Aanscherping Wet & Regelgeving NEN7510

De NEN 7510 norm is de norm die informatieveiligheid binnen de zorg regelt. NEN 7510 geeft zorgorganisaties handvatten voor het inrichten van veilige, betrouwbare en integere ICT-systemen. Het omgaan met ‘zorggegevens is zo belangrijk dat het naast vastlegging in de NEN 7510 ook in verschillende wetten is vastgelegd.

Als u als organisatie een NEN 7510 Management Systeem heeft bent u dus ook verplicht om te voldoen aan alle relevante zorg-gerelateerde wet- en regelgeving.

Flinke impact

Voor veel zorgorganisaties heeft dat een flinke impact. Er zijn namelijk veel zorggerelateerde wetten. Het bepalen van de relevantie is een flinke klus. Eén die ook om kennis en ervaring vraagt. Dat geldt ook voor het bepalen van de maatregelen en het vertalen daarvan naar uw organisatie.

Een voorbeeld

Stel u bent een fysiotherapeut. De wet inzake de geneeskundige behandelovereenkomst verplicht u om de patiënt verschillende vragen te stellen voorafgaand aan het behandelproces.

Met het antwoord op die vragen maakt u een patiëntendossier aan. Dat dossier moet u een bepaalde termijn bewaren. Het vastleggen moet veilig gebeuren en onbevoegden mogen geen toegang hebben tot deze informatie. Ook zijn er regels en richtlijnen over met wie en hoe u deze informatie mag delen.

Een fysiotherapeut die een NEN 7510 certificaat heeft of wil hebben dient zich hier bewust van de te zijn en ervoor te zorgen dat hij kan aantonen dat hij dat goed en duurzaam georganiseerd heeft.

De softwareleverancier is ook verantwoordelijk

Elke zorgverlener maakt gebruikt van software voor het vastleggen en delen van (patiënt- en persoonsinformatie). De NEN 7510 is ook van toepassing op deze software en daarmee ook op de leveranciers van deze software.

De NEN 7510 eist dan dat de ICT-ontwikkelaar van de software een product moet leveren dat voldoet aan de geldende zorg-gerelateerde wet- en regelgeving.

Ook de ICT-leverancier zal zich dus goed bewust moeten zijn van de wet- en regelgeving die geldt voor zijn zorgklant. Daarnaast moet deze ervoor zorgen dat zijn product daaraan voldoet. Zonder die vertaalslag, kan en mag de zorgorganisatie het systeem niet langer gebruiken. Een zorgverlener kan en mag dat dus verwachten van zijn leverancier.

Tot zover de theorie.

In de praktijk gaat een en ander niet zoals bedoeld

De praktijk laat zien dat het bovenstaande niet altijd het geval is. Er zijn tal van zorgwetten. Die zorgwetten zijn niet allemaal even makkelijk te begrijpen.

Veel zorgorganisaties en ICT-leveranciers weten daardoor niet welke zorgwetten precies van toepassing zijn op hun organisatie of hun zorgklant. En om dan de filtering te maken naar wetten die betrekking tot het onderwerp informatieveiligheid hebben, maakt het al helemaal een uitdaging.

De Certificerende instellingen liggen onder het vergrootglas

Dat is wat de Raad van Accreditatie (RvA) heeft geconstateerd bij de jaarlijkse beoordeling van de Certificerende instellingen (de organisaties die de audits mogen uitvoeren). De RvA beoordeelt of zij hun externe audits op een juiste wijze uitvoeren.

Tijdens de laatste beoordelingsronde heeft de RvA geconstateerd dat de Certificerende instellingen met betrekking tot de NEN 7510 audits onvoldoende nagaan of de zorgorganisaties en hun leveranciers zich aan zorg gerelateerde wet- en regelgeving houden.

De RvA ‘eist’ van de Certificerende instellingen dat zij dit op korte termijn herstellen. Concreet: “Audit alle NEN 7510 klanten voor het einde van 2021 met de juiste diepgang op zorg-gerelateerde wet- en regelgeving”.

Zo niet, dan is er een kans dat de RvA de accreditatie (vergunning) van deze partij intrekt. Met als gevolg dat deze geen geaccrediteerde NEN 7510 audits meer mag doen.

Wat betekent dat voor u als zorgorganisatie?

De kans is meer dan aannemelijk dat in uw aanstaande audit hier meer aandacht voor zal zijn en deze daarmee ‘strenger’ is dan u gewend bent. Ongeacht of dat een initiële of periodieke audit is.

Om deze met een goed resultaat af te ronden betekent dat er voor u als zorgverlener of ICT-ontwikkelaar in de zorg, er werk aan de winkel is.

U moet zorgen dat uw organisatie voldoet aan de geldende wet- en regelgeving. Dat betekent dat u moet achterhalen welke wetten en regels op uw organisatie ‘van toepassing zijn’. En vervolgens moet u nagaan welke maatregelen nodig zijn én zorgen dat u daaraan voldoet.

Concreet betekent dit het volgende:

• Identificeer alle relevante ‘zorg-gerelateerde’ wet- en regelgeving
• Bepaal waar deze uw dienstverlening ‘raakt’
• Stel vast welke artikelen van toepassing zijn
• Geef aan op welke wijze deze artikelen vertaald zijn naar de praktijk
• Leg dat aantoonbaar vast in uw NEN 7510 Managementsysteem

NEN 7510: Een flinke klus

Flink wat werk. Dat is wat veel van onze NEN 7510 klanten ook aangeven. ‘Dat zou slimmer en efficiënter moeten kunnen’ is wat we binnen BMGRIP tegen elkaar gezegd hebben. En dat klopt. Het kan ook praktischer en minder tijdrovend.

Wij hebben daarom een aanpak en raamwerk ontwikkeld die u helpt met de eerste stap. Het opstellen van een overzicht welke wet- en regelgeving van toepassing zijn.

De werkwijze is vergelijkbaar met een officiële Verklaring van Toepasselijkheid. Dat is het stuk waarin u een vertaling maakt van de eisen uit het NEN 7510-addendum naar beheersmaatregelen in uw managementsysteem.

Een praktisch raamwerk om het makkelijk te maken

Het raamwerk neemt u aan de hand mee door de benodigde stappen. Allereerst nagaan welke zorggerelateerde wetten voor u relevant zijn. Vervolgens daar de vertaling van maken naar uw praktijk. Dit alles goed en duurzaam vastgelegd.

Het volgen van dit raamwerk helpt u dus met de inhoudelijke bepaling van de toepasselijkheid van ‘zorg-gerelateerde’ regels. Naast dat het raamwerk u veel tijd bespaart, levert u ook een inhoudelijk sterker stuk op. Dat zal de kans op en succesvolle audit flink vergroten.

Prima te doen

Het is een behoorlijke klus, maar zeker te doen. Het raamwerk leent zich goed om zelf mee aan de slag te gaan. Op deze pagina leggen we meer uit over het raamwerk en hoe u het kunt verkrijgen.

Blog geschreven door Robin Beiler, Business Consultant