Wat is NEN 7510? En wat zijn de voordelen?
Zorgorganisaties zijn verplicht te voldoen aan de eisen van NEN 7510. In dit artikel vertellen we je meer over de voordelen van de norm!
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlAls zorginstelling heb je te maken met patiënt- en gezondheidsgegevens. Gevoelige persoonsgegevens, die niet op straat moeten komen te liggen. Daarnaast ook essentiële data voor de continuïteit van het zorgproces. Dit maakt een zorginstelling kwetsbaar voor kwaadwillenden (bijv. ransomware). Logisch dus, dat al enige tijd in de wetgeving is opgenomen dat zorginstellingen moeten voldoen aan de eisen van NEN 7510, de norm voor informatiebeveiliging in de zorg. Certificering is hierbij niet verplicht, aantoonbaar voldoen wel. Het feit dat het toch met regelmaat misgaat, is wel een indicator dat informatiebeveiliging nog niet overal het juiste (NEN 7510) niveau heeft. En dat wekt geen verbazing, want zeg nu zelf: is veilig omgaan met informatie in jouw organisatie ‘on top of mind’? In dit blog zoomen we in op ‘wat is NEN 7510’, de voordelen en enkele best practices!
Wat is NEN 7510?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. De norm is gebaseerd op de code voor informatiebeveiliging en daarmee sterk lijkend op de ISO 27001 norm. Doordat NEN 7510 aansluit bij internationale standaarden en dezelfde overkoepelende structuur hanteert, zoals dus ISO 27001, betekent dit dat organisaties die al werken met dit soort normen, eenvoudig kunnen overstappen c.q. uitbreiden naar NEN 7510.
NEN 7510 biedt richtlijnen en eisen om de beschikbaarheid, integriteit en vertrouwelijkheid (BIV van informatie) van medische gegevens en andere gevoelige, persoonlijke informatie te waarborgen. Zo biedt NEN 7510 alle typen zorgaanbieders binnen de gezondheidszorg een leidraad voor formuleren, vastleggen en controleren van de interne informatiebeveiliging.
De onmisbaarheid van BIV komt als volgt tot uiting:
- Zonder beschikbaarheid van gegevens is zorg niet mogelijk;
- Er wordt verkeerde zorg geleverd wanneer de gegevens niet kloppen;
- Wanneer gegevens in verkeerde handen vallen kan identiteitsfraude of imagoschade het gevolg zijn.
Juist doordat de informatie in de zorgsector vaak gevoelig van aard is, kan NEN 7510 helpen bij het beveiligen van processen en systemen tegen risico’s. Dit borg je in een Information Security Management System (ISMS).
De NEN 7510 norm is gericht op zowel de technische maatregelen, zoals encryptie, netwerkbeveiliging etc.) alsmede organisatorische maatregelen zoals bewustwording van medewerkers.
Voor wie is NEN 7510 verplicht?
NEN 7510 heeft, gezien de aard van de informatie in de zorgsector, een verplichtend karakter voor zorginstellingen. Ook zijn er binnen de zorgsector diverse partijen die NEN 7510 eisen als aansluitvoorwaarde. NEN 7510 is daarom niet enkel relevant voor instanties die zorg verlenen, maar ook toeleveranciers.
Wat zijn de voordelen van NEN 7510?
Zoals gezegd kan NEN 7510 een verplichtend karakter hebben en daardoor voelen als een ‘moetje’, maar het biedt organisaties ook wel degelijk voordelen. Hieronder een viertal voordelen van NEN 7510 opgesomd:
- Aantoonbare kwaliteit van informatiebeveiliging
- Meer opdrachten en hogere cliënttevredenheid
- Hogere medewerkersbetrokkenheid
- Kostenbesparing
Ieder voordelen zetten we hieronder voor je uiteen.
1. Aantoonbare kwaliteit van informatiebeveiliging
Met een certificaat maak je aantoonbaar dat je voldoet aan alle eisen van een bepaalde certificering omdat je organisatie hierop getoetst is door een onafhankelijke externe partij. Je maakt het externe belanghebbenden makkelijk om vast te stellen dat je organisatie aan hun eisen/verwachtingen voldoet. Het zorgmanagementsysteem geeft je organisatie richtlijnen om met de informatiebeveiliging binnen je organisatie aan de slag te gaan. Dankzij de Plan-Do-Check-Act (PDCA) cyclus blijf je op een structurele en continue manier aan informatiebeveiliging binnen je organisatie werken. De jaarlijks terugkerende audit is daarbij een stok achter de deur. Je blijft je prestaties evalueren en optimaliseren en staat periodiek stil bij je huidige niveau en je toekomstplannen.
