NEN 7510 in de praktijk: 10 aandachtspunten voor zorgorganisaties

Het beschermen van gezondheidsgegevens is een belangrijk onderdeel van goede zorg. Zorgorganisaties verwerken dagelijks gevoelige informatie van patiënten/cliënten. Deze gegevens verdienen een hoog niveau van bescherming. Daarnaast is het van belang dat zorgprocessen beschikbaar blijven en medewerkers veilig kunnen werken met informatie.

Voor zorgorganisaties gelden wettelijke verplichtingen op het gebied van informatiebeveiliging. NEN 7510 biedt hiervoor een praktisch kader. De norm ondersteunt organisaties bij het inrichten, uitvoeren en continu verbeteren van informatiebeveiliging.

In dit artikel lees je welke aandachtspunten belangrijk zijn bij de implementatie van NEN 7510.

 

Waarom is NEN 7510 belangrijk?

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm helpt zorgorganisaties om gezondheidsgegevens zorgvuldig te beschermen en risico’s rondom informatieverwerking beheersbaar te maken.

Een goede inrichting van informatiebeveiliging draagt bij aan:

  • bescherming van patiënt-/cliëntgegevens;
  • continuïteit van zorgverlening;
  • betrouwbare zorgprocessen;
  • duidelijke verantwoordelijkheden;
  • bewustwording onder medewerkers;
  • vertrouwen van patiënten/cliënten en ketenpartners.

 

Is NEN 7510 verplicht?

Zorgorganisaties zijn op grond van artikel 32 van de Algemene verordening gegevensbescherming (AVG) verplicht om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen.

Daarnaast bevat het Besluit elektronische gegevensverwerking door zorgaanbieders specifieke verplichtingen. Hierin is bepaald dat zorgaanbieders NEN 7510, NEN 7512 en NEN 7513 volgen bij het gebruik van zorginformatiesystemen en elektronische uitwisselingssystemen.

Ook artikel 10 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) bevat bepalingen over beveiliging bij het gebruik van het burgerservicenummer.

De Autoriteit Persoonsgegevens kan deze normen betrekken bij de beoordeling of een zorgorganisatie voldoende beveiligingsmaatregelen heeft getroffen.

 

  1. Breng in kaart waar gezondheidsgegevens worden verwerkt

Een goed vertrekpunt is inzicht in de organisatie. Inventariseer waar patiënt-/cliëntgegevens worden verwerkt en welke processen daarbij betrokken zijn.

Denk bijvoorbeeld aan:

  • elektronische patiënt- of cliëntdossiers;
  • medische apparatuur;
  • laboratoriumsystemen;
  • mobiele apparaten;
  • gegevensuitwisseling met andere zorgverleners;
  • applicaties van externe leveranciers.

Dit overzicht helpt om risico’s beter te beoordelen en passende maatregelen te treffen.

 

  1. Voer een risicoanalyse uit

Een risicoanalyse maakt inzichtelijk welke risico’s relevant zijn voor de organisatie.

Hierbij wordt vaak gekeken naar:

  • Beschikbaarheid: zijn systemen beschikbaar wanneer zorg nodig is?
  • Integriteit: zijn gegevens juist, volledig en actueel?
  • Vertrouwelijkheid: hebben alleen bevoegde personen toegang tot gegevens?

De uitkomsten van de risicoanalyse helpen bij het bepalen van prioriteiten en maatregelen.

 

  1. Leg rollen en verantwoordelijkheden vast

Informatiebeveiliging vraagt om duidelijke afspraken binnen de organisatie.

Bepaal bijvoorbeeld:

  • wie eindverantwoordelijk is;
  • wie beveiligingsincidenten coördineert;
  • wie beleid opstelt en actualiseert;
  • hoe rapportage richting bestuur plaatsvindt;
  • welke verantwoordelijkheden leidinggevenden hebben.

Duidelijke verantwoordelijkheden ondersteunen een consistente aanpak.

 

  1. Investeer in security awareness

Technische maatregelen vormen een belangrijk onderdeel van informatiebeveiliging. Tegelijkertijd hebben medewerkers dagelijks invloed op de veiligheid van patiënt-/cliëntgegevens.

NEN 7510 besteedt aandacht aan bewustwording, kennis en competenties van medewerkers. Organisaties moeten ervoor zorgen dat medewerkers beschikken over voldoende kennis om veilig met informatie om te gaan.

Security awareness kan bestaan uit:

  • e-learningmodules over privacy en informatiebeveiliging;
  • phishing-simulaties;
  • workshops;
  • onboarding voor nieuwe medewerkers;
  • periodieke herhaling van belangrijke thema’s;
  • communicatiecampagnes met praktische tips.

Onderwerpen die hierbij aan bod kunnen komen zijn:

  • het herkennen van phishingberichten;
  • veilig gebruik van e-mail;
  • omgaan met wachtwoorden en multifactor-authenticatie;
  • het melden van beveiligingsincidenten en datalekken;
  • veilig gebruik van mobiele apparaten;
  • zorgvuldig omgaan met patiënt-/cliëntgegevens.

Door security awareness onderdeel te maken van een jaarlijks programma groeit informatiebeveiliging uit tot een vanzelfsprekend onderdeel van het dagelijks werk.

 

  1. Besteed aandacht aan logging

Het registreren van toegang tot patiënt-/cliëntgegevens is een belangrijk onderdeel van informatiebeveiliging.

