NEN 7510

De norm voor informatiebeveiliging in de zorg

 

Zorgen dat informatie van uw patiënten beschikbaar maar ook veilig is

Zorgen dat informatie van uw patiënten beschikbaar maar ook veilig is. Dat is in de essentie van de NEN 7510 norm. Het is de specifieke norm voor informatieveiligheid binnen de gezondheidszorg. De NEN 7510 is gebaseerd op de ISO 27001.

De NEN 7510

Beschikbaarheid, Integriteit en Vertrouwelijkheid

De beschikbaarheid, integriteit en vertrouwelijkheid van patiënt- en cliëntgegevens is essentieel binnen de zorg.

Een zorginstelling of ICT-leverancier aan de zorg (zoals bijvoorbeeld een Elektronisch Patiëntendossier of Persoonlijke Gezondheidsomgeving) wil geen onnodige risico’s lopen. Zoals het risico dat de gegevens op onbedoelde plaatsen terechtkomen of voor onbevoegden toegankelijk zijn.

Daarnaast is ook de continue beschikbaarheid belangrijk voor een goed zorgproces. De NEN 7510 norm helpt uw organisatie om dit technisch en organisatorisch goed in te richten en dat ook zo te houden.

Ook de bewustwording en training van de medewerkers, hoe zij goed en veilig met de informatie om moeten gaan, maakt hier onderdeel van uit. NEN 7510 is een ‘risk based managementsysteem’ en de nationale certificatiestandaard voor informatiebeveiliging in de zorg.

Beschikbaarheid

Is de informatie beschikbaar op het moment, de tijd, het apparaat en de locatie die u wilt.

Integriteit

Is de informatie die je gebruikt ook juist. Zijn de klantgegevens, verkoopcijfers of onderzoeksresultaten actueel en geven ze het juiste beeld?

Vertrouwelijkheid

Is geregeld dat alleen de juiste mensen toegang hebben tot de informatie. O.a. dat de informatie niet op straat komt te liggen maar ook binnen de organisatie.

De NEN 7510 kent een aantal belangrijke hoofdstukken

High Level Structure

Net als alle andere ISO normen is de NEN 7510 norm opgesteld volgens de High Level Structure en bevat 10 hoofdstukken met eisen waaraan een organisatie moet voldoen.

 

Vastgelegd in het Information Security Management Systeem

Het Information Security Management Systeem (ISMS) is uw structuur en methodiek waarin u alles vastlegt dat u nodig heeft om uw informatie op een goede en veilige wijze te organiseren.
De basis van het ISMS is vergelijkbaar met de managementsystemen voor de andere ISO en NEN normen. Wat de basiselementen zijn leest u op onze speciale pagina over managementsystemen. Daar leest u ook wat erbij komt kijken om een ISMS te implementeren en te onderhouden.

Wel of niet certificeren?

Patiënten wensen tegenwoordig betere informatie over hun behandeling. Daarnaast gaat de groeiende digitalisatie van de zorg gepaard met vragen over de beveiligde uitwisseling van informatie tussen zorgaanbieders onderling en tussen zorgaanbieders en patiënten. Hierdoor is informatiebeveiliging in de zorg de laatste jaren steeds belangrijker geworden. Zorginstellingen staan ook steeds meer onder druk van de toezichthouders om hiervoor goede maatregelen te treffen.

Door u (proactief) te laten certificeren voor de NEN 7510, laat u aan uw toezichthouders en patiënten zien dat u de beveiliging van informatie serieus neemt. Tegelijkertijd bereidt u zichzelf hiermee voor op de toekomst waarin deze norm waarschijnlijk verplicht wordt gesteld.

De NEN 7510 is van grote waarde

Met een managementsysteem dat is ingericht en gecertificeerd volgens de NEN 7510 norm tonen zorgaanbieders en IT-leveranciers van zorgapplicaties aan dat ze hun informatiebeveiliging en privacy op orde hebben en continu verbeteren.

