Een NEN 7510-certificaat laat zien dat een organisatie veilig en verantwoord omgaat met patiënt- en cliëntgegevens. Het NEN 7510-certificaat toont aan dat uw organisatie voldoet aan de eisen voor informatiebeveiliging in de zorgsector. Niet alleen voor je eigen organisatie maar ook richting de stakeholders. Om te komen tot een NEN 7510-certificering moet uiteraard worden voldaan aan de norm. Maar komt iedere organisatie in aanmerking voor een NEN 7510-certificaat? Voor zorginstellingen is dat wel duidelijk het geval maar hoe zit dat met andere organisaties? We proberen met deze blog daar antwoord op te geven.

NEN 7510-certificaat
Clusters NEN 7510

Door de Raad voor Accreditatie is er een protocol opgesteld waarin er twee clusters zijn vastgesteld voor certificatie van managementsystemen voor informatiebeveiliging in de zorg, beter bekend als NEN 7510.

  1. Z-cluster: Zorginstellingen.
  2. B-cluster: Beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen.

In dit document zijn aanvullende eisen gesteld met betrekking tot de scope van het ISMS en de Verklaring van Toepasselijkheid. Beheerders van persoonlijke gezondheidsinformatie moeten aantoonbaar een interface hebben met een zorginstelling. Wanneer dit niet het geval is mag er geen NEN 7510-certificaat uitgegeven worden. Toch is er nog onduidelijkheid over wat dat precies inhoudt.

De definitie die wordt gehanteerd voor het hebben van een interface is als volgt:

“Het beheren van persoonlijke gezondheidsinformatie waarbij deze informatie wordt gebruikt door een zorginstelling.”

Expliciet wordt hier nog aan toegevoegd dat wanneer een organisatie een softwarepakket levert maar geen beheersmaatregelen uitvoert, er geen sprake is van een interface.

Voor ‘beheren’ wordt de definitie ‘verwerken’ uit de AVG gehanteerd. Zelfs wanneer er dus alleen sprake is van ‘het opslaan’ van persoonlijke gezondheidsinformatie, kan er sprake zijn van een interface. Dit hangt mede af van of er sprake is van persoonlijke gezondheidsinformatie.

Persoonlijke gezondheidsinformatie

Dit betreft informatie over een persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie waaronder ook begrepen kan worden:

  • Informatie over de registratie van de persoon voor de verlening van zorgdiensten;
  • Informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
  • Een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
  • Alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
  • Informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof;
  • Identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.

Persoonlijke gezondheidsinformatie omvat niet informatie die, op zichzelf of in combinatie met andere informatie die beschikbaar is voor de houder, geanonimiseerd is. Geanonimiseerd wil zeggen dat de identiteit van de persoon die de informatie betreft, niet aan de hand van de informatie kan worden vastgesteld.

Wanneer komt een organisatie in aanmerking voor een NEN 7510-certificaat?

Wil je weten of een NEN 7510-certificering voor jouw organisatie kan passen dan hebben we hieronder aangeven waaraan in beginsel zou moeten worden voldaan.

  1. Er is sprake van een aantoonbare interface met een zorginstelling zoals we hierboven hebben beschreven.
  2. De scope moet duidelijk maken welke activiteiten, producten en diensten betrekking hebben op het beheer van persoonlijke gezondheidsinformatie en welke zijn uitbesteed.
  3. In de verklaring van toepasselijkheid moet aangegeven worden welke beheersmaatregelen van toepassing zijn op de uitbestede activiteiten, producten en diensten welke betrekking hebben op het beheer van persoonlijke gezondheidsinformatie.

Ook wordt er extra nadruk gelegd op het voldoen aan wet- en regelgeving, waarbij de organisatie niet alleen een goed beeld moet hebben van de wet- en regelgeving die van toepassing is op haar organisatie maar ook op haar klanten, voor zover dit relevant is voor de activiteiten die de organisatie voor haar klanten uitvoert. Dit met als reden dat de organisatie bij het aanbieden van haar dienstverlening of product al rekening kan houden met de context van de klant. Zodat die ook aan de relevante wet- en regelgeving kan voldoen.

We hopen met deze informatie meer duidelijkheid te hebben gegeven op de vraag “NEN 7510-certificaat: Komt mijn organisatie hiervoor in aanmerking?”
Wilt u meer weten over de NEN 7510-certificering of wanneer NEN 7510 verplicht is? Lees dan ook ons artikel hierover.

Heeft u nog vragen?

  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.