Daarnaast betekent het behalen van de NEN 7510 certificering ook dat je voldoet aan de externe eisen die je worden opgelegd en de geldende wet- en regelgeving. Al met al: je onderzoekt, beoordeelt en beheert de risico’s binnen je organisatie op een structurele manier. En daarnaast formaliseer je de processen, procedures en documentatie voor gegevensbeveiliging. Dit zorgt voor verlaging van de kans op incidenten met alle negatieve (imago-, financiële en andere) schadelijke consequenties van dien.
2. Meer opdrachten en hogere cliënttevredenheid
Het behalen van een certificering kan leiden tot meer klanten. Waarom? Omdat certificeringen steeds meer geëist worden vanuit opdrachtgevers en aanbestedingen vanuit zorgverzekeraars of vanuit de gemeente bijvoorbeeld.
Je hebt direct een voordeel ten opzichte van je concurrent wanneer je kunt aantonen dat je beschikt over een NEN 7510 certificering. Dat heeft weer te maken met het vorige voordeel: aantoonbare kwaliteit. Je opdrachtgever kan ervan uitgaan dat de processen binnen je organisatie netjes en gestructureerd zijn ingericht en dat er zorgvuldig om wordt gegaan met gevoelige persoonsgegevens. Maar niet alleen wekt de certificering vertrouwen voor partijen zoals zorgverzekeraars of de gemeente, ook cliënten hechten veel waarde aan de garantie van zorgvuldige omgang met gevoelige gegevens. De certificering helpt je dus ook aan een positief imago en hogere cliënttevredenheid!
3. Hogere medewerkersbetrokkenheid
Je processen worden gestroomlijnd en er ontstaat transparantie binnen je gehele organisatie. Daardoor zijn je medewerkers op de hoogte van de werkwijze en worden ze gemotiveerd om bij te dragen aan het aandragen van verbetervoorstellen. Daarnaast is het ook zaak dat je een aanspreekcultuur creëert waarbij fouten/incidenten niet worden gestraft, maar juist in het teken staan van het verbeteren van de organisatie. Algemene kenmerken/voordelen van ISO/NEN normen als het gaat om interne ontwikkelingen zijn dan ook:
- Ontwikkeling binnen de organisatie wordt gestimuleerd;
- Medewerkers worden betrokken in het proces waardoor zij eerder geneigd zijn proactief bij te dragen aan verbetering;
- De directie is nauw betrokken;
- De mensen worden bewust gemaakt.
4. Kostenbesparing
Doordat je intensief aan de slag gaat met je processen, verhoog je de efficiëntie binnen alle lagen van je organisatie. Je krijgt dus meer voor elkaar in kortere tijd en met minder middelen. Daarmee gaat gepaard dat je tijdens de implementatie ook je kansen en risico’s in kaart brengt. Doordat je de risico’s hebt geïdentificeerd, kun je ook bijtijds bijsturen of zelfs risico’s voorkomen. Daarmee verhoog je de bedrijfszekerheid en voorkom je kosten als gevolg van je voorkomen risico’s. Kortom: de risico’s binnen je organisatie zijn kritisch onderzocht, beheerd en beoordeeld én je procedures, documentatie en processen voor gegevensbeveiliging zijn geformaliseerd.
Opstaptraject informatiebeveiliging
Door de toegenomen dreigingen en risico’s wordt informatiebeveiliging steeds belangrijker en daarmee stijgt dus ook de vraag om NEN 7510 certificering. Op korte of lange termijn dien je als organisatie dus stappen te zetten op gebied van informatiebeveiliging. Een implementatietraject is echter behoorlijk uitgebreid en diepgaand, waardoor je er zowel tijd als geld voor moet reserveren. Voor veel organisaties komt het behalen van de certificering daarom op een laag pitje te staan. En daarmee loop je dus risico’s die grote gevolgen kunnen hebben voor je organisatie.
