De publieke consultatie voor de norm NEN 7510 is begonnen. Dat laat het verantwoordelijke NEN-instituut weten op zijn website. Tot 22 september 2024 is het mogelijk commentaar te leveren op de voorgestelde wijzigingen in de herziene norm NEN 7510, ‘Informatiebeveiliging in de zorg’.
De norm NEN 7510 (afgeleid van ISO 27001) is gericht op informatiebeveiliging binnen de gezondheidszorg. Hieronder valt het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie om verantwoorde zorg voor patiënten mogelijk te maken. Het is niet vrijblijvend: zorginstellingen in Nederland moeten aan de Inspectie voor de Gezondheidszorg (IGZ) kunnen aantonen dat ze beschikken over de juiste informatiebeveiliging. Bij de toetsing vormt de NEN 7510 de leidraad.
Belangrijk referentiekader
Sinds de eerste publicatie in 2004 is NEN 7510 dan ook een belangrijk referentiekader voor informatiebeveiliging in de zorg, aldus NEN. De huidige herziening is niet alleen onderdeel van het periodieke onderhoud, dat elke vijf jaar plaatsvindt. Het is ook een reactie op de recente herzieningen van de volgende normen:
- ISO/IEC 27001 ‘Managementsystemen voor informatiebeveiliging’,
- ISO/IEC 27002 ‘Beheersmaatregelen voor informatiebeveiliging’
- ISO 27799 ‘Informatiebeveiligingsmanagement in de gezondheidszorg’.
Steeds meer zorgaanbieders begrijpen het belang van het voldoen aan de norm. Zo voldeed ruim 90 procent van alle ziekenhuizen in 2023 aantoonbaar aan de NEN 7510. Dat stelde de IGJ in november vorig jaarna een rondgang langs ziekenhuizen. Daarmee was er een flinke inhaalslag gemaakt. In 2022 voldeden van de 77 ziekenhuizen er 54 nog niet aan de norm. Eind vorig jaar waren er nog zeven ziekenhuizen over die nog stappen moeten zetten om aan de norm te voldoen. De inspectie verwacht dat dit in 2024 ook gaat lukken.
Voorgestelde wijzigingen
De belangrijkste voorgestelde wijzingen voor de herziene norm zijn:
NEN 7510-1: op basis van ISO 27001:
• Van High Level Structure naar Harmonized Structure
• Amendement klimaatverandering als verplicht aandachtspunt in de contextanalyse
• Nieuwe bijlage A
NEN 7510-2 is: op basis van ISO 27002 + ISO 27799:
• Flink gewijzigd qua structuur, teksten aangescherpt
• Herschikt van hoofdstuk 5 – 15 naar hoofdstuk 5 – 8
• Geactualiseerd naar de laatste stand van de techniek
• Diverse maatregelen zijn samengevoegd
• Doelstelling per maatregel toegevoegd
• Kenmerken per maatregel toegevoegd
• Aangevuld vanuit NIS2
• De implementatierichtlijn is niet meer vrijblijvend, maar comply-or-explain (ook in VvT)
Commentaar geven
Commentaar geven op de voorgestelde wijzigingen kan tot uiterlijk 22 september 2024 op twee punten: voor ‘Informatiebeveiliging in de zorg - Deel 1: Managementsysteem’ en voor ‘Deel 2: Beheersmaatregelen’. NEN 7510 is gestoeld op ISO 27001, ISO 27002 en ISO 27799. Deze normen worden zoveel mogelijk integraal aangehouden
Bij de ontwikkeling van de herziene tekst zijn alle belanghebbende partijen nauw betrokken. De werkgroep die de nieuwe tekst heeft voorbereid, bestaat uit zorginstellingen, ICT-leveranciers (die optreden als verwerkers van persoonlijke gezondheidsinformatie), vertegenwoordigers van zorggebruikers- en patiëntenorganisaties, zorgverzekeraars, adviesbureaus en certificerende instellingen.
Impact NEN 7510
Afgelopen juli verscheen in ICT&health 3 een uitgebreid artikel over de herziening van de norm NEN 7510. In een interview leggen René Gouwens en Lysette Meuleman van NEN onder meer uit wat het belang is van de herziene NEN 7510 voor alle 14 Egiz-normen (Elektronische gegevensuitwisseling in de zorg).
Lees hier het hele artikel in ICT&health 3.
