Jennifer Greving 24/04/2023 5 min read

Informatiebeveiliging in de gezondheidszorg | NEN 7510

De moderne gezondheidszorg kan niet meer zonder uitwisseling van medische gegevens en patiëntendossiers. Zorginstellingen hebben niet alleen een verantwoordelijkheid voor hun eigen bedrijfsvoering. Ze hebben ook een sociale verantwoordelijkheid. Gegevensbescherming en informatiebeveiliging zijn hier nog belangrijker dan in andere sectoren. 

Daarom is er een aanvullende norm voor de zorg. Deze NEN 7510 is verplicht voor zorgaanbieders die ook het BSN van klanten of patiënten registreren. Voor andere zorginstellingen is de certificering ook zinvol. Zo kunnen ze makkelijk aantonen dat ze aan de eisen van ketenpartners voldoen. 

 

De NEN 7510 norm 

Om volgens NEN 7510 gecertificeerd te kunnen worden, moet een organisatie o.a. het volgende beschrijven: 

  • Outline van het informatiebeveiligingsbeleid 
  • Organisatie van informatiebeveiliging 
  • Toegangsbeveiliging 
  • Versleuteling (encryptie) van gegevens 
  • Fysieke beveiliging van servers e.d. 
  • Beveiliging van communicatie 
  • Relaties met leveranciers 
  • Omgang met beveiligingsincidenten. 

De NEN 7510 norm is op sommige punten specifiek en het is belangrijk om de norm goed te doorgronden. Pas dan wordt duidelijk wat de eisen zijn voor de eigen organisatie. 

 

Risico's in kaart brengen 

Na het doorgronden van de norm is het in kaart brengen van risico's de volgende stap. Dan gaat het om de risico’s van informatielekken, bedreigingen voor integriteit en betrouwbaarheid van de gegevens, enz. Ook wordt bepaald hoe groot die risico’s zijn en hoe vaak incidenten kunnen voorkomen. Een NEN 7510 risicoanalyse beschrijft ook hoe groot het mogelijke gevolg is van die incidenten. Na het inventariseren van de risico's wordt een risk treatment plan opgesteld. Dit beschrijft voor elk van de vastgestelde risico’s op welke manier het verkleind kan worden. 
 

Beleid voor informatiebeveiliging 

Nu kan het informatiebeveiligingsbeleid geformuleerd worden. Dit legt vast hoe er met persoonlijke gezondheidsinformatie omgegaan wordt en hoe privacy en data-integriteit beschermd worden. De directie deelt het beleid met de rest van de organisatie. Het beleid omschrijft onder andere de context van de organisatie, het doel van het beleid, de betrokkenen en welke rollen met welke verantwoordelijkheden er zijn. Omdat de praktijk voortdurend verandert, moet ook het beleid onderhouden en continu verbeterd worden. Het tweede deel van NEN 7510 geeft veel best practices als hulpmiddel voor de organisatie.

 

NEN 7510 certificering 

De uiteindelijke NEN 7510 certificering gebeurt door een audit door een geaccrediteerde auditor. Een zorginstelling moet regelmatig audits uitvoeren om te controleren of de informatiebeveiligingsmaatregelen nog steeds effectief zijn en of ze (nog steeds) voldoen aan de NEN 7510-normen. Het behalen van een certificering toont aan dat de zorginstelling aan de normen voldoet. Het kan ook zijn dat de auditor aandachtspunten formuleert om voor een tweede audit te verbeteren. Na certificering volgen wel of niet aangekondigde na-audits

Hoeveel het hele proces van NEN 7510 certificering gaat kosten, hangt af van enkele factoren. Hoe groot is de organisatie, hoe intensief zijn de informatiestromen? Hoe staat de informatiebeveiliging van de organisatie er bij de nulmeting voor? Het is onmogelijk om hier een generiek bedrag aan te koppelen. 

Bepaalde elementen kunnen door leveranciers goed opgelost en gedocumenteerd worden. Dat scheelt dan weer kostbare consultancy-uren. Een voorbeeld hiervan is het Topicus KeyHub systeem. Dat zorgt voor een vitaal onderdeel van informatiebeveiliging: authenticatie van gebruikers, en beveiligde toegang tot documenten. 

 

De checklist NEN 7510 

Authenticatie van gebruikers en beheer van toegangsrechten zijn twee belangrijke pijlers van informatiebeveiliging. De Topicus NEN 7510 checklist benoemt de onderdelen van de norm waar dit belangrijk is. En geeft aan wat de norm in de praktijk betekent en hoe Topicus KeyHub de certificering mogelijk maakt. 

De volgende thema’s komen aan bod: 

  • Beleid voor informatiebeveiliging 
  • Organisatie van informatiebeveiliging 
  • Human Resource beveiliging 
  • Vermogensbeheer 
  • Toegangscontrole 
  • Cryptografie 
  • Beveiliging van werkuitvoer 
  • Communicatiebeveiliging 
  • Systeem acquisitie, ontwikkeling en onderhoud 
  • Leveranciersrelaties 
  • Informatiebeveiliging incidentenbeheer 
  • Aspecten van informatiebeveiliging voor het beheer van de continuïteit van de organisatie 

 

Veilig omgaan met persoonsgegevens 

Tegenwoordig bestaat zorg niet meer alleen maar uit medische zorg. De zorg om persoonsgegevens en privacy is een belangrijk onderdeel van de bedrijfsvoering geworden. Je ziet hierbij makkelijk zaken over het hoofd. Als gevoelige informatie niet goed beschermd wordt, of met de verkeerde mensen gedeeld wordt, is dat niet alleen heel vervelend voor de patiënt. Het kan ook vergaande juridische gevolgen hebben. 

Topicus KeyHub is een oplossing voor authenticatie en beheer van toegang tot documenten en systemen. Dat is belangrijk voor een groot deel van de eisen voor certificering. Met de platform van KeyHub toon je aan dat je in control bent. Download nu de NEN 7510 checklist of neem contact met ons op!