De moderne gezondheidszorg kan niet meer zonder uitwisseling van medische gegevens en patiëntendossiers. Zorginstellingen hebben niet alleen een verantwoordelijkheid voor hun eigen bedrijfsvoering. Ze hebben ook een sociale verantwoordelijkheid. Gegevensbescherming en informatiebeveiliging zijn hier nog belangrijker dan in andere sectoren.
Daarom is er een aanvullende norm voor de zorg. Deze NEN 7510 is verplicht voor zorgaanbieders die ook het BSN van klanten of patiënten registreren. Voor andere zorginstellingen is de certificering ook zinvol. Zo kunnen ze makkelijk aantonen dat ze aan de eisen van ketenpartners voldoen.
Om volgens NEN 7510 gecertificeerd te kunnen worden, moet een organisatie o.a. het volgende beschrijven:
De NEN 7510 norm is op sommige punten specifiek en het is belangrijk om de norm goed te doorgronden. Pas dan wordt duidelijk wat de eisen zijn voor de eigen organisatie.
Na het doorgronden van de norm is het in kaart brengen van risico's de volgende stap. Dan gaat het om de risico’s van informatielekken, bedreigingen voor integriteit en betrouwbaarheid van de gegevens, enz. Ook wordt bepaald hoe groot die risico’s zijn en hoe vaak incidenten kunnen voorkomen. Een NEN 7510 risicoanalyse beschrijft ook hoe groot het mogelijke gevolg is van die incidenten. Na het inventariseren van de risico's wordt een risk treatment plan opgesteld. Dit beschrijft voor elk van de vastgestelde risico’s op welke manier het verkleind kan worden.
Nu kan het informatiebeveiligingsbeleid geformuleerd worden. Dit legt vast hoe er met persoonlijke gezondheidsinformatie omgegaan wordt en hoe privacy en data-integriteit beschermd worden. De directie deelt het beleid met de rest van de organisatie. Het beleid omschrijft onder andere de context van de organisatie, het doel van het beleid, de betrokkenen en welke rollen met welke verantwoordelijkheden er zijn. Omdat de praktijk voortdurend verandert, moet ook het beleid onderhouden en continu verbeterd worden. Het tweede deel van NEN 7510 geeft veel best practices als hulpmiddel voor de organisatie.
De uiteindelijke NEN 7510 certificering gebeurt door een audit door een geaccrediteerde auditor. Een zorginstelling moet regelmatig audits uitvoeren om te controleren of de informatiebeveiligingsmaatregelen nog steeds effectief zijn en of ze (nog steeds) voldoen aan de NEN 7510-normen. Het behalen van een certificering toont aan dat de zorginstelling aan de normen voldoet. Het kan ook zijn dat de auditor aandachtspunten formuleert om voor een tweede audit te verbeteren. Na certificering volgen wel of niet aangekondigde na-audits
Hoeveel het hele proces van NEN 7510 certificering gaat kosten, hangt af van enkele factoren. Hoe groot is de organisatie, hoe intensief zijn de informatiestromen? Hoe staat de informatiebeveiliging van de organisatie er bij de nulmeting voor? Het is onmogelijk om hier een generiek bedrag aan te koppelen.
Bepaalde elementen kunnen door leveranciers goed opgelost en gedocumenteerd worden. Dat scheelt dan weer kostbare consultancy-uren. Een voorbeeld hiervan is het Topicus KeyHub systeem. Dat zorgt voor een vitaal onderdeel van informatiebeveiliging: authenticatie van gebruikers, en beveiligde toegang tot documenten.
Authenticatie van gebruikers en beheer van toegangsrechten zijn twee belangrijke pijlers van informatiebeveiliging. De Topicus NEN 7510 checklist benoemt de onderdelen van de norm waar dit belangrijk is. En geeft aan wat de norm in de praktijk betekent en hoe Topicus KeyHub de certificering mogelijk maakt.
De volgende thema’s komen aan bod:
Tegenwoordig bestaat zorg niet meer alleen maar uit medische zorg. De zorg om persoonsgegevens en privacy is een belangrijk onderdeel van de bedrijfsvoering geworden. Je ziet hierbij makkelijk zaken over het hoofd. Als gevoelige informatie niet goed beschermd wordt, of met de verkeerde mensen gedeeld wordt, is dat niet alleen heel vervelend voor de patiënt. Het kan ook vergaande juridische gevolgen hebben.
Topicus KeyHub is een oplossing voor authenticatie en beheer van toegang tot documenten en systemen. Dat is belangrijk voor een groot deel van de eisen voor certificering. Met de platform van KeyHub toon je aan dat je in control bent. Download nu de NEN 7510 checklist of neem contact met ons op!