Het lijkt zo eenvoudig: je neemt een NEN-norm en legt die als een transparant vel over je organisatie. Vervolgens ga je alle vakjes afvinken, en als er voldoende groene vinkjes zijn gezet ben je klaar om gecertificeerd te worden. Helaas werkt het in de praktijk net even anders. Want zoals René Gouwens, productmanager bij NEN, het treffend samenvat: “Normen zijn nooit makkelijk.” Samen met Lysette Meuleman, eveneens werkzaam bij NEN als consultant NEN 7510 en EGIZ, legt hij uit hoe het in de praktijk wel werkt en waarom NEN 7510 zo belangrijk is, zeker ook voor de normen onder de Wet elektronische gegevensuitwisseling in de zorg (Wegiz).
We verwachten dat de herziene norm 7510 nog dit jaar een feit is
Laten we bij het begin beginnen. Wat is NEN 7510 en waarom zijn ze bij NEN in 2022 begonnen om deze norm te herzien? Lysette Meuleman: “NEN 7510 hangt als een soort paraplu boven alle NEN EGIZ-normen. Al die normen gaan over individuele gegevens- uitwisselingen zoals het uitwisselen van medicatie, beschikbaar maken tussen zorginstellingen van bijvoorbeeld röntgenfoto’s en de Basisgegevensset in de Zorg (BgZ). Binnen EGIZ zijn 14 verschillende normen en die borgen in samenhang de technische uitwisseling van gegevens tussen zorginstellingen. NEN 7510 borgt juist de veiligheid van de informatie binnen een zorgorganisatie.”
René Gouwens vult haar aan: “NEN 7510 bestond al ver voor het EGIZ-project. De behoefte om gegevens van patiënten goed te beveiligen, ontstond aan het einde van de vorige eeuw. De beste, hoewel niet makkelijkste, manier om dit te doen is om daar een norm voor te ontwerpen. De eerste NEN 7510 werd dan ook al in 2004 gepubliceerd. Ondertussen zijn we niet alleen qua techniek voor het uitwisselen van medische informatie verder gevorderd. De techniek is ook veel breder toepasbaar geworden. Bovendien is die aanvankelijke behoefte een verplichting geworden. NEN 7510 is verplicht via het Besluit elektronische gegevensverwerking door zorgaanbieders.”
Het belang van NEN 7510
Vakjargon is verleidelijk. Maar wanneer in het ene ziekenhuis met LB het linkerbeen wordt bedoeld en in het andere ziekenhuis de linkerborst, kan iets mis gaan in de behandeling. Je hebt dan weinig fantasie nodig om te bedenken dat de situatie van een patiënt met een diagnose uit ziekenhuis A die wordt geopereerd in ziekenhuis B snel catastrofaal kan worden. Dit kan zelfs voorkomen binnen hetzelfde ziekenhuis, tussen twee afdelingen. Dit benadrukt het belang van goed beveiligde en geborgde eenduidige informatie.
Vervolgens is het zaak om te zorgen dat de betreffende informatie ook goed beveiligd is. Niet alleen moet de informatie exact gelijk blijven wanneer er aanvullingen in het dossier komen. Het moet ook aantoonbaar zijn wie de informatie heeft geraadpleegd, wanneer en waarvoor. Last but most certainly not least moet de privacy van de patiënt gewaarborgd blijven. NEN 7510 geeft voor al deze aspecten handvatten en te treffen maatregelen. De norm is dan ook randvoorwaardelijk voor de specifieke normen onder de Wegiz. Een zorginstelling moet kunnen vertrouwen dat de instelling waar zij informatie heen stuurt, daar op een correcte en veilige manier mee omgaat. Zonder dit vertrouwen vindt er geen uitwisseling plaats, zelfs als het technisch mogelijk is.
