Informatiebeveiliging

Wat is NEN 7510?

EN 7510 is een Nederlandse norm, gebaseerd op de internationale norm ISO 27001, die beschrijft welke maatregelen genomen moeten worden om op de juiste manier om te kunnen gaan met patiëntgegevens. Dit wordt ook wel informatiebeveiliging in de zorg genoemd.

De genomen maatregelen zorgen ervoor dat de processen rondom informatiebeveiliging gecontroleerd verlopen en ze hebben betrekking op alle mogelijke vormen waarin gegevens van patiënten zijn vastgelegd. 

Doordat er is de zorg veel wordt gewerkt met privacy gevoelige gegevens van patiënten, is het essentieel dat informatiebeveiliging en privacy bescherming juist worden toegepast. Wanneer dit niet gebeurt, kan dit gevolgen hebben voor de veiligheid van patiënten. Ook stelt de norm eisen voor het vaststellen, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd managementsysteem. In het geval van deze norm heet dat systeem ISMS (Information Security Management System). Hieronder valt onder andere het periodiek uitvoeren van een risicoanalyse waarmee risico’s rondom de informatiebeveiliging worden weggenomen. De NEN 7510 is een Nederlandse Norm en is dus geen ISO norm. De officiële benaming is dus NEN 7510 en niet NEN-ISO 7510. NEN staat voor de Nederlandse instelling die zorgt dat de norm beschikbaar is voor de Nederlandse markt. 

NEN 7510 wettelijk verplicht? 

De norm wordt benoemd in artikel 2 van de AMvB. Deze hoort bij de Wet voor het gebruik van het BurgerServiceNummer (BSN) in de zorg. Doordat het wordt beschreven in een Nederlandse wet is het wettelijk verplicht. Deze verplichting komt voort uit het feit dat patiëntgegevens op een adequate manier moeten worden beveiligd voor het geven van verantwoorde zorg. Dit houdt in dat er informatiebeveiliging moet worden toegepast. De NEN 7510 is hiervoor een juist middel. Informatiebeveiliging valt onder toezicht van de Inspectie Gezondheidszorg en Jeugd (IGJ) en deze inspectie gebruikt de NEN 7510 voor het toetsen van adequate informatiebeveiliging door zorginstellingen. Aangezien elke organisatie anders is, bestaat er niet één algemene manier voor informatiebeveiliging. Elke organisatie moet daarom een stelsel van beveiligingsmaatregelen aanpassen op de eigen situatie. 

NEN 7510:2017 

Vanaf 1 juni 2018 tot 1 juni 2020 geldt een overgangstermijn, waarin zowel tegen NEN 7510:2011 als tegen NEN 7510:2017 kan worden gecertificeerd. Op 1 juni 2020 moet iedere certificaathouder zijn overgestapt naar NEN 7510:2017. 

Voordelen NEN 7510 

Certificering van de NEN 7510 norm geeft aan dat de organisatie vertrouwelijk en integer omgaat met de patiëntgegevens. De organisatie laat, door middel van een managementsysteem, zien hoe de medewerkers omgaan met privacy gevoelige informatie. Ook laat de organisatie zien aan patiënten, leveranciers, zorgverzekeraars en andere belanghebbenden, dat de juiste maatregelen getroffen worden. Dit geeft vertrouwen in de organisatie. 

Eisen NEN 7510 

De norm is opgebouwd uit 2 delen. Het eerste deel is identiek aan de ISO 27001 norm. Het tweede deel bevat zorgspecifieke voorschriften die zijn afgeleid uit de ISO 27002 norm en de ISO 27799 norm. Deel 1 van de NEN 7510 norm bestaat uit 10 hoofdstukken. De norm is te verkrijgen via de NEN. In hoofdstuk 4 tot en met 10 worden de eisen beschreven waaraan moet worden voldaan voor de certificering. 

Deel 1 

Hoofdstuk 4 gaat over de context van de organisatie. De belangrijkste eisen uit dit hoofdstuk zijn inzicht verkrijgen in de organisatie, de context en de behoeften en verwachtingen van belanghebbenden. Voor dit laatste moet de organisatie vaststellen welke belanghebbenden relevant zijn voor het ISMS en welke eisen van deze belanghebbenden relevant zijn. Ook moet de organisatie het toepassingsgebied van het ISMS vaststellen en het ISMS inrichten, implementeren, onderhouden en blijven verbeteren. 

In hoofdstuk 5 staan de eisen opgesteld betreft leiderschap. Hierin staat dat de directie leiderschap en betrokkenheid moet tonen met betrekking tot het ISMS door onder andere te realiseren dat de eisen van het ISMS worden nageleefd, ervoor te zorgen dat de nodige middelen beschikbaar zijn, het belang van het ISMS te communiceren en continue verbetering te bevorderen. Over het beleid wordt in dit hoofdstuk vermeld dat de directie een informatiebeveiligingsbeleid moet vaststellen dat onder andere aan de volgende eisen moet voldoen: het informatiebeveiligingsbeleid past bij het doel van de organisatie, biedt het juiste kader voor het vaststellen van doelstellingen, wordt binnen de organisatie gecommuniceerd en is beschikbaar gesteld voor belanghebbenden, waaronder klanten. 

