Wat is NEN 7510?

De genomen maatregelen zorgen ervoor dat de processen rondom informatiebeveiliging gecontroleerd verlopen en ze hebben betrekking op alle mogelijke vormen waarin gegevens van patiënten zijn vastgelegd. 

Doordat er is de zorg veel wordt gewerkt met privacy gevoelige gegevens van patiënten, is het essentieel dat informatiebeveiliging en privacy bescherming juist worden toegepast. Wanneer dit niet gebeurt, kan dit gevolgen hebben voor de veiligheid van patiënten. Ook stelt de norm eisen voor het vaststellen, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd managementsysteem. In het geval van deze norm heet dat systeem ISMS (Information Security Management System). Hieronder valt onder andere het periodiek uitvoeren van een risicoanalyse waarmee risico’s rondom de informatiebeveiliging worden weggenomen. De NEN 7510 is een Nederlandse Norm en is dus geen ISO norm. De officiële benaming is dus NEN 7510 en niet NEN-ISO 7510. NEN staat voor de Nederlandse instelling die zorgt dat de norm beschikbaar is voor de Nederlandse markt. 

NEN 7510 wettelijke verplichtingen 

Wettelijke status van NEN 7510

De norm wordt genoemd in artikel 2 van de Algemene Maatregel van Bestuur (AMvB) die hoort bij de Wet gebruik BurgerServiceNummer (BSN) in de zorg. Hierdoor is de norm wettelijk verplicht. Dit verplicht zorgorganisaties patiëntgegevens adequaat te beveiligen voor verantwoorde zorgverlening.

Toezicht en maatwerk in de zorg

Informatiebeveiliging valt onder toezicht van de Inspectie Gezondheidszorg en Jeugd (IGJ), die de NEN 7510 gebruikt om te toetsen of zorginstellingen voldoen aan adequate beveiligingseisen. Elke organisatie is uniek, dus het beveiligingsstelsel moet op de eigen situatie worden afgestemd.

NEN 7510:2017 – overgang en certificering

Overgangstermijn naar NEN 7510:2017

Van 1 juni 2018 tot 1 juni 2020 gold een overgangsperiode waarin zowel NEN 7510:2011 als NEN 7510:2017 certificeringen geldig waren. Vanaf 1 juni 2020 moeten alle certificaathouders zijn overgestapt op NEN 7510:2017.

Voordelen van NEN 7510 certificering

• Aantonen dat de organisatie vertrouwelijk en integer met patiëntgegevens omgaat
• Transparantie bieden over het beheer van privacygevoelige informatie via een managementsysteem
• Vertrouwen creëren bij patiënten, leveranciers, zorgverzekeraars en andere belanghebbenden

Eisen en opbouw van NEN 7510

Algemene structuur

De norm bestaat uit twee delen:

• Deel 1: Identiek aan ISO 27001, met 10 hoofdstukken over de eisen voor certificering
• Deel 2: Zorgspecifieke voorschriften gebaseerd op ISO 27002 en ISO 27799, met 18 hoofdstukken

Deel 1: Hoofdstukken 4 t/m 10

Hoofdstuk 4: Context van de organisatie

• Inzicht in organisatie, context, en behoeften van belanghebbenden
• Vaststellen relevante belanghebbenden en hun eisen
• Bepalen toepassingsgebied ISMS
• ISMS inrichten, implementeren, onderhouden en verbeteren

Hoofdstuk 5: Leiderschap

• Directie toont leiderschap en betrokkenheid bij ISMS
• Zorgdragen voor naleving van eisen en beschikbaarheid van middelen
• Communiceren belang ISMS en bevorderen continue verbetering
• Vaststellen en communiceren van passend informatiebeveiligingsbeleid

Hoofdstuk 6: Planning

• Maatregelen om risico’s te beperken
• Definiëren risicobeoordelingsprocedure (criteria, identificatie, analyse en evaluatie)
• Vaststellen informatiebeveiligingsdoelstellingen en planning (wat, middelen, verantwoordelijkheden)

Hoofdstuk 7: Ondersteunende processen

• Beschikbaar stellen benodigde middelen
• Vaststellen en waarborgen van competenties medewerkers
• Eisen op het gebied van bewustzijn, communicatie en gedocumenteerde informatie

Hoofdstuk 8: Uitvoering

• Operationele planning en implementatie van maatregelen
• Uitvoeren en bewaren van risicobeoordelingen
• Behandelen van risico’s informatiebeveiliging

Hoofdstuk 9: Evaluatie van prestaties

• Monitoren, meten, analyseren en evalueren van ISMS
• Vastleggen wie, wat en wanneer metingen plaatsvinden
• Uitvoeren interne audits en directiebeoordeling

Hoofdstuk 10: Verbetering

• Reageren op afwijkingen en corrigerende maatregelen nemen
• Voorkomen herhaling door oorzaak vast te stellen en aan te pakken
• Aanbrengen noodzakelijke wijzigingen in ISMS

Deel 2: Zorgspecifieke voorschriften (hoofdstuk 5 t/m 18)

Elk hoofdstuk bevat:

• Doelstelling van de beheersmaatregelen (wat moet worden bereikt)
• Beheersmaatregelen volgens NEN-ISO-27002
• Zorgspecifieke beheersmaatregelen volgens NEN-EN-ISO-27799
• Implementatierichtlijnen (algemeen en zorgspecifiek)
• Overige relevante informatie, zoals juridische overwegingen of verwijzingen naar andere normen

De richtlijnen zijn bedoeld als leidraad en kunnen afhankelijk van de situatie aangepast worden.