English
Nederlands
Informatiebeveiliging en omgaan met privacy gevoelige informatie is dagelijks een onderwerp van gesprek. Het is voor iedere organisatie van belang, maar met name in de zorg staat het publiek op scherp. Privacygevoelige informatie gaat van de huisarts, naar de specialist, of zelfs meerdere, om vervolgens weer terug te komen bij de huisarts. Medische- en patiëntgegevens worden veelvuldig onderling uitgewisseld.
De eisen rondom informatiebeveiliging worden steeds strenger. In mei 2018 is de Europese wetgeving (AVG) ingevoerd. Deze heeft ook veel invloed op de informatiebeveiliging binnen de zorg. In 2024 is de NEN 7510 norm voor het laatst bijgewerkt met het oog op adequate informatiebeveiliging. Volgens de wet dienen zorginstellingen deze NEN 7510:2024 toe te passen. Maar wat is dit nu eigenlijk, voor wie geldt de NEN 7510 en moet je verplicht een certificaat behalen?
Weet u wat de NEN 7510 inhoudt en aan welke eisen uw zorginstelling moet voldoen? In dit blogartikel bespreken we de NEN 7510 (certificering) inhoudt en wanneer u hieraan moet voldoen.
- Wat is NEN 7510 certificering?
- Wat houdt de NEN 7510 certificering in?
- Ontwikkeling van de norm
- Voor wie is de NEN 7510 certificering verplicht?
- Waarom een certificering voor de NEN 7510?
Wat is de NEN 7510 norm?
Kort gezegd is NEN 7510 een norm voor informatiebeveiliging, speciaal ontwikkeld voor de zorg. Denk hierbij aan ziekenhuizen, huisartsen, apothekers, verzorgingstehuizen et cetera. Het is voor alle zorgaanbieders wettelijk verplicht om de NEN 7510 toe te passen.
Wat houdt de NEN 7510 in?
Om aan het gewenste niveau van dienstverlening te kunnen voldoen, is het noodzakelijk dat zorgverleners op ieder gewenst moment over betrouwbare informatie kunnen beschikken. Tegelijkertijd is het van groot belang dat gevoelige informatie niet in handen van ongeautoriseerde partijen valt om de privacy van de patiënt te beschermen.
Doordat er zo veel diverse partijen samenwerken - denk aan zorgaanbieders, patiënten, verzekeraars, overheidsinstanties en andere belanghebbenden - is de informatiebeveiliging in de zorg zeer complex. Iedere partij speelt een rol in het verzamelen van gegevens, het opslaan, verwerken en transporteren van informatie.
De NEN 7510 geeft een kader waarbinnen iedere partij de voor zijn/haar proces relevant geachte informatiebeveiliging kan specificeren, inclusief de daarbij behorende maatregelen. Dankzij een overeenkomst tussen het ministerie van Volksgezondheid, Welzijn en Sport en NEN is de NEN 7510 norm kosteloos beschikbaar.
De NEN 7510 zelf is gebaseerd op de ISO 27001. Dit is een meer algemene internationale norm voor informatiebeveiliging. In principe beschrijft de NEN 7510 deze norm, plus zorgspecifieke maatregelen die hierbij toegepast moeten worden.
Ontwikkeling van de norm
In 2024 is de NEN 7510 norm aangepast en vernieuwd. De vernieuwde NEN 7510 past daarmee beter in de High Level Structure (HLS). Hierdoor kan de NEN 7510 beter gecombineerd worden met andere normen zoals de HKZ Zorg & Welzijn (kwaliteit) en bijvoorbeeld ISO normen zoals de ISO 14001 (milieu).
Informatiebeveiliging volgens de NEN 7510 richt zich op drie aspecten:
- Beschikbaarheid;
- Integriteit;
- Vertrouwelijkheid.
De norm noemt beheersmaatregelen om de risico’s ten aanzien van deze drie aspecten te beheersen.
Let op, door de alsmaar stijgende druk op gebied van cybersecurity worden normeringen vaker herzien en gewijzigd. Wilt u zekerheid hebben in of uw organisatie voldoet aan de nieuwste versie van de norm? Maak dan gebruik van een ISMS-tool.
Voor wie is de NEN 7510 norm verplicht?
