Wat is de NEN7510 norm?
NEN7510 is de Nederlandse norm variant specifiek gericht op informatiebeveiliging bij zorginstellingen. Het is gebaseerd op de internationale ISO 27001 standaard. Het verschil met de ISO 27001 is dat de NEN7510 extra nadruk legt op zorgprocessen en patiëntveiligheid.
Voor wie is de NEN7510 norm?
Een NEN 7510 certificering is relevant voor diverse zorggerelateerde organisaties. Deze organisaties waarborgen de veilige opslag en verwerking van patiëntgegevens. Enkele voorbeelden voor wie de NEN7510 norm relevant is:
- Ziekenhuizen
- Huisartsenpraktijken
- Apotheken
- Zorgverzekeraars
- Medische laboratoria
- Fysiotherapiepraktijken
- Tandartspraktijken
- Verzorgingshuizen
- Geestelijke gezondheidszorginstellingen
- Medische softwarebedrijven
Waarom is informatiebeveiliging belangrijk in de zorg?
In de zorgsector is de bescherming van gevoelige informatie van groot belang. Denk aan:
1. Privacy van patiënten: Medische dossiers bevatten zeer persoonlijke informatie over de gezondheid van individuen.
2. Financiële gegevens: Naast medische gegevens bewaren zorginstellingen ook financiële gegevens van patiënten, zoals facturering, verzekeringen en andere financiële transacties.
3. Integriteit van zorgprocessen: Ongeautoriseerde toegang tot of wijziging van medische gegevens brengt de kwaliteit van de zorg in gevaar.
Waarom de NEN 7510 norm?
De meest voorkomende reden om een NEN 7510 certificering te behalen is om aan te tonen dat jij als zorginstelling of leverancier aan de zorg (welke medische gegevens verwerkt) jouw informatiebeveiliging op orde hebt. Door het behalen van een NEN 7510 certificaat toon je aan dat de medische gegevens goed zijn beschermd. Hiermee voldoe je aan de eisen en verwachtingen van klanten, leveranciers en andere stakeholders.
Is de NEN 7510 certificering verplicht?
De Inspectie Gezondheidszorg en Jeugd (IGJ) wil de ICT veiligheid en daarmee de informatiebeveiliging van persoonlijke gezondheidsinformatie verhogen. In 2023 moeten alle ziekenhuizen aantoonbaar voldoen aan NEN 7510. Verder is het mogelijk dat het Ministerie van Volksgezondheid VWS de NEN 7510 norm gaat meenemen in de herziening van de Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIS2), aangezien deze norm een goed middel is om te gebruiken voor de implementatie van deze Europese Richtlijn. Daarnaast moeten alle zorginstellingen voldoen aan de NEN 7510 norm wanneer zij het BSN van patiënten verwerken en gebruik maken van zorginformatiesysteem.
Het is ook niet voor niets dat een zorginstelling zich hoort te houden aan verschillende wet- en regelgeving:
- AVG (Algemene Verordening Gegevensbescherming).
- EGIZ (Besluit Elektronische Gegevensbescherming in de Zorg).
- Wbni (Wet Beveiliging Netwerk- en informatiesystemen).
- Wet gebruik BSN in de zorg.
Wanneer de beveiliging van een ICT-programma niet op orde is, dan voldoet de zorginstelling als verantwoordelijke ook niet aan de NEN 7510-norm. Het is belangrijk dat ICT-leveranciers voldoen aan de NEN 7510-norm. Zorginstellingen en ICT-leveranciers kunnen hierover afspraken maken in een (verwerkers)overeenkomst.
ISO 27001 en NEN 7510
Als we de standaarden vergelijken, blijkt dat NEN 7510 eigenlijk een aanvulling is op de vereisten en beheersingsmaatregelen van de ISO 27001/27002, specifiek aangepast voor de gezondheidszorg vanwege de kritieke aard van persoonlijke en medische informatie die een directe impact kan hebben op de gezondheid van individuen.
Dit houdt in de praktijk in:
- De hoofdstructuur van de NEN 7510-1 (bestaande uit 7 hoofdstukken, genummerd van 4 tot en met 10) is exact hetzelfde als die van de ISO 27001.
- In Bijlage A, ook wel Annex A genoemd, wordt voor de 114 beheersmaatregelen van ISO 27001 in de NEN 7510 voor 33 maatregelen een extra specificatie voor de gezondheidszorg toegevoegd, soms meerdere maatregelen per punt.
- Daarnaast introduceert de NEN 7510 nog drie aanvullende beheersmaatregelen in het hoofdstuk: ''A.14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen''.
De specifieke verschillen tussen de NEN 7510 en de ISO 27001 normen zijn helder gemarkeerd in de NEN 7510 documentatie, waardoor het eenvoudig is om deze direct te identificeren door enkel de NEN 7510 te raadplegen.
Aanvullende normen: NEN 7512 en NEN 7513
Naast de NEN 7510 zijn er ook de NEN 7512 en NEN 7513, die aanvullende eisen stellen:
- NEN 7512: deze norm regelt de veilige elektronische communicatie binnen de zorgsector.
- NEN 7513: deze norm biedt richtlijnen voor het loggen en het gebruik van logs om te voldoen aan wettelijke verplichtingen.
Hulp nodig bij de implementatie van de NEN 7510 norm?
Wij hebben al verschillende zorginstellingen geholpen met informatiebeveiliging. Van het implementeren van de NEN 7510 norm tot kritische interne audits met uitgebreide rapportage.
- RIBW
Storm is hier als interim-specialist werkzaam als Functionaris gegevensbescherming. Ook begeleidt hij het RIBW tijdens het implementeren van de NEN 7510 norm.
- GGZ Westelijk Noord-Brabant
Voor de volledige organisatie heeft Jelle een GAP-analyse uitgevoerd om te kijken wat er nog nodig is voor een NEN 7510 certificering.
- Bravis ziekehuis
Bij Bravis ziekenhuis verzorgt Information Security Consultant, Kilian, de jaarlijkse onafhankelijke interne audit.
- SPL
SPL bouwt veilige digitale infrastructuren en kent veel zorginstellingen als klant. De implementatie van de NEN 7510 en ISO 27001 was dan ook een logische vraag vanuit haar klantenkring.
- Waarneemapp
De Waarneemapp is een gratis, gebruiksvriendelijke en veilige omgeving om waarnemingen uit te kunnen wisselen met collega-huisartsen. Informatiebeveiliging staat hoog in het vaandel, dankzij een implementatie van de norm kunnen zij dit aantonen.
Wil jij net als bovenstaande organisaties begeleid of ontzorgd worden bij de implementatie van de NEN 7510 norm? Bekijk onze diensten of plan een vrijblijvende kennismaking.
In onze whitepaper nemen we je stap voor stap mee in ons implementatietraject.