In hoofdstuk 6 zijn eisen van toepassing over planning. Dit houdt in dat de organisatie maatregelen moet nemen om risico’s te beperken, een risicobeoordelingsprocedure moet definiëren waarin de risicocriteria worden vastgesteld en waarin de risico’s worden geïdentificeerd,  geanalyseerd en geëvalueerd. Verder moeten ze informatiebeveiligingsdoelstellingen vaststellen en een aantal zaken betreft planning vaststellen, zoals: Wat moet er worden gedaan? Welke middelen zijn er nodig? Wie is er verantwoordelijk? 

Hoofdstuk 7 bevat eisen over de ondersteunende processen. Er wordt beschreven dat de organisatie middelen beschikbaar moet stellen die nodig zijn voor het ISMS. Verder moet er vastgesteld worden welke competentie er nodig is en ervoor zorgen dat de betreffende medewerkers competent zijn. De organisatie moet bovendien voldoen aan de eisen over bewustzijn ( informatiebeveiligingsbeleid, gevolgen van het niet voldoen aan de eisen van het ISMS), communicatie (interne en externe communicatie)  en gedocumenteerde informatie (creëren, actualiseren en beheren). 

Het volgende hoofdstuk is hoofdstuk 8. In dit hoofdstuk wordt beschreven wat de eisen zijn over de uitvoering. Hieronder valt operationele planning, risicobeoordeling van informatiebeveiliging en risico’s behandelen. Onder operationele planning wordt verstaan dat de organisatie de in hoofdstuk 6 opgestelde maatregelen moet realiseren en een planning moet opstellen om  de vastgestelde doelstellingen te bereiken. De risicobeoordeling houdt in dat de organisatie een risicobeoordeling moet uitvoeren en de resultaten hiervan moet bewaren. 

Hoofdstuk 9 gaat over evaluatie van de prestaties. Monitoren, meten, analyseren en evalueren vallen hieronder. Dit betekent dat de organisatie moet vaststellen wie, wat en wanneer deze metingen worden uitgevoerd, geanalyseerd en geëvalueerd.  Verder hoort ook een interne audit en directiebeoordeling bij de evaluatie. Een interne audit houdt in dat er binnen de organisatie gekeken wordt of er nog wordt voldaan aan alle eisen van de NEN 7510 en de directiebeoordeling houdt in dat de directie de effectiviteit van het managementsysteem beoordeelt en kijkt welke kansen voor verbetering er zijn. 

Het laatste hoofdstuk, hoofdstuk 10, gaat over verbetering. De eisen van dit hoofdstuk gaan over afwijkingen en corrigerende maatregelen, en continue verbetering. Wanneer er een afwijking is moet de organisatie hierop reageren en indien nodig maatregelen treffen om de afwijking te beheersen. Ook moet de organisatie zorgen dat de afwijking zich niet herhaalt door de oorzaak weg te nemen. Om dit te doen moet de oorzaak vastgesteld worden en moet er worden gekeken of deze afwijking zich opnieuw zou kunnen voordoen. Waar nodig moet de organisatie wijzigingen aanbrengen in het ISMS. 

Deel 2 

Deel 2 van de NEN 7510 norm bestaat uit 18 hoofdstukken. Hoofdstuk 5 tot en met 18 zijn opgebouwd uit het volgende: 

Elk hoofdstuk bevat een doelstelling voor de beheersmaatregelen die aangeeft wat er bereikt moet worden en de verschillende beheersmaatregelen die moeten worden toegepast om deze doelstelling te behalen. Nadat de doelstelling is beschreven wordt eerst de beheersmaatregel genoemd zoals deze staat in de NEN-ISO-27002 norm. Daarna wordt de zorgspecifieke beheersmaatregel genoemd volgens de NEN-EN-ISO-27799. Vervolgens wordt de implementatierichtlijn benoemd. Dit bevat meer gedetailleerde informatie over de beheersmaatregel. Het is mogelijk dat niet in alle situaties deze richtlijn geheel passend is en mogelijk niet voldoet aan de specifieke eisen van de organisatie. Onder deze richtlijn wordt de zorgspecifieke implementatierichtlijn beschreven. Hierin staat meer gedetailleerde informatie voor de zorgspecifieke beheersmaatregel. Ook hier geldt dat de richtlijn mogelijk niet in alle situaties geheel passend is. Als laatste wordt er nog overige informatie genoemd waar mogelijk rekening mee moet worden gehouden. Dit kunnen juridische overwegingen zijn of verwijzingen naar een andere norm. 

Ondersteuning van Kader

Meer weten over NEN 7510?

Neem contact op met de adviseurs van Kader!

Contact

Persoonlijk

Innovatief

Pragmatisch

Vakkundig