De NEN 7510 is dus een norm voor informatiebeveiliging specifiek gericht op de zorgsector in Nederland. Deze norm is verplicht voor alle zorginstellingen en andere organisaties die persoonsgegevens verwerken in de gezondheidszorg. Hieronder volgt een volledige lijst van zorginstellingen en organisaties die verlicht zijn om aan de NEN 7510 te voldoen:
- Ziekenhuizen en Klinieken
- Algemene ziekenhuizen
- Universitair Medische Centra (UMC’s)
- Specialistische ziekenhuizen
- Psychiatrische ziekenhuizen - Huisartsengroepen
- Individuele huisartsenpraktijken - Apotheken
- Openbare apotheken
- Ziekenhuisapotheken
- Poliklinische apotheken - Verpleeg- en Verzorgingshuizen
- Verpleegtehuizen
- Verzorgingshuizen
- Hospice zorginstellingen - Thuiszorgorganisaties
- Thuiszorgorganisaties die medische en niet-medische zorg verlenen - GGZ-instellingen
- Geestelijke gezondheidszorginstellingen
- Verslavingszorg - Jeugdzorginstellingen
- Instellingen voor jeugdzorg en jeugd-GGZ - Arbodiensten
- Bedrijfsgezondheidsdiensten en arbodiensten - Fysiotherapiepraktijken
- Groepen en individuele praktijken - Tandartspraktijken
- Tandartspraktijken en mondzorgcentra - Medisch-specialistische bedrijven
- Laboratoria (bijvoorbeeld medisch-diagnostische laboratoria)
- Radiologische centra - Organisaties die medische gegevens verwerken
- IT-bedrijven en datacenters die diensten leveren aan zorginstellingen
- Organisaties die elektronische patiëntendossiers (EPD) beheren - Zorgverzekeraars
- Bedrijven die gezondheidsverzekeringen aanbieden - Overheidsinstanties in de zorgsector
- Instanties zoals de Inspectie Gezondheidszorg en Jeugd (IGJ) - Onderzoeksinstellingen in de zorgsector
- Instituten die medisch onderzoek doen waarbij patiëntgegevens worden verwerkt - Zorginstellingen die hulpmiddelen aanbieden
- Organisaties die medische hulpmiddelen verstrekken en/of beheren (zoals rollators, prothesen, etc.)
Het is voor alle zorgaanbieders wettelijk verplicht om aan de NEN 7510 te voldoen. Het is niet verplicht het NEN 7510 certificaat te behalen. Hoewel u hiermee wel kunt aangeven aan derden dat daar geen twijfel over kan zijn.
Lees ook: In 10 stappen het NEN 7510 certificaat behalen met deze checklist
Waarom de NEN 7510 certificering?
Hoewel de NEN 7510-certificering niet verplicht is, zijn er goede redenen om deze toch te behalen. Het helpt je organisatie namelijk op meerdere fronten. Ten eerste straal je hiermee vertrouwen uit naar klanten, patiënten en partners. Het laat zien dat je serieus bezig bent met de bescherming van gevoelige informatie, wat je reputatie alleen maar ten goede komt.
Daarnaast kan de certificering je een stap voor geven op de concurrentie. In de zorgsector, waar veiligheid en vertrouwelijkheid hoog in het vaandel staan, kan dit het verschil maken bij het binnenhalen van nieuwe opdrachten. Klanten kiezen eerder voor een organisatie die aantoonbaar haar zaken op orde heeft.
Ook intern heeft het voordelen. Door de certificering word je gedwongen om je processen en procedures nog eens goed onder de loep te nemen en waar nodig te verbeteren. Dit leidt vaak tot efficiëntere werkwijzen en minder risico op fouten of datalekken. Mocht er toch iets misgaan, dan heb je in ieder geval de nodige voorzorgsmaatregelen getroffen, wat eventuele schade kan beperken.
Bovendien kom je met de NEN 7510-certificering ook beter tegemoet aan andere wet- en regelgeving, zoals de AVG. Hoewel het misschien wat werk vraagt om de certificering te behalen, wegen de voordelen zeker op tegen de inspanningen. Het is een investering in de toekomst van je organisatie, zowel qua veiligheid als qua marktpositie.
Lees ook: Voordelen van een NEN 7510 certificaat
NEN 7510 certificaat behalen?
Wilt u de NEN 7510 toepassen of zelfs een certificering behalen voor uw zorginstelling? Wij helpen u graag. Onze tool Base27 bewaakt en registreert uw processen rondom informatiebeveiliging. Het is een information security management system (ISMS) dat houvast geeft in de vele en vaak complexe aspecten van informatiebeveiliging. Met behulp van Base27 bent u in staat om snel de informatiebeveiliging conform de NEN 7510 norm op te zetten.
Hebt u nog vragen over informatiebeveiliging? Wilt u het beleid voor uw organisatie vaststellen of de bewustwording over informatiebeveiliging onder uw werknemers vergroten? Of wilt u direct uw NEN 7510 certificering behalen? Neem vrijblijvend contact met ons op. Wij staan graag voor u klaar en voeren graag een onafhankelijke beoordeling voor u uit.
