In weinig sectoren is ‘klantinformatie’ meer vertrouwelijk dan in de zorgsector. Niet vreemd dus dat zorginstellingen steeds meer aandacht willen en móeten besteden aan de manier waarop ze omgaan met patiëntgegevens en andere data. De op de Nederlandse zorgsector toegespitste norm NEN 7510 helpt daarbij, met een raamwerk voor een gestructureerde aanpak van informatiebeveiliging.

Ook de gezondheidszorg is grondig veranderd door de komst van het internet en ontwikkelingen op het gebied van telecommunicatie. Denk aan elektronisch patiëntendossiers, e-health en robots die een chirurg assisteren bij een operatie. Die innovaties kunnen echter ook risico’s met zich meebrengen. Zo zijn datalekken en cybercriminaliteit niet alleen schadelijk voor de bedrijfsvoering, maar kunnen ze ook leiden tot schadeclaims en imagoschade. Ook in de zorgsector is een gestructureerde aanpak van cybersecurity en informatiebeveiliging dus een must.

Gehele zorgketen

Nederlandse zorgorganisaties moeten volgens de Regeling burgerservicenummer in de zorg sinds 2008 voldoen aan NEN 7510. Informatiebeveiliging valt daarmee onder het toezicht van de Inspectie voor de Gezondheidszorg (IGZ) die op basis van de NEN 7510 toetst of zorginstellingen de juiste maatregelen hebben getroffen voor adequate informatiebeveiliging. De NEN 7510 is van toepassing op de gehele zorgketen, van individuele zorgverleners tot grote zorginstellingen en toeleveranciers als netwerk- en cloudproviders, leveranciers van IT-oplossingen en zorgverzekeraars.

Adequate informatiebeveiliging

Op basis van de internationale normen voor informatiebeveiliging ISO 27001 en ISO 27002, maar volledig afgestemd op de Nederlandse gezondheidszorg, biedt de NEN 7510 een kader voor informatiebeveiliging dat zorgorganisaties helpt passende beveiligingsmaatregelen te nemen. Dat maakt NEN 7510 de norm voor informatiebeveiliging in de zorg, met richtlijnen die organisaties in de zorgsector helpen hun interne processen zó in te richten dat informatie adequaat wordt beveiligd. Daarbij hoort ook het stimuleren van bewustwording en trainen van medewerkers.

NEN 7510 certificering

Zorgorganisaties die hun processen rondom informatiebeveiliging inrichten volgens de kaders van de NEN 7510 kunnen zich hiervoor door een onafhankelijke partij laten certificeren. Die verzorgt een audit, zodra de organisatie denkt ‘klaar’ te zijn voor certificering. Auditors checken hierbij of de organisatie voldoet aan de NEN 7510-criteria en stellen een stappenplan op voor eventuele verbeterpunten. Worden die knelpunten opgelost, dan volgt NEN 7510 certificering. Met een NEN 7510-certificaat laat een zorginstelling ook aan patiënten en andere stakeholders zien dat privacygevoelige informatie wordt verwerkt op een manier die de vertrouwelijkheid, integriteit en beschikbaarheid waarborgt.

NEN 7510 certificering door Kiwa

Kiwa was als eerste Nederlandse certificerende instantie geaccrediteerd voor NEN 7510 en heeft veel ervaring met NEN 7510 certificeringstrajecten. Wilt u weten hoe een NEN 7510-certificeringstraject eruit ziet en wat daarbij komt kijken? Kijk op https://www.kiwa.com/nl/nl/service/nen-7510/.