlijk gegevens op een veilige manier worden verwerkt, opgeslagen en gedeeld. De norm is gebaseerd op de code voor informatiebeveiliging en daarmee sterk lijkend op de ISO 27001 norm. Wanneer je als organisatie NEN 7510 wilt behalen dan dien je aan te tonen dat je voldoet aan de normeisen. Dit doe je door, net als bij ISO 27001, een Information Security Managementsysteem (ISMS) op te tuigen.

NEN 7510 biedt alle type zorgaanbieders (verpleeghuizen, ziekenhuizen, GGZ-instellingen, fysiotherapeuten ed.) die werkzaam zijn binnen de gezondheidszorg een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Zorgverleners dienen de juiste IT-beveiligingsprotocollen door te voeren en kritisch te kijken naar de gegevensverzameling en de noodzaak daarvan. Datzelfde kan geëist worden van toeleveranciers (leveranciers van software en andere dienstverleners die met patiëntgegevens werken of daar toegang toe hebben).

Is NEN 7510 verplicht?

Is NEN 7510 verplicht? Ja en nee. NEN 7510 is geen norm die wettelijk verplicht is in Nederland, maar deze verplichting wordt indirect wel afgedwongen via andere wet- en regelgeving. Hoe zit dat?

Algemene Verordening Gegevensbescherming (AVG)

Vanuit de Algemene Verordening Gegevensbescherming (AVG) is het een verplichting dat organisaties technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen. Voor de zorgsector moet er dus actie ondernomen worden op het beschermen van medische gezondheidsgegevens, die als gevoelig, worden aangemerkt. NEN 7510 is hier een handig hulpmiddel voor.

Wet informatiebeveiliging verplicht voor ziekenhuizen

De Nederlandse zorgsector heeft NEN 7510 als verplichte norm opgenomen in afspraken en contracten tussen zorgverleners en verzekeraars. Zorginstellingen, ziekenhuizen, huisartsen, apotheken etc. die medische gegevens verwerken zijn namelijk verplicht om een hoog niveau van informatiebeveiliging te hanteren.

Per 2023 is NEN 7510 verplicht voor ziekenhuizen. Aanleiding voor die verplichting was, dat uit onderzoek van Inspectie Gezondheidszorg en Jeugd (IGJ) bleek dat ziekenhuizen te weinig deden aan het voorkomen van ICT-storingen. Ziekenhuizen zijn daarentegen een groot doelwit voor cybercriminaliteit, waarbij ransomware een veelvoorkomend incident is. Bewustzijn en gedrag van medewerkers speelt daarin een minstens zo belangrijke rol als de techniek.

Onderzoek IGJ

IGJ heeft onderzoek gedaan bij 14 ziekenhuizen waar in de afgelopen vier jaar een grote ICT-storing is geweest. Bij 12 van deze ziekenhuizen hadden deze storingen flinke gevolgen voor de zorg. Concrete voorbeelden van die problemen zijn dat de spoedeisende hulp tijdelijk werd gesloten, patiëntendossiers niet meer beschikbaar waren en uitstel van operaties. Echter blijkt gelukkig dat geen van de patiënten hierdoor aantoonbare gezondheidsschade heeft opgelopen. IGJ adviseert ziekenhuizen wel om patiënten beter te betrekken bij de evaluaties om hiervan te leren.

Contractuele verplichting en eis van opdrachtgever

Naast bovengenoemde verplichtingen kan NEN 7510 ook als eis in een contract opgenomen worden of als eis opgelegd worden door een opdrachtgever. Zo eisen bijvoorbeeld zorgverzekeraars, ketenpartners of brancheorganisaties dit met regelmaat van zorgaanbieders of bijvoorbeeld IT-leveranciers die medische data verwerken.

Voor wie is NEN 7510 verplicht?

Doordat er in de gezondheidssector veel gevoelige gegevens worden verwerkt heeft NEN 7510 voor zorginstellingen een verplichtend karakter. Met het toenemende belang van informatiebeveiliging stijgt ook de vraag naar certificeringen. Daarmee toon je immers aan dat je risico’s goed in kaart zijn gebracht, dat er passende beheersmaatregelen zijn getroffen en dat er continu wordt verbeterd. Verder is het natuurlijk zo dat met de komst van de AVG-wet de regels rondom medische gegevens strenger zijn geworden. Medische gegevens gelden als bijzondere persoonsgegevens en genieten daardoor extra bescherming.

Maar voor wie geldt dat verplichtende karakter c.q. voor wie is NEN 7510 verplicht? Zorgverleners zijn in het kader van de verwerking van het Burgerservicenummer al verplicht om aan NEN 7510 te voldoen. Ook zijn er binnen de zorgbranche diverse partijen die NEN 7510 eisen als aansluitvoorwaarde. Dat betekent dat de NEN 7510 certificering niet enkel relevant is voor zorgverlenende instanties, maar ook voor toeleveranciers zoals:

  • Zorginstellingen/zorgverleners (ziekenhuizen, huisartsen etc.);
  • Leveranciers van zorgapplicaties en medische software (denk aan IT-dienstverleners);
  • Tussenpartijen voor zorgadministratie en/of -declaratie;
  • Andere verwerkers van persoonlijke gezondheidsinformatie.

NEN 7510 is van toepassing wanneer informatiebeveiliging betrekking heeft op gezondheidsinformatie binnen de organisatie zelf, via een interface naar een zorginstelling danwel door uitbesteding van bepaalde processen. Je ziet dan ook dat er van toeleveranciers aan de zorgsector steeds vaker wordt verlangd dat zij het NEN 7510 certificaat behalen.

NEN 7510 behalen?

Met een NEN 7510 toon je als organisatie patiënten/cliënten, leveranciers, zorgverzekeraars, ketenpartners en andere belanghebbende partijen aan dat je zorgvuldig en vertrouwelijk omgaat met privacygevoelige gegevens en de juiste beheersmaatregelen hebt getroffen. Wil je als zorginstelling of toeleverancier aan de zorgsector aan de slag met het behalen van NEN 7510? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag verder.

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Voldoen aan (wettelijke) NEN 7510 eisen?

Breng de informatiebeveiliging op orde!

  • NEN 7510 implementatie
  • Ervaren adviseurs
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields