De NEN 7510 is dé norm voor informatiebeveiliging in de zorg. Maar wanneer is NEN 7510 verplicht voor organisaties? Informatiebeveiliging in de zorg is essentieel, aangezien er regelmatig gevoelige patiëntgegevens worden uitgewisseld. Het is belangrijk dat een organisatie zorgvuldig en vertrouwelijk omgaat met deze gegevens. Met een NEN 7510-certificering laat een organisatie zien dat de juiste maatregelen voor informatiebeveiliging zijn genomen.
Door middel van deze certificering toont een organisatie aan patiënten, cliënten, leveranciers, zorgverzekeraars, de IGJ, Vecozo, toezichthouders en andere belanghebbenden dat informatiebeveiliging serieus wordt genomen.
Een NEN 7510-certificering is van toepassing op alle typen zorgaanbieders en hun toeleveranciers zoals verpleeghuizen, ziekenhuizen, fysiotherapeuten, GGZ-instellingen, softwareleveranciers en andere dienstverleners die met patiëntgegevens werken of daar toegang toe hebben.
In veel gevallen is NEN 7510 niet verplicht, maar kiezen organisaties er toch voor om zich te laten certificeren. Hiermee kunnen zij aantonen dat zij voldoen aan hoge eisen voor informatiebeveiliging en zich onderscheiden richting stakeholders.
Toch kan het voorkomen dat NEN 7510 wel verplicht wordt gesteld. Bijvoorbeeld wanneer een zorgverzekeraar of ketenpartner eist dat een organisatie over een NEN 7510-certificering beschikt. Ook bepaalde afsprakenstelsels kunnen deze verplichting stellen. Een bekend voorbeeld hiervan is MedMij.
MedMij
MedMij heeft als doel dat iedereen die dat wil kan beschikken over zijn eigen gezondheidsgegevens in een persoonlijke gezondheidsomgeving (PGO), bijvoorbeeld via applicaties of websites.
Binnen deze PGO’s wordt zeer gevoelige informatie verwerkt. Daarom is goede beveiliging van deze gegevens noodzakelijk. Om dit te waarborgen is het MedMij Afsprakenstelsel ontwikkeld. Dit afsprakenstelsel zorgt ervoor dat persoonsgebonden, gevoelige en vertrouwelijke gezondheidsgegevens veilig en betrouwbaar kunnen worden uitgewisseld.
Binnen het MedMij Afsprakenstelsel is NEN 7510 verplicht voor bepaalde deelnemers. Zo moeten organisaties die een PGO ontwikkelen of beheren beschikken over een NEN 7510-certificering.
Stappenplan NEN 7510-certificering
Wilt u de NEN 7510-norm implementeren in uw organisatie? Lees dan eerst de norm en bepaal of u de norm zelf gaat implementeren of dat u gebruik maakt van een adviesbureau.
Om de norm te implementeren moet eerst de scope worden vastgesteld. Daarna kunnen de benodigde maatregelen voor informatiebeveiliging worden ingericht. Wanneer het managementsysteem is geïmplementeerd, kunnen de externe audits worden ingepland. Na een succesvolle audit kan uw organisatie het NEN 7510-certificaat behalen.
Wilt u weten of NEN 7510 verplicht is voor uw organisatie of wilt u een gesprek met onze NEN 7510 specialist over de externe audits? Schrijf u dan in voor een kennismaking, bel naar +31 (0)73 – 220 2030 of mail naar info@brandcompliance.com.
NEN 7510 verplicht: veelgestelde vragen
NEN 7510 is meestal niet wettelijk verplicht voor zorgorganisaties. Veel organisaties kiezen vrijwillig voor NEN 7510-certificering om aan te tonen dat zij patiëntgegevens goed beveiligen. In sommige gevallen wordt NEN 7510 wel verplicht gesteld door bijvoorbeeld zorgverzekeraars, ketenpartners of afsprakenstelsels.
NEN 7510 kan verplicht worden gesteld door partijen waarmee een organisatie samenwerkt. Bijvoorbeeld wanneer een zorgverzekeraar, opdrachtgever of samenwerkingspartner eist dat een organisatie over een NEN 7510-certificering beschikt. Ook binnen bepaalde afsprakenstelsels, zoals MedMij, kan NEN 7510 verplicht zijn.
Voor leveranciers in de zorg is NEN 7510 meestal niet automatisch verplicht. Wel kan een zorginstelling of ketenpartner eisen dat een leverancier een NEN 7510-certificering heeft wanneer deze toegang heeft tot patiëntgegevens of gezondheidsinformatie verwerkt.