MSP Kennisbank

NEN 7510: Bescherming van patiëntgegevens in de gezondheidszorg

Informatiebeveiliging is belangrijk voor elke organisatie, maar zeker wanneer je te maken hebt met gevoelige patiëntgegevens. Om deze patiëntgegevens te beschermen is de NEN 7510 in het leven geroepen. Deze norm, gebaseerd op de internationaal erkende ISO 27001 standaard, is ontwikkeld met aanvullende vereisten die toegespitst zijn op de zorgsector in Nederland.

Het garandeert de integriteit, beschikbaarheid en vertrouwelijkheid van patiënt- en cliëntgegevens. Daarnaast is het ook een bewijs van kwaliteit en betrouwbaarheid voor bedrijven die zaken doen met zorginstellingen.

Voor wie is NEN 7510 bedoeld?

Hoewel NEN 7510 in eerste instantie is gericht op zorginstellingen, is het ook van groot belang voor bedrijven die diensten leveren aan de zorgsector (Sector B). Dit omvat een breed scala aan organisaties, van leveranciers van medische apparatuur tot ontwikkelaars van zorggerelateerde software. Door NEN 7510 te implementeren, kunnen deze bedrijven ook gelijk aantonen dat ze voldoen aan de hoogste standaarden voor informatiebeveiliging.

Maar wanneer val je nu wel of niet onder die laatste groep? De Raad van Accreditatie is daar heel duidelijk over; wanneer je een interface hebt met een zorginstelling. Of zoals ze het zelf definiëren: “Het beheren van persoonlijke gezondheidsinformatie waarbij deze informatie wordt gebruikt door een zorginstelling”.

Wil je zeker weten of jouw organisatie hier onder valt? Lees dan vooral even ons blog ‘Verplichte interface voor NEN7510 – hoe zit dat?’.

Is een NEN 7510 certificering verplicht?

Ja en nee. Certificering is in principe niet verplicht, maar voor zorginstellingen en beheerders van patiëntgegevens is het wél verplicht om te voldoen aan alle eisen die de NEN 7510 stelt aan informatiebeveiliging. Vanaf eind 2023 wordt dan ook geëist van ziekenhuizen dat ze de norm aantoonbaar naleven.

Dit is hoe het wordt uitgelegd op nen.nl:

Zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zijn wettelijk verplicht om aantoonbaar aan NEN 7510 te voldoen. De toezichthouder IGJ verwacht dan ook dat zorgaanbieders aantoonbaar werk maken van een managementsysteem voor informatiebeveiliging dat voldoet aan de wettelijke norm. En ook dat er een continuïteitsplan is en dat dit regelmatig getest wordt. De inspectie verwacht daarbij dat alle ziekenhuizen uiterlijk eind 2023 NEN 7510 aantoonbaar naleven. Een manier voor het aantoonbaar maken is certificatie.

En de makkelijkste manier om deze naleving aan te tonen? Je raadt het al; een NEN 7510 certificaat.

Een samenvatting van de zorgspecifieke maatregelen

De kern van NEN 7510 is de bescherming van persoonlijke gezondheidsinformatie. Dit gaat verder dan alleen het beveiligen van data; het omvat ook aspecten zoals toegangscontrole, verwerking van gegevens, en de communicatie van deze gegevens binnen en buiten de zorginstelling. NEN 7510 biedt duidelijke richtlijnen en procedures om te zorgen dat alle aspecten van informatiebeveiliging worden aangepakt, van het beleid op hoog niveau tot de dagelijkse praktijk.

Om je een beeld te geven, hebben we de zorgspecifieke maatregelen hieronder samengevat.

Informatiebeveiligingsbeleid en organisatie

NEN 7510 vereist dat organisaties een schriftelijk informatiebeveiligingsbeleid hebben dat niet alleen door het management wordt goedgekeurd en gepubliceerd, maar ook actief wordt gecommuniceerd aan alle werknemers en relevante externe partijen. Dit beleid moet regelmatig, ten minste jaarlijks en na ernstige beveiligingsincidenten, worden herzien. Daarnaast wordt het opzetten van een informatiebeveiligingsmanagementforum (IBMF) benadrukt, waarin verantwoordelijkheden duidelijk worden gedefinieerd en toegewezen, inclusief de benoeming van ten minste één individu verantwoordelijk voor de beveiliging van gezondheidsinformatie.

Personeelsveiligheid

De norm gaat dieper in op de vereisten voor personeelsveiligheid, waaronder het verifiëren van de identiteit, het adres, en vorige werkgevers van personeel bij aanstelling. Er zijn specifieke controles voor de achtergrond van kandidaten, met inbegrip van de verificatie van kwalificaties voor zorgverleners die accreditatie nodig hebben. Belangrijk is ook de aandacht voor tijdelijk personeel en personeel met een kort dienstverband, zoals vervangers en stagiairs, om de veiligheid van patiëntgegevens te waarborgen.

Toegangsbeveiliging

NEN 7510 legt een sterke nadruk op toegangsbeveiliging, met regels die beperken wie toegang heeft tot persoonlijke gezondheidsinformatie. Dit omvat het instellen van een beleid dat de toegang tot informatie baseert op vooraf gedefinieerde rollen en de specifieke behoeften van die rollen. Toegang is alleen toegestaan in situaties waarin een zorgrelatie bestaat of waarin specifieke gegevens nodig zijn voor een activiteit.

Beheer van bedrijfsmiddelen en incidenten

Er wordt een uitgebreide benadering voorgesteld voor het beheer van bedrijfsmiddelen en informatiebeveiligingsincidenten, inclusief de eis dat organisaties verantwoordelijkheden en procedures vaststellen voor het effectief beheren van informatiebeveiligingsincidenten.

Communicatiebeveiliging en cryptografie

Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten vertrouwelijkheidsovereenkomsten hebben die de vertrouwelijke aard van deze informatie beschrijven, van toepassing op al het personeel dat toegang heeft tot gezondheidsinformatie. Er worden ook specifieke eisen gesteld aan het gebruik van cryptografie om de vertrouwelijkheid, authenticiteit, en/of integriteit van informatie te beschermen.

Fysieke beveiliging en omgevingsbeveiliging

NEN 7510 vereist het gebruik van beveiligde zones om informatieverwerkingsfaciliteiten te beschermen en benadrukt de noodzaak van bescherming tegen natuurrampen en kwaadwillige aanvallen. Dit omvat specifieke vereisten voor het gebruik van medische apparaten buiten de locatie.

Ontwikkeling en onderhoud van informatiesystemen

Er zijn gedetailleerde eisen voor het aanschaffen, ontwikkelen, en onderhouden van informatiesystemen die persoonlijke gezondheidsinformatie verwerken. Zo moeten informatiesystemen die gezondheidsinformatie verwerken elke cliënt op unieke wijze kunnen identificeren én onbedoelde dubbele registraties samen kunnen voegen.

Updates doorvoeren is ook wat complexer. Volgens beide normen moet je ontwikkel-, test- en productieomgevingen gescheiden houden, maar in de zorg is het ook verplicht om regels te definiëren en documenteren wanneer je software migreert van de ontwikkel- naar operationele status.

Naleving

Organisaties moeten de geïnformeerde toestemming van cliënten beheren voor het delen van hun persoonlijke gezondheidsinformatie, een vitaal aspect om de vertrouwelijkheid en integriteit van gezondheidsinformatie te handhaven.