Informatiebeveiliging in de zorg is essentieel. Nalatigheid kan grote gevolgen hebben voor de veiligheid van patiënten en hun medisch dossier. Hoe laat u zien dat u zorgvuldig en vertrouwelijk omgaat met deze gegevens? Een NEN 7510 certificering geeft vertrouwen en toont aan dat u correct omgaat met deze privacygevoelige gegevens. U laat aan uw patiënten/ cliënten, leveranciers, zorgverzekeraars en andere belanghebbenden zien dat u de juiste maatregelen heeft getroffen om de informatiebeveiligingsrisico’s bij het verwerken van deze gegevens te behandelen.
Brand Compliance voert de NEN 7510 certificering onder accreditatie uit.
Wat houdt NEN 7510 in?
De NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. NEN 7510 bestaat uit een normatief raamwerk in de vorm van een managementsysteem voor informatiebeveiliging (ISMS, ‘Information Security Management System’). Om de vereiste waarborging van beschikbaarheid, integriteit en vertrouwelijkheid van de informatie te bepalen, is een risicobeoordeling nodig. Door implementatie van het managementsysteem voor informatiebeveiliging inclusief de beheersmaatregelen bij elk van de beheersdoelstellingen kan een organisatie voldoen aan de eisen die in een risicobeoordeling zijn vastgesteld. De norm biedt zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende organisaties in de zorg.
Wat is de NEN 7510 certificering?
Met een NEN 7510 certificaat laat u zien dat u als organisatie verantwoordelijk omgaat met de informatie die binnen uw dienstlevering wordt verwerkt. Het bewijst dat u een managementsysteem heeft opgezet dat voldoet aan de norm. Deze norm houdt onder andere in dat er informatiebeveiligingsmaatregelen zijn genomen om de beschikbaarheid, integriteit en vertrouwelijkheid van de (persoonlijke gezondheids)informatie te waarborgen. Het certificaat wordt afgegeven door een onafhankelijke partij na controle en toetsing van uw managementsysteem. Zo kunnen patiënten, cliënten, zorgverzekeraars, MedMij en toezichthouders erop vertrouwen dat u verantwoord met (persoonlijke gezondheids)informatie omgaat.
Het voordeel van een certificering is dat het laat zien dat uw organisatie procedures heeft geïmplementeerd om de informatiebeveiliging van patiëntgegevens te waarborgen. Daarnaast helpen de managementsysteemprocessen uw organisatie om de informatiebeveiliging beter te beheersen en continu te verbeteren.
NEN 7510 certificering eisen
De eisen van de NEN 7510 staan in de norm beschreven. Hieronder staan een aantal eisen beschreven zodat u een beeld krijgt aan welk soort eisen u moet voldoen om gecertificeerd te kunnen worden:
- Informatiebeveiliging: het nemen van maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen.
- Informatiebeveiligingsbeleid: een beleid met daarin de verplichtingen voor medewerkers ten aanzien van het onderwerp informatiebeveiliging.
- Beveiligingsorganisatie: het instellen van een organisatiestructuur en het toekennen van verantwoordelijkheden en bevoegdheden voor de implementatie en het onderhoud van informatiebeveiligingsmaatregelen.
- Risicobeheer: het identificeren, beoordelen, behandelen, beheren en monitoren van risico’s op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie.
- Fysieke toegangsbeveiliging: het instellen van maatregelen om de fysieke toegang en de integriteit, vertrouwelijkheid en beschikbaarheid van informatie te beschermen.
- Logische beveiliging: het implementeren van maatregelen om alleen geautoriseerde gebruikers toegang te verlenen tot informatie.
- Personeelsbeleid: het instellen en handhaven van maatregelen om te zorgen voor een veilig gebruik van informatie.
- Opleiding en training: het verstrekken van adequate opleiding en training aan alle betrokken personen om een niveau van informatiebeveiliging te bereiken dat voldoet aan de eisen van de NEN 7510.
NEN 7510 certificeringsproces
Hieronder vindt u een NEN 7510 checklist, met de stappen welke logischerwijs nodig zijn om een NEN 7510 certificering te behalen:
- Begin met de NEN 7510 download (PDF). Deze is aan te kopen via bijvoorbeeld de NEN.
- Plan een vrijblijvend kennismakingsgesprek met een van onze accountmanagers in.
- Volg een training om de benodigde kennis over NEN 7510 te verkrijgen. Dit kan ook via onze BC Academy.
- Implementeer het NEN 7510 managementsysteem in uw organisatie en zorg ervoor dat het voldoet aan de eisen van de norm.
- Voer een interne audit uit om te controleren of het systeem goed werkt en om te beoordelen of uw systeem aan de normeisen voldoet.
- Het management moet de resultaten van de interne audit beoordelen en eventuele corrigerende maatregelen nemen. De conclusie over het voldoen aan de eisen legt u vast in de directiebeoordeling.
- Wanneer u zelf heeft vastgesteld dat uw organisatie voldoet aan de eisen zal een auditor van Brand Compliance onafhankelijk beoordelen of uw managementsysteem voldoet aan de eisen van de norm.
- Indien uw organisatie voldoet aan de normeisen, ontvangt u van ons een certificaat.
Wat kost een NEN 7510 certificering?
