Wat is de NEN 7510?
NEN 7510 is een norm die specifiek is ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector. Deze norm is gebaseerd op de code voor informatiebeveiliging en lijkt sterk op de ISO 27001-norm. Om als organisatie NEN 7510 te behalen, moet je aantonen dat je voldoet aan de normeisen door een Information Security Managementsysteem (ISMS) op te zetten, net als bij ISO 27001. NEN 7510 biedt alle typen zorgaanbieders, zoals verpleeghuizen, ziekenhuizen, GGZ-instellingen en fysiotherapeuten, een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Zorgverleners moeten de juiste IT-beveiligingsprotocollen implementeren en kritisch kijken naar de verzameling en noodzaak van gegevens. Dit kan ook worden geëist van toeleveranciers, zoals softwareleveranciers en andere dienstverleners die met patiëntgegevens werken of daar toegang toe hebben.
Is de NEN7510 verplicht?
Tegenwoordig moeten zowel verantwoordelijke voor een elektronisch uitwisselingssysteem als zorgaanbieders voldoen aan de NEN 7510 en de NEN 7512 op basis van het Besluit Elektronische Gegevensverwerking Zorgaanbieders. Ook de verantwoordelijke voor een elektronisch uitwisselingssysteem dient te werken met een zorgserviceprovider die is geautoriseerd op basis van overeenkomstig NEN 7512 vastgestelde criteria.
De overheid wil naar aanleiding van recente debacles dat zorgaanbieders of verantwoordelijke voor een elektronisch uitwisselingsysteem steeds zorgvuldiger omgaan met persoonlijke gezondheidsinformatie. Een NEN 7510 is dé manier om aan opdrachtgevers en de maatschappij te laten zien dat er een goed werkend managementsysteem voor informatiebeveiliging is.
Voor wie is de NEN7510 van toepassing?
Omdat in de gezondheidssector veel gevoelige gegevens worden verwerkt, heeft NEN 7510 voor zorginstellingen een verplichtend karakter. Met het toenemende belang van informatiebeveiliging groeit ook de vraag naar certificeringen, omdat deze aantonen dat risico’s goed zijn geïdentificeerd, passende beheersmaatregelen zijn getroffen en er continu verbeterd wordt. Bovendien zijn de regels rondom medische gegevens met de komst van de AVG-wet strenger geworden, aangezien medische gegevens als bijzondere persoonsgegevens extra bescherming genieten.
Zorgverleners zijn verplicht om aan NEN 7510 te voldoen bij de verwerking van het Burgerservicenummer. Daarnaast eisen diverse partijen binnen de zorgbranche NEN 7510-certificering als voorwaarde voor samenwerking. Dit betekent dat NEN 7510-certificering niet alleen relevant is voor zorg verlenende instanties, maar ook voor toeleveranciers zoals:
- Leveranciers van zorgapplicaties
- Tussenpartijen voor zorgadministratie en/of -declaratie
- Andere verwerkers van persoonlijke gezondheidsinformatie
NEN 7510 is van toepassing wanneer informatiebeveiliging betrekking heeft op gezondheidsinformatie binnen de organisatie zelf, via een interface naar een zorginstelling of door uitbesteding van bepaalde processen. Daarom wordt van toeleveranciers aan de zorgsector steeds vaker verlangd dat zij het NEN 7510-certificaat behalen.