Het zet privacy en veilig ‘gebruik’ (verwerking) van persoonsgegevens van patiënten en cliënten centraal.

Voldoen organisaties aan de eisen van de IGJ (Inspectie Gezondheid en Jeugd) en MedMij.

Het leidt tot meer bewuste medewerkers die daardoor minder fouten maken en waardoor de kans op datalekken wordt verkleind.
Het leidt tot lagere risico’s doordat sprake is van een betere beheersing van ICT-systemen en applicaties (logische beveiliging) en van fysieke locaties en apparatuur (fysieke beveiliging).

MEER WETEN OVER DE NEN 7510?

Bel ons of laat uw gegevens achter dan bellen we u.

Voor de experts onder ons nog enkele zaken

Net als de ISO-normen is de NEN 7510 norm ingedeeld volgens de High Level Structure. De norm bevat 10 vaste hoofdstukken en een bijlage. Na de inleidende hoofdstukken bevat NEN 7510 een aantal specifieke eisen waaraan uw organisatie moet voldoen. Ontdek de generieke paragrafen van de NEN en ISO-normen

Technische en organisatorische maatregelen

De NEN 7510 norm bevat naast deze 10 hoofdstukken nog een zeer uitgebreide bijlage met een groot aantal meer gedetailleerde eisen waaraan uw organisatie moet voldoen. Hierbij gelden specifiek voor de zorgsector een aantal aanvullende maatregelen t.o.v. de ISO 27001 eisen:

Beleid

Beleid moet worden beoordeeld als zich een ernstig beveiligingsincident heeft voorgedaan.

Organisatie

Organisatie moet beschikken over een Informatiebeveiligingsmanagement forum (IBMF) voor coördinatie van initiatieven op het gebied van beveiliging van gezondheidsinformatie.

Patientveiligheid

In projecten moet Patiëntveiligheid als projectrisico worden meegenomen in relatie tot persoonlijke gezondheidsinformatie.

werving & selectie

Bij werving en selectie dient meer aandacht besteed te worden aan verifiëren van huidige adres, identiteit, vorige werkkring en toepasselijke kwalificaties. 

Tijdelijk personeel

Speciale aandacht schenken aan de rollen en verantwoordelijkheden van tijdelijk personeel.

Einde dienstverband

Bij beëindiging dienstverband moet alle persoonlijke gezondheidsinformatie ingeleverd worden.

Waarschuwing

Alle systemen die persoonlijke gezondheidsinformatie bevatten dienen bij gebruik een waarschuwing te geven dat men met vertrouwelijke gezondheidsinformatie werkt.

Gegevensdragers

Gegevensdragers die persoonlijke gezondheidsinformatie bevatten dienen fysiek te worden beschermd of de gegevens moeten versleuteld worden.

Toegangscontrole

Organisaties die persoonlijke gezondheidsinformatie verwerken moeten de toegang tot dergelijke informatie (systemen en archieven) controleren.

2 factor authenticatie

De toegang tot systemen die persoonlijke gezondheidsinformatie verwerken dienen beschermd te zijn middels twee factor authenticatie.
Autorisatie en monitoring van medische apparaten buiten de organisatie dient plaats te vinden.

Backups versleuteld

Backups van persoonlijke gezondheidsinformatie moeten versleuteld zijn.

Registratie

Systemen die persoonlijke gezondheidsinformatie verwerken moeten zorgdragen voor eenduidige registratie en voorzien te zijn van unieke persoonsidentificatie informatie.

Beheer toestemming

Toestemming voor het verwerken van persoonlijke gezondheidsinformatie van cliënten dient beheerd te worden.

De NEN 7510 gids

Alle relevante informatie speciaal voor u verzameld

Alle relevante zaken over de NEN 7510 hebben we in één overzichtelijke gids verzameld. Een ideale samenvatting. Inclusief functieprofielen en handige templates voor actielijsten.

Cookie Box-instellingen