Voor wie is NEN 7510 verplicht?

De gezondheidszorg heeft, in tegenstelling tot andere branches, te maken met veel persoonlijke patiëntgegevens die vertrouwelijk van aard zijn. Informatiebeveiliging is binnen de zorgbranche daarom zeker geen overbodige luxe. Voor kwaadwillenden wordt het, vanwege de hoeveelheid en gevoeligheid van de data, steeds interessanter om met deze data aan de haal te gaan. Nalatigheid kan daarom grote gevolgen hebben voor de veiligheid van patiënten en hun medisch dossier. Het is dus essentieel dat persoonlijke gezondheidsdata goed beveiligd wordt (opgeslagen) en dat er vertrouwelijk met de gegevens om wordt gegaan. Met een NEN 7510 certificering kun je als organisatie aantoonbaar maken dat je dit goed hebt geborgd. Maar is NEN 7510 eigenlijk verplicht? En zo ja, voor wie dan?

De NEN 7510 norm is specifiek ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector. De norm is gebaseerd op de code voor informatiebeveiliging en daarmee sterk lijkend op de ISO 27001 norm. Wanneer je als organisatie NEN 7510 wilt behalen dan dien je aan te tonen dat je voldoet aan de normeisen. Dit doe je door, net als bij ISO 27001, een Information Security Managementsysteem (ISMS) op te tuigen.

NEN 7510 biedt alle type zorgaanbieders (verpleeghuizen, ziekenhuizen, GGZ-instellingen, fysiotherapeuten ed.) die werkzaam zijn binnen de gezondheidszorg een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Zorgverleners dienen de juiste IT-beveiligingsprotocollen door te voeren en kritisch te kijken naar de gegevensverzameling en de noodzaak daarvan. Datzelfde kan geëist worden van toeleveranciers (leveranciers van software en andere dienstverleners die met patiëntgegevens werken of daar toegang toe hebben).

Doordat er in de gezondheidssector veel gevoelige gegevens worden verwerkt heeft NEN 7510 voor zorginstellingen een verplichtend karakter. Met het toenemende belang van informatiebeveiliging stijgt ook de vraag naar certificeringen. Daarmee toon je immers aan dat je risico’s goed in kaart zijn gebracht, dat er passende beheersmaatregelen zijn getroffen en dat er continu wordt verbeterd. Verder is het natuurlijk zo dat met de komst van de AVG-wet de regels rondom medische gegevens strenger zijn geworden. Medische gegevens gelden als bijzondere persoonsgegevens en genieten daardoor extra bescherming.

Zorgverleners zijn in het kader van de verwerking van het Burgerservicenummer al verplicht om aan NEN 7510 te voldoen. Ook zijn er binnen de zorgbranche diverse partijen die NEN 7510 eisen als aansluitvoorwaarde. Dat betekent dat de NEN 7510 certificering niet enkel relevant is voor zorgverlenende instanties, maar ook voor toeleveranciers zoals:

NEN 7510 is van toepassing wanneer informatiebeveiliging betrekking heeft op gezondheidsinformatie binnen de organisatie zelf, via een interface naar een zorginstelling danwel door uitbesteding van bepaalde processen. Je ziet dan ook dat er van toeleveranciers aan de zorgsector steeds vaker wordt verlangd dat zij het NEN 7510 certificaat behalen.

Met een NEN 7510 toon je als organisatie patiënten/cliënten, leveranciers, zorgverzekeraars en andere belanghebbende partijen aan dat je zorgvuldig en vertrouwelijk omgaat met privacygevoelige gegevens en de juiste beheersmaatregelen hebt getroffen. Wil je als zorginstelling of toeleverancier aan de zorgsector aan de slag met het behalen van NEN 7510? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag verder.