Meuleman hierover: “Het is dan ook goed wanneer zorginstellingen kunnen laten zien dat ze voldoen aan de norm. Dat kan door zogeheten certificatie onder accreditatie. Een certificerende instelling voert een audit uit en staat onder toezicht van de Raad van Accreditatie. Zo wordt de kwaliteit en eenduidigheid van certificerende instellingen geborgd. Als de certificering positief is, dan wordt de zorginstelling opgenomen in het NEN 7510 Register. NEN voert deze audits niet uit, maar werkt wel nauw samen met certificerende instellingen die hier bevoegd toe zijn. Certificatie is niet verplicht, maar laat duidelijk zien dat een organisatie voldoet aan de norm.”
Goed gereedschap halve werk
NEN 7510 is niet alleen een wettelijk verplichte norm, maar ook een complexe en omvangrijke norm”, benadrukt Gouwens. “Er moet binnen de zorgorganisatie bewustzijn van het belang van de norm zijn en daarnaast moet er natuurlijk ook gewoon geld en menskracht aanwezig zijn. Met name van kleine organisaties wordt er dan nogal wat gevraagd. Daarom hebben we bij NEN de Webtool NEN 7510 ontwikkeld. Hiermee wordt het eenvoudiger om de norm te kunnen lezen en doorzoeken. Ook zijn we nu bezig om een risicotool te ontwikkelen. Deze tool helpt om relevante maatregelen op het beheer van informatiebeveiliging te identificeren. Bovendien hebben we sinds 23 februari de NEN 7510 Community, die ook ondersteuning biedt bij implementatie.”
Gouwens en Meuleman zijn wel een goed duo, want de laatste vult de eerste naadloos aan: “Los van de zaken die René noemt, zijn er natuurlijk ook de NEN 7510 Praktijkgids en organiseert NEN-trainingen NEN 7510. Informatie daarover is makkelijk op onze website te vinden.”
Bovendien, in het kader van beschikken over goed gereedschap, is het vermeldenswaardig dat dankzij een overeenkomst tussen het ministerie van VWS en NEN, de normen NEN 7510, NEN 7512 en NEN 7513 kosteloos beschikbaar zijn gesteld. Er is het ministerie veel aan gelegen om in Nederland op een veilige en geborgde manier elektronische zorggegevens uit te wisselen. Daarom is er niet alleen een wet, maar faciliteert VWS ook stimulerende maatregelen om aan deze wet te voldoen.
Herzien is noodzaak
Dan zijn we nog een vraag uit het begin vergeten. Waarom zijn ze bij NEN in 2022 begonnen om deze norm te herzien? Meuleman: “Dat is simpel, het is een verplichting. Zowel nationale als internationale afspraken bepalen dat elke norm elke vijf jaar wordt geëvalueerd om te kijken of deze nog passend is in het tijdsbeeld van dat moment. Er zijn voortschrijdende inzichten, wetgeving kan veranderen, er kan technische vooruitgang zijn en de norm moet blijven voldoen aan internationale afspraken. Vaak blijkt na de evaluatie dat een norm moet worden aangepast.”
De laatste herziening van NEN 7510 heeft plaatsgevonden in 2017 en ook hier bleek na de vijfjaarlijkse evaluatie dat herziening noodzakelijk is. Vandaar dat NEN in 2022 met het herzieningstraject startte. “Eerlijk gezegd liggen we een klein beetje achter op schema, maar dat komt omdat we afhankelijk zijn van de herziening van een internationale norm”, stelt Meuleman. “Wel weten we inmiddels dat de norm in de zomer klaar zal zijn voor de publieke consultatieronde. Dan mag gedurende drie maanden iedereen commentaar en input geven op de norm. Alle relevante input en commentaren worden vervolgens verwerkt in de herziene norm, waarna deze gepubliceerd kan worden. We hebben goede hoop en verwachten dat de herziene norm 7510 nog dit jaar een feit is.”
CV
Lysette Meuleman is consultant bij NEN voor NEN 7510 en NEN EGIZ.
René Gouwens is productmanager bij NEN.