NEN 7513 bevat eisen voor logging binnen de zorg. Hiermee kan inzicht worden verkregen in:

  • wie gegevens heeft geraadpleegd;
  • wanneer toegang heeft plaatsgevonden;
  • welke handelingen zijn uitgevoerd.

Regelmatige controle van loggegevens ondersteunt verantwoord gebruik van systemen.

 

  1. Maak duidelijke afspraken met leveranciers

Veel zorgorganisaties werken samen met externe leveranciers.

Bespreek onder andere:

  • welke beveiligingsmaatregelen worden toegepast;
  • hoe incidenten worden gemeld;
  • hoe leveranciers omgaan met onderaannemers;
  • welke verantwoordelijkheden zijn verdeeld;
  • hoe toezicht plaatsvindt.

Duidelijke afspraken versterken de beveiliging binnen de gehele keten.

 

  1. Wees zorgvuldig bij cloudoplossingen

Het gebruik van cloudoplossingen neemt toe binnen de zorg.

Het opslaan van gezondheidsgegevens in de cloud is toegestaan. Er is geen toestemming van patiënten/cliënten nodig voor deze opslag. De zorgorganisatie blijft wel verantwoordelijk voor passende beveiligingsmaatregelen.

Belangrijke aandachtspunten zijn:

  • een zorgvuldige leveranciersselectie;
  • contractuele afspraken;
  • passende technische maatregelen;
  • inzicht in verantwoordelijkheden;
  • periodieke evaluatie van de dienstverlening.

 

  1. Maak bewuste keuzes bij e-mailgebruik

Het versturen van gezondheidsgegevens via e-mail is toegestaan. Zorgorganisaties moeten wel beoordelen of deze vorm van communicatie passend is binnen de situatie.

Daarbij is het belangrijk om te kijken naar:

  • het doel van de gegevensuitwisseling;
  • de toegepaste beveiligingsmaatregelen;
  • beschikbare alternatieven voor gegevensuitwisseling;
  • afspraken met leveranciers.

De beveiligingsverplichting uit de AVG blijft altijd gelden.

 

  1. Zorg voor aantoonbaarheid

Informatiebeveiliging vraagt om documentatie en bewijs.

Voorbeelden hiervan zijn:

  • beleidsdocumenten;
  • risicoanalyses;
  • auditrapportages;
  • leveranciersafspraken;
  • registraties van incidenten;
  • trainingsactiviteiten;
  • verslagen van managementreviews.

Hiermee wordt inzichtelijk hoe de organisatie invulling geeft aan haar verantwoordelijkheden.

 

  1. Evalueer en verbeter regelmatig

Zorgorganisaties ontwikkelen zich voortdurend. Nieuwe technologieën, gewijzigde wetgeving en veranderende dreigingen vragen om periodieke evaluatie.

Plan daarom regelmatig:

  • interne audits;
  • managementreviews;
  • actualisatie van risicoanalyses;
  • evaluaties van incidenten;
  • herziening van beleid en procedures.

Deze cyclus ondersteunt continue verbetering van informatiebeveiliging.

 

NEN 7510 als onderdeel van goede zorg

NEN 7510 biedt zorgorganisaties een praktische structuur om informatiebeveiliging in te richten en te onderhouden. Door aandacht te besteden aan processen, techniek en bewustwording ontstaat een werkomgeving waarin patiënt-/cliëntgegevens zorgvuldig worden beschermd.

Informatiebeveiliging ondersteunt daarmee de kwaliteit en betrouwbaarheid van zorg. Het helpt organisaties om invulling te geven aan wettelijke verplichtingen en draagt bij aan het vertrouwen van patiënten/cliënten, medewerkers en samenwerkingspartners.

 

Disclaimer: Wij besteden veel aandacht aan het zorgvuldig samenstellen van onze blogs en baseren onze informatie op betrouwbare bronnen en actuele wet- en regelgeving. Ondanks deze inspanningen kunnen onjuistheden of verouderde inzichten voorkomen. De inhoud van deze blog is bedoeld ter algemene informatie en vervangt geen juridisch of professioneel advies. Aan de inhoud kunnen geen rechten worden ontleend.

Veelgestelde vragen

Is NEN 7510 verplicht voor zorgorganisaties?

Ja. Zorgaanbieders moeten passende beveiligingsmaatregelen treffen op grond van de AVG. Daarnaast verwijst het Besluit elektronische gegevensverwerking door zorgaanbieders expliciet naar NEN 7510, NEN 7512 en NEN 7513.

Wat is het verschil tussen NEN 7510, NEN 7512 en NEN 7513?

NEN 7510 richt zich op informatiebeveiliging binnen zorgorganisaties. NEN 7512 bevat eisen voor veilige gegevensuitwisseling. NEN 7513 beschrijft eisen voor logging van toegang tot patiënt-/cliëntgegevens.

Mag een zorgorganisatie gezondheidsgegevens in de cloud opslaan?

Ja. Gezondheidsgegevens mogen in de cloud worden opgeslagen. De zorgorganisatie blijft verantwoordelijk voor passende beveiligingsmaatregelen.

Is toestemming nodig voor opslag van gezondheidsgegevens in de cloud?

Nee. Toestemming van patiënten/cliënten is hiervoor niet vereist.

Deel dit artikel via:

Gerelateerde artikelen

DPIA in de praktijk

Een Data Protection Impact Assessment (DPIA) wordt vaak uitgevoerd wanneer een organisatie een nieuw systeem introduceert, een digitale dienst implementeert of een nieuwe leverancier inschakelt

Lees meer

Menu