Online klantportalen, smartphone-apps en slimme e-healthtoepassingen spelen een steeds grotere rol in de moderne zorgverlening.
Daardoor ontstaan veel kansen en mogelijkheden, maar die digitalisering leidt ook tot beveiligingsrisico’s. Nergens is informatie immers vertrouwelijker dan in de zorgsector.
Informatie en informatiegedreven oplossingen spelen ook in de gezondheidszorg een steeds grotere rol. Data over patiënten, medische aandoeningen, etc. helpen zorgverleners hun patiënten zo goed mogelijk te helpen. Ook bestaan er ‘smart home’- en andere e-healthoplossingen die het leven van met name chronische patiënten aangenamer maken. En er zijn toepassingen waarmee iemand met behulp van een robot, zelfs vanaf de andere kant van de wereld, kan worden geopereerd. Daarnaast wordt, met steun van de overheid, ingezet op persoonlijke gezondheidsomgevingen waarop mensen hun eigen zorggegevens kunnen beheren en eventueel delen.
NEN 7510
Al die toepassingen gebruiken of genereren data en omdat weinig sectoren privacygevoeliger zijn dan de zorgsector, worden zorginstellingen nauwlettend gevolgd als het gaat om hoe ze omgaan met persoonlijke en medische gegevens. Niet verwonderlijk dus dat IT- en databeveiliging ook in de gezondheidszorg een belangrijk onderwerp is. Daarom is, op basis van de internationale standaard ISO 27001, specifiek voor de Nederlandse zorgsector de norm NEN 7510 ontwikkeld. De NEN 7510 is er op de eerste plaats voor zorgverleners. Die kunnen vervolgens ook van hun leveranciers, bijvoorbeeld aanbieders van soft- en hardware, clouddiensten, etc., verwachten dat ze hier aan voldoen.
Wettelijke verplichting
Volgens de Regeling burgerservicenummer in de zorg moeten Nederlandse zorgverleners verplicht werken volgens de eisen uit de NEN 7510. De Inspectie Gezondheidszorg en Jeugd (IGJ) gebruikt de norm om te toetsen of zorginstellingen voldoen aan de geldende eisen rondom informatie en informatiebeveiliging. Hoewel werken volgens de NEN 7510 dus verplicht is, geldt dat niet voor certificering volgens de norm. Met een NEN 7510-certificaat tonen zorgorganisaties echter wél aan bij patiënten, leveranciers en andere stakeholders dat ze bewust omgaan met informatiebeveiliging en dat ze voldoen aan de op dit gebied geldende eisen.
Toegevoegde waarde
Om te werken volgens de NEN 7510 hoeft een organisatie de norm niet tot op de letter te volgen. De gekozen processen en maatregelen moeten immers wél van toegevoegde waarde zijn en mogen geen onwerkbare situaties opleveren. Zorgverleners die hun informatiehuishouding willen inrichten volgens de NEN 7510 doen er dan ook verstandig aan om éérst in kaart te brengen hoe er in de huidige situatie wordt omgegaan met medische gegevens en andere patiëntinformatie. Want ook zonder dat zaken zijn vastgelegd in beleid, gaat er vaak al heel veel wél goed. Dat kan zo gegroeid zijn in de praktijk of onderdeel zijn van personeelsreglementen, die vaak afspraken bevatten over bijvoorbeeld omgaan met vertrouwelijke data of usb-sticks en andere informatiedragers. Als het goed is zijn die afspraken al bij medewerkers bekend, waardoor ze goed toepasbaar zijn in eventuele nieuwe NEN 7510-proof processen.
Laat zien wat je doet
Een belangrijk onderdeel van de NEN 7510 is het Information Security Management System (ISMS). Dit is een raamwerk dat organisaties kunnen gebruiken om informatiehuishouding in te richten volgens de NEN 7510-eisen. De kans dat de invoering daarvan succesvol verloopt wordt groter als het nieuwe kwaliteitssysteem passend wordt gemaakt voor de organisatie, in plaats van andersom. Maatregelen zonder duidelijke toegevoegde waarde hoeven niet te worden toegepast, zolang maar goed duidelijk is waarom de organisatie hiervoor gekozen heeft. Aantonen dat je als organisatie informatiebeveiliging goed hebt geregeld, dáár gaat het uiteindelijk om. Met andere woorden: doe wat je zegt en laat zien dat je dat doet!
Meer informatie
Kiwa is een van ’s wereld grootste organisaties op het gebied van testen, inspectie en certificering. Met een uitgebreid portfolio services voor certificering, inspectie, tests, training en consultancy zorgt Kiwa voor vertrouwen in de producten en diensten, bedrijfsprocessen en medewerkers van zijn opdrachtgevers. Kiwa’s expertise als opleider en certificeerder in de zorgsector en als specialist op het gebied van informatiebeveiliging ontmoeten elkaar in uitgebreide dienstverlening rondom NEN 7510. Meer hierover leest u op onze website.