Innovatieve IoT-oplossingen en digitale klantportalen spelen een steeds grotere rol in de gezondheidszorg. Dit leidt tot een schat aan mogelijkheden, maar zorgt ook voor veiligheidsrisico’s. Om zorgprofessionals in staat te stellen veilig en vertrouwd om te gaan met medische en andere data is er de norm NEN 7510 voor informatiebeveiliging. Maar hoe ontleen je nu écht meerwaarde aan de NEN 7510?
Informatie die wordt verwerkt en opgeslagen door zorgverleners is vrijwel altijd vertrouwelijk. Niet vreemd dus dat de sector onder een vergrootglas ligt als het gaat om privacybescherming en, in het verlengde daarvan, databeveiliging. Daarom is er de norm NEN 7510, inhoudelijk gebaseerd op internationale normen voor informatiebeveiliging als de ISO 27001, maar nadrukkelijk toegespitst op de Nederlandse zorgsector. De NEN 7510 is er op de eerste plaats voor zorgverleners. Die kunnen echter op hun beurt ook van leveranciers verlangen dat ze NEN 7510-compliant zijn.
Wettelijk verplicht
In het kader van de Regeling burgerservicenummer in de zorg moeten organisaties die actief zijn in de gezondheidszorg voldoen aan de NEN 7510. De norm wordt door de Inspectie Gezondheidszorg en Jeugd (IGJ) gebruikt om te toetsen of een zorgverlener zijn informatiebeveiliging goed heeft geregeld. Zorgorganisaties zijn dus wettelijk verplicht om te voldoen aan de NEN 7510. De wet schrijft géén NEN 7510-certificering voor, maar zorgverleners laten met een NEN 7510-certificaat wél aan hun stakeholders zien dat ze voldoen aan de geldende eisen als het gaat om het veilig en vertrouwd omgaan met informatie en dat ze hun informatiehuishouding op orde hebben.
Toegevoegde waarde
Zorginstellingen moeten dus volgens de wet informatiehuishouding inrichten volgens de eisen uit de NEN 7510. Dit betekent niet dat de norm letterlijk nageleefd moet worden. Het gevaar bestaat dat het kwaliteitshandboek NEN 7510 een belemmerende reeks werkprocessen en protocollen wordt. Pragmatisme is hierbij het sleutelwoord. Het beleid rondom informatiebeveiliging en de werkprocessen die daarmee samenhangen moeten natuurlijk wel werkbaar zijn en toegevoegde waarde hebben. Ook is het goed om vooraf te inventariseren wat de organisatie nú al doet op dit gebied. Veel dingen gaan vaak al goed, hoewel dit nog niet altijd goed is vastgelegd. Als bijvoorbeeld in een personeelsreglement al afspraken staan over hoe moet worden omgegaan met vertrouwelijke informatie, gebruik die dan ook in het nieuwe managementsysteem.
Kansen
Net als de ISO 27001 biedt ook de NEN 7510 een raamwerk waarbinnen organisaties hun informatiehuishouding kunnen vormgeven. Om ervoor te zorgen dit zo goed mogelijk landt bij medewerkers, leveranciers en andere stakeholders, is het belangrijk dat het kwaliteitssysteem past bij de organisatie. Een organisatie aanpassen op de norm is zelden effectief. Bovendien gaat het er niet om dat tot in detail wordt voldaan aan alle richtlijnen, maar dat de organisatie haar informatiehuishouding adequaat heeft geregeld en dit ook kan laten zien. En is de toegevoegde waarde van een bepaalde maatregel niet duidelijk? Pas die dan niet toe, maar leg die keuze wel uit. Op deze manier wordt een NEN 7510-kwaliteitssysteem een werkwijze die kansen biedt, in plaats van een papieren tijger in een bureaula.
Meer informatie
Kiwa is een internationale marktleider op het gebied van testen, inspecteren en certificeren en heeft veel ervaring met NEN 7510-certificeringstrajecten. Op onze website vindt u meer informatie over NEN 7510-certificering en Kiwa’s andere services op het gebied van informatiebeveiliging en cybersecurity.