De normering voor de zorg: NEN 7510
De NEN 7510 is specifiek ontwikkeld voor de gezondheidszorg in Nederland en richt zich op het waarborgen van de informatiebeveiliging binnen zorginstellingen. De focus ligt op het beschermen van patiëntgegevens en het voldoen aan wettelijke verplichtingen, zoals de Algemene Verordening Gegevensbescherming (AVG). NEN 7510 legt nadruk op risicoanalyse, beveiligingsbeleid, incidentenbeheer en bewustwording van medewerkers binnen de zorgcontext.
Hoewel het behalen van een NEN 7510 certificaat niet verplicht is voor zorginstellingen, is het wel verplicht om te voldoen aan de normering.
Lees ook: Het verschil tussen de NEN 7510 en de ISO 72001Vaststelling informatiebeveiligingsbeleid zorg
De NEN 7510 is een uitgebreide norm. Daarom is het goed om te weten waar u met uw organisatie staat, voordat u de norm gaat toepassen.
Dit doet u door het huidige informatiebeveiligingsbeleid vast te stellen waarbij gekeken wordt naar de relevante onderwerpen voor de organisatie, de belanghebbenden alsook rollen en verantwoordelijkheden. U krijgt inzicht in de wijze waarop persoonlijke en gevoelige informatie wordt verwerkt en opgeslagen. Aan de hand van deze informatie kunt u bepalen hoe de gevoelige informatie beschermd dient te worden en welke doelstellingen daarvoor gerealiseerd dienen te worden.
Aanvullingen informatiebeveiliging zorg:
- Het informatiebeveiligingsbeleid in de zorg dient elke keer opnieuw beoordeeld te worden na ernstige beveiligingsincidenten;
- Organisaties werkzaam in de zorgsector dienen een informatiebeveiligingsmanagement forum (IBMF) op te richten. Deze dient (bijna) maandelijks te overleggen;
- Er dient een speciale verantwoordelijke aangewezen te worden voor de medische- / gezondheids-informatie;
- De plichten en verantwoordelijkheden met betrekking tot het bewerken van persoonlijke gezondheidsinformatie dient gescheiden te worden.
Analyse processen en informatiesystemen
U kunt de doelen van uw organisatie enkel behalen wanneer alle bedrijfsprocessen naar behoren functioneren. Daarom is het van essentieel belang om de processen en gebruikte informatiesystemen en -bronnen binnen de organisatie in kaart te brengen. Daarbij dient u de waarde (of het belang) en gevoeligheid van de verwerkte informatie te benoemen - de informatieclassificatie.
Aanvullingen informatiebeveiliging zorg:
- Persoonlijke gezondheidsinformatie dient als ‘vertrouwelijk’ te worden aangemerkt. Dit dient bij opstarten of inloggen van systemen of bij het inzien (op papier) direct zichtbaar te zijn.
Risicobeheersing starten
Binnen de zorgsector speelt risicobeheersing een sleutelrol. Het is van belang dat u alle potentiële dreigingen en risico’s in kaart brengt. Op basis van dit inzicht kunt u maatregelen treffen en zo adequaat reageren op daadwerkelijke problemen.
Aanvullingen informatiebeveiliging zorg:
- Patiëntveiligheid dient expliciet als risico opgenomen te worden in de verschillende projecten.
Maatregelen implementeren
Zodra u weet welke risico’s er zijn binnen uw organisatie, kunt u de benodigde maatregelen implementeren om deze risico’s te verkleinen. Dit doet u door de volgende aanpak per risico te bepalen:
- Beheersen: U bepaalt beheersmaatregelen om het risico effectief te verkleinen.
- Overdragen: U draagt het risico over door bijvoorbeeld de potentiële schade te verzekeren.
- Ontwijken: U gaat op zoek naar een andere oplossing waardoor het risico niet meer aanwezig is;
- Accepteren: U laat het risico bestaan omdat het dreigingsniveau en de mogelijke schade acceptabel laag is.
Aanvullingen informatiebeveiliging zorg:
- De toegang tot persoonlijke gezondheidsinformatie dient te worden gecontroleerd en beperkt tot het doel van de zorgactiviteiten. Dit dient vooraf in het beleid te worden gedefinieerd en toegepast op basis van de rollen en bevoegdheden;
- Het is verplicht om two-factor authentication toe te passen voor systemen met persoonlijke gezondheidsinformatie. Het (toegangs-)beheer dient gescheiden te zijn van het werken met persoonlijke gezondheidsinformatie zelf;
- Persoonlijke gezondheidsinformatie dient uitsluitend in fysiek beschermde gebieden beschikbaar te zijn;
- Back-ups dienen versleuteld te zijn;
- Openbare gezondheidsinformatie moet worden beveiligd om de integriteit en authenticiteit te kunnen waarborgen.
Resterend risico evalueren
Zodra u weet welke bedreigingen en risico’s er zijn en u deze hebt voorzien van passende maatregelen, kunt u de risico’s nogmaals langslopen om het restrisico te bepalen. Dit is het risico dat is overgebleven nadat alle nodige maatregelen zijn getroffen. Op die manier houdt u zicht op de nog bestaande risico’s waarvan u het bewustzijn binnen de organisatie op peil dient te houden.
NEN 7510 toepassen binnen uw organisatie
Natuurlijk komt er bij het toepassen van informatiebeveiliging binnen de zorg meer kijken dan de bovenstaande stappen. De NEN 7510 is een complexere norm die veel aandacht vraagt. Daarnaast dient informatiebeveiliging regelmatig op de agenda terug te keren omdat het een blijvend proces is.
Om de informatiebeveiliging blijvend op orde te houden, of de NEN 7510 binnen uw organisatie te implementeren, kunt u ons ISMS Base27 gebruiken. U kunt de software één maand gratis uitproberen!
Wij helpen u graag met al uw vragen rondom informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.
Wilt u uw klanten en bezoekers laten weten dat u de persoonsgegevens op een veilige wijze bewaard? In ons gratis e-book helpen wij u in tien stappen naar de certificering. Toepasbaar voor de ISO 27001 én NEN 7510