NEN 7510
De Nederlandse norm voor informatiebeveiliging in de zorg
NEN 7510 is dé Nederlandse norm voor informatiebeveiliging in de zorg. De norm beschrijft eisen voor de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie. Door te voldoen aan de eisen van deze norm toon je aan dat er goed is nagedacht over alle risico’s rondom informatiebeveiliging. Daarnaast laat je zien dat er gestructureerd en planmatig wordt gewerkt aan verbetering.
Uitleg over de NEN 7510
Certificatie of aantoonbaar voldoen?
NEN 7510 is voor zorgaanbieders en andere beheerders van persoonlijke gezondheidsinformatie. De norm wordt genoemd in de wet, waaronder in artikel 2 van de AMvB. Dit is de wet voor het gebruik van BSN in de zorg. Echter, certificatie is volgens de wet niet verplicht. In sommige gevallen moet een organisatie wel aantoonbaar voldoen aan de NEN 7510 norm. Dit geldt voor zorgverleners en per 2023 ook voor ziekenhuizen. Daarnaast gebruikt de Inspectie Gezondheidszorg en Jeugd (IGJ) de NEN 7510 voor het toetsen van adequate informatiebeveiliging door zorginstellingen. Hoe voldoe je aantoonbaar aan de norm? Certificatie is een eenvoudige manier om aantoonbaar te voldoen aan de norm, maar je kan ook toewerken naar een Compliance Verklaring. Daarmee verklaren we vanuit Cuccibu dat jouw organisatie voldoet aan de gestelde eisen en onderbouwen we dat met aantoonbare bewijslast. Deze bewijslast wordt, volgens de laatste jurisprudentie, als gelijkwaardig aan certificatie beschouwd in het geval van aanbestedingen.
Hoe creëer je draagvlak?
Draagvlak vormt een essentieel onderdeel van NEN 7510. Uiteindelijk moeten de medewerkers van jouw organisatie het geïmplementeerde Information Security Management Systeem (ISMS) in de praktijk uitvoeren. Cuccibu kan jouw organisatie ondersteunen bij het creëren van draagvlak op het gebied van informatiebeveiliging in de zorg. Bijvoorbeeld door het ontwikkelen van posters, het geven van workshops en langskomen van een mystery guest.
Hoe kunnen wij helpen?
Cuccibu heeft inmiddels veel verschillende zorginstellingen en ICT organisaties met NEN 7510 geholpen. Van het organiseren van een bewustwordingssessie tot begeleiding bij de implementatie van de norm. Wij helpen graag! Kan jouw organisatie ook onze hulp bij het verbeteren van de informatiebeveiliging gebruiken? Neem gerust vrijblijvend contact op en we vertellen je graag over de mogelijkheden.
Meest gestelde vragen
We zetten de meest gestelde vragen over NEN 7510 voor je op een rijtje.
NEN 7510 is een Nederlandse norm en gaat over informatiebeveiliging in de zorg. Deze norm is o.a. gebaseerd op de internationale ISO 27001 norm, die beschrijft welke maatregelen genomen moeten worden om op de juiste manier om te kunnen gaan met patiëntgegevens. Voldoe je aan NEN 7510, dan heb je goed nagedacht over alle risico’s en kun je laten zien dat er gestructureerd en planmatig wordt gewerkt aan verbetering. Er zijn maatregelen getroffen om risico’s te voorkomen en er is vastgesteld dat deze maatregelen ook daadwerkelijk effectief zijn.
Persoonlijke gezondheidsinformatie is informatie over een identificeerbaar persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening aan, de persoon in kwestie. Hieronder valt ook:
- Informatie over de registratie van de persoon voor de verlening van zorgdiensten;
- Informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
- Een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
- Alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
- Informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof;
- Identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.
NEN 7510 wordt genoemd in artikel 2 van de AMvB. Dit is de Wet voor het gebruik van BSN in de zorg. Patiëntgegevens moeten op een adequate manier moeten worden beveiligd voor het geven van verantwoorde zorg. Informatiebeveiliging is een belangrijk onderdeel daarbij. Informatiebeveiliging valt onder toezicht van de Inspectie Gezondheidszorg en Jeugd (IGJ) en deze inspectie gebruikt de NEN 7510 voor het toetsen van adequate informatiebeveiliging door zorginstellingen. Certificatie is niet noodzakelijk volgens de wet. Een aantal organisaties moeten wel aantoonbaar voldoen aan de eisen van NEN 7510. Dit geldt bijvoorbeeld voor zorgverleners en ziekenhuizen.
Zowel NEN 7510 als ISO 27001 gaan over de beschikbaarheid, integriteit en vertrouwelijkheid van kritieke informatie. Het is belangrijk dat keuzes worden onderbouwd en dat er een systematiek van werken wordt ingericht, waardoor je aandacht blijft houden voor informatiebeveiliging. Het grote verschil is dat NEN 7510 specifiek is toegespitst op de gezondheidszorg. Er wordt gekeken naar persoonlijke gezondheidsinformatie. De norm geeft specifieke toelichting op zorgsituaties en geeft richting aan de afweging van de risico’s.
De NEN heeft, in opdracht van het ministerie van VWS, het Informatieberaad Zorg en gemeenten, de NTA 7516-norm ontwikkeld. Aan de hand van deze norm kan worden bepaald of communicatiemethoden voldoende zijn beveiligd. NTA 7516 is de norm voor het veilig communiceren van gezondheidsinformatie. Onder communiceren valt niet alleen e-mail, maar ook messenger apps, chats en online portalen. Aan de hand van 21 elementen (beleid, loggingseisen en 19 criteria ten aanzien van beschikbaarheid, integriteit, vertrouwelijkheid, interoperabiliteit en gebruiksvriendelijkheid) beschrijft de NTA 7516 waaraan voldaan dient te worden voordat een organisatie kan stellen dat zij gezondheidsinformatie veilig communiceert.
Steeds vaker helpen wij organisaties ook bij het voldoen aan de NEN 7512 en NEN 7513 eisen. De NEN 7512 norm geeft aanvullende zekerheden die de partijen onderling met elkaar moeten bieden voor vertrouwde gegevensuitwisseling. Tevens voorziet deze norm in nadere invulling aan richtlijnen zoals beschreven in de NEN 7510. Dagelijks wordt van vele cliënten en patiënten vertrouwelijke gezondheidsinformatie ingezien, bewerkt, gedeeld of verwijderd. In bijna alle voorkomende gevallen betreft het terechte handelingen door geautoriseerde personen of systemen. In die gevallen dat dit niet het geval is, wil je graag kunnen aantonen wie welke data heeft ingezien of bewerkt. Op deze manier kan je controleren of dit schadelijke impact heeft voor cliënten, patiënten of de organisatie. NEN 7513 komt nu om de hoek kijken.