Om dit tóch te voorkomen en nog niet direct met het volledige traject aan de slag te gaan, kun je kiezen voor een opstaptraject. De essentie is immers om allereerst de meest urgente risico’s af te dekken. Onze visie: overweeg om de norm of informatiebeveiliging ‘in stukjes te hakken’ en begin bij de belangrijkste zaken (de basics). Wil je hier meer over weten? Lees dan alles over het opstaptraject informatiebeveiliging of neem contact met ons op!
Het NEN 7510 managementsysteem
Vaak wordt bij het implementeren van een ISO/NEN norm al snel gedacht aan het opstellen van een handboek. Dat is niet gek, in het verleden werd om een verplichte structuur van vastlegging gevraagd. In het handboek werd dan alles wat je deed op het gebied van bescherming van medische persoonsgegevens gedocumenteerd. Je kunt je voorstellen dat dit resulteert in een dik en wollig praktijkboek met allerlei procedures, formulieren en checklists!
Tegenwoordig is dit gelukkig niet meer het geval. Het verplichte handboek is verleden tijd met de komst van de nieuwe generatie normen. Er wordt niet meer gesproken over een handboek, maar over ‘gedocumenteerde informatie’.
NEN 7510: best practices!
Ondanks dat iedere zorginstelling verschillend is, zijn er een aantal belangrijke ‘lessons learned’ die voor iedere NEN 7510 implementatie toe te passen zijn:
- Het is geen ‘ICT-feestje’. Betrek medewerkers nog voordat je gaat starten.
- Maak het zo simpel mogelijk en zorg dat het aansluit op je huidige manier van werken.
- Bepaal samen wanneer een risico acceptabel is en waarom.
- Maak de scope niet te groot. Bouw het later verder uit!
- Zorg voor bewustwording. Begin met de ‘simpele’ aspecten: veilig omgaan met wachtwoorden, clean desk, afsluiten van een scherm bij het verlaten van de werkplek, updates tijdig uitvoeren.
- Stel verwerkingsregisters op (dit is een eis vanuit AVG).
- Maak draaiboeken en calamiteitenplannen ter houvast bij panieksituaties.
- Ga je leveranciers goed na: heb je een PvE (pakket van eisen)? Zijn leveranciers gecertificeerd? Hoe gaan zij om met informatiebeveiliging?
- Maak een afweging tussen veiligheid en gebruikersgemak. Onthoud dat er geen voorgeschreven standaard kader is en dat er ruimte is om het voor jouw organisatie passen en werkbaar te maken.
- Zorg voor goede communicatie tussen de organisatie en auditoren om goed in te schatten welke medewerker aan welk interview moet deelnemen.
- Ga je certificeren voor andere normen (denk aan HKZ of ISO 9001 bijvoorbeeld), probeer dit dan te combineren met NEN 7510 in verband met overlap.
Van ‘wat is NEN 7510’ naar een start maken met!
Het opzetten van een informatiebeveiligingsmanagementsysteem op basis van NEN 7510 is een niet te onderschatten karwei. Het is van belang een interne kartrekker te hebben (Security Officer) en om stakeholders vanuit verschillende relevante afdelingen/functies bij het traject te betrekken. Denk hierbij aan directie, ICT, HR, Facilitaire zaken en de verantwoordelijken voor het primaire proces. Ook is het van belang om vanaf het begin de overige medewerkers mee te nemen in (verbetering van) informatiebeveiligingsbewustzijn.
Aanschaf van de norm is stap 1. Vervolgens maak je vanuit een risicoanalyse de vertaalslag naar de toepassing van de normeisen/beheersmaatregelen binnen jouw organisatie. Daarbij is het raadzaam om het traject in stappen op te delen, te prioriteren en te beginnen met de ‘basics’ (het laaghangend fruit) en voldoende tijd uit te trekken om zaken goed en aantoonbaar te laten landen binnen de organisatie. Wil je meer weten over NEN 7510 of heb je hulp nodig? Neem gerust contact met ons op!
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlEen managementsysteem NEN 7510 implementeren?
Vraag vrijblijvend een offerte aan!
- Uitleg over de norm
- Antwoord op al je vragen
- Praktische tips