De implementatie begint bij de aanschaf van de norm. De kosten van het gehele traject zijn afhankelijk van verschillende factoren. Bijvoorbeeld de complexiteit van de processen, of er gewerkt wordt in ploegendiensten, in hoeverre zaken binnen de organisatie al op orde zijn, het aantal FTE en locaties. De kosten voor de certificering bestaan uit het aantal uur dat Brand Compliance bezig is met de voorbereiding van de audit, de audit zelf, de rapportage en additionele kosten zoals het certificaat, administratie en reiskosten.
Voor nadere informatie over alles wat te maken heeft met certificeringen hebben we onze kennisbank opgericht, met daarin o.a. een aantal artikelen onder ‘certificatietraject‘.
Start uw CertificatietrajectVeelgestelde vragen
Vaak is een NEN 7510 certificering niet verplicht, maar laat een organisatie zich certificeren om zich te bewijzen naar haar belanghebbenden en zich te onderscheiden van de markt. Maar er is ook een mogelijkheid dat één van de belanghebbenden de NEN 7510 certificering wel verplicht stelt. Zo kan het zijn dat een zorgverzekeraar het verplicht stelt voor de aangesloten zorgorganisaties of dat één van de leveranciers het als eis stelt. Een voorbeeld hiervan is MedMij.
NEN 7510 wordt niet expliciet in de AVG vermeld, maar het belang van beveiligingsstandaarden bestaat onder de geldende regelgeving, zoals de AVG. Het is binnen de zorgsector wel verplicht om aan NEN 7510 te voldoen als er met het burgerservicenummer (BSN) gewerkt wordt. Tot slot, de Autoriteit Persoonsgegevens (AP) vermeld in de huidige beleidsregels ‘Beveiliging van persoonsgegevens’ dat organisaties verantwoordelijk zijn voor het volgen van beveiligingsstandaarden, waarbij NEN 7510 als voorbeeld wordt genoemd.
NEN 7510 is bedoeld voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie, evenals beveiligingsadviseurs, consultants, auditoren, aanbieders en externe dienstverleners die verantwoordelijk zijn voor het toezicht op de beveiliging van gezondheidsinformatie. De richtlijnen in NEN 7510 bieden deze organisaties en personen de nodige informatie over hoe persoonlijke gezondheidsinformatie veilig beheerd en beschermd kan worden. Zie ook dit artikel.
NEN 7510-1 bevat de normatieve voorschriften voor het managementsysteem. Een managementsysteem voor informatiebeveiliging wordt door een organisatie geïmplementeerd als onderdeel van een strategische beslissing. Deel 1 van de norm is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging.
Deel 2 van de norm geeft een overzicht van de aanbevolen maatregelen die gezondheidszorgorganisaties kunnen nemen voor het managen van risico’s, waaronder het beveiligen van persoonlijke gezondheidsinformatie en het implementeren van procedures voor het beheer van informatiesystemen. NEN 7510-2 geeft zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie aanwijzingen over hoe ze de beschikbaarheid, integriteit en vertrouwelijkheid van deze informatie kunnen waarborgen.
De Algemene Verordening Gegevensbescherming (AVG) is een Europese verordening die betrekking heeft op de bescherming van persoonsgegevens. Het is ontworpen om individuen controle te geven over hun persoonlijke gegevens en om organisaties te verplichten deze gegevens op een veilige en verantwoorde manier te verwerken.
De AVG speelt een belangrijke rol binnen de NEN 7510-norm. Binnen de context van de NEN 7510-norm zijn zorginstellingen en andere organisaties in de gezondheidssector verplicht om te voldoen aan zowel de AVG als de specifieke eisen van de norm. Dit betekent dat zij de persoonsgegevens die zij verwerken moeten beschermen volgens de AVG-richtlijnen en de aanvullende eisen van NEN 7510.
De NEN 7510-norm bevat specifieke beveiligingsmaatregelen en richtlijnen voor de verwerking van persoonsgegevens in de zorg. Deze maatregelen omvatten onder andere het uitvoeren van risicoanalyses, het implementeren van passende technische en organisatorische maatregelen, het waarborgen van de vertrouwelijkheid van gegevens, het vaststellen van toegangsrechten en het melden van datalekken.
Door te voldoen aan zowel de AVG als de NEN 7510-norm kunnen zorginstellingen aantonen dat zij de privacy van patiënten respecteren en de persoonsgegevens op een veilige manier verwerken. Het naleven van deze normen is van groot belang om het vertrouwen van patiënten en andere belanghebbenden te behouden en om juridische en financiële risico’s te beperken.
De basis van beide normen is hetzelfde. NEN 7510 is specifiek voor organisaties die persoonlijke gezondheidinformatie verwerken. Deze norm heeft 3 extra beheersmaatregelen en voor 33 bestaande beheersmaatregelen een zorg specifieke beheersmaatregel benoemd.
De NEN 7512 heeft betrekking op elektronische communicatie in de zorg tussen zorgverleners en zorginstellingen, patiënten en cliënten, zorgverzekeraars, en andere partijen die bij de zorg betrokken zijn. Deze voorschriften worden door wet- en regelgeving voorgeschreven en verschillen per proces. NEN 7512 beschrijft onder andere het proces om een risicobeoordeling uit te voeren voor de uitwisseling van gegevens.
De NEN 7513 stelt eisen aan het systeem waarmee gegevens rond de toegang tot het elektronisch patiëntendossier worden geregistreerd. Deze eisen maken het mogelijk om de rechtmatigheid van de toegangscontrole in het elektronisch patiëntendossier te controleren.