Een NEN 7510 certificaat is het bewijs dat je veilig en verantwoord met gegevens van patiënten of cliënten omgaat. Niet alleen voor je eigen organisatie maar ook richting de stakeholders. Om te komen tot een NEN 7510 certificering moet uiteraard worden voldaan aan de norm. Maar is de NEN 7510 norm wel voor iedere organisatie van toepassing? Voor zorginstellingen is dat wel duidelijk het geval maar hoe zit dat met andere organisaties? We proberen met deze blog daar antwoord op te geven.
Clusters NEN 7510
Door de Raad voor Accreditatie is er een protocol opgesteld waarin er twee clusters zijn vastgesteld voor certificatie van managementsystemen voor informatiebeveiliging in de zorg, beter bekend als NEN 7510.
1. Z-cluster: Zorginstellingen.
2. B-cluster: Beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen.
In dit document zijn aanvullende eisen gesteld met betrekking tot de scope van het ISMS en de Verklaring van Toepasselijkheid. Beheerders van persoonlijke gezondheidsinformatie moeten aantoonbaar een interface hebben met een zorginstelling. Wanneer dit niet het geval is mag er geen certificaat uitgegeven worden. Toch is er nog onduidelijkheid over wat dat precies inhoudt.
De definitie die wordt gehanteerd voor het hebben van een interface is als volgt:
“Het beheren van persoonlijke gezondheidsinformatie waarbij deze informatie wordt gebruikt door een zorginstelling.”
Expliciet wordt hier nog aan toegevoegd dat wanneer een organisatie een softwarepakket levert maar geen beheersmaatregelen uitvoert, er geen sprake is van een interface.
Voor ‘beheren’ wordt de definitie ‘verwerken’ uit de AVG gehanteerd. Zelfs wanneer er dus alleen sprake is van ‘het opslaan’ van persoonlijke gezondheidsinformatie, kan er sprake zijn van een interface. Dit hangt mede af van of er sprake is van persoonlijke gezondheidsinformatie.
Persoonlijke gezondheidsinformatie
Dit betreft informatie over een persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie waaronder ook begrepen kan worden:
- Informatie over de registratie van de persoon voor de verlening van zorgdiensten;
- Informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
- Een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
- Alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
- Informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof, en
- Identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.
Persoonlijke gezondheidsinformatie omvat niet informatie die, op zichzelf of in combinatie met andere informatie die beschikbaar is voor de houder, geanonimiseerd is. Geanonimiseerd wil zeggen dat de identiteit van de persoon die de informatie betreft, niet aan de hand van de informatie kan worden vastgesteld.
Wanneer kom je in aanmerking voor een NEN 7510 certificering?
Wil je weten of een NEN 7510 certificering voor jouw organisatie kan passen dan hebben we hieronder aangeven waaraan in beginsel zou moeten worden voldaan.
- Er is sprake van een aantoonbare interface met een zorginstelling zoals we hierboven hebben beschreven.
- De scope moet duidelijk maken welke activiteiten, producten en diensten betrekking hebben op het beheer van persoonlijke gezondheidsinformatie en welke zijn uitbesteed.
- In de verklaring van toepasselijkheid moet aangegeven worden welke beheersmaatregelen van toepassing zijn op de uitbestede activiteiten, producten en diensten welke betrekking hebben op het beheer van persoonlijke gezondheidsinformatie.
Ook wordt er extra nadruk gelegd op het voldoen aan wet- en regelgeving, waarbij de organisatie niet alleen een goed beeld moet hebben van de wet- en regelgeving die van toepassing is op haar organisatie maar ook op haar klanten, voor zover dit relevant is voor de activiteiten die de organisatie voor haar klanten uitvoert. Dit met als reden dat de organisatie bij het aanbieden van haar dienstverlening of product al rekening kan houden met de context van de klant. Zodat die ook aan de relevante wet- en regelgeving kan voldoen.
We hopen met deze informatie meer duidelijkheid te hebben gegeven op de vraag “Wanneer komt mijn organisatie nu wel of niet in aanmerking voor NEN 7510?”
Wilt u meer info over NEN 7510 lees dit artikel over wanneer een NEN 7510 certificering verplicht is.
Heeft u nog vragen?