NEN 7510: informatiebeveiliging in de zorg
Informatiebeveiliging is van cruciaal belang in vele sectoren, en zeker in de zorg. Binnen deze branche worden immers gevoelige medische en patiëntgegevens beheerd en gedeeld. Het is essentieel dat deze informatie beschermd wordt tegen onbevoegde toegang. Het implementeren van de juiste beschermingsmaatregelen vormt echter een grote uitdaging in de gezondheidszorg. Er wordt gewerkt met grote hoeveelheden data, waarbij diverse partijen betrokken zijn bij het verzamelen, opslaan en verwerken van deze gegevens. Zorgaanbieders, patiënten en zorgverzekeraars maken samen deel uit van een complex netwerk. In deze blog bespreken we hoe NEN 7510 bijdraagt aan informatiebeveiliging in de zorg.
NEN 7510
is een Nederlandse norm die eisen stelt aan de
informatiebeveiliging
in de zorg. Deze is afgeleid van de internationale norm
ISO 27001
, de standaard voor informatiebeveiliging. In het vervolg van deze blog gaan we verder in op NEN 7510 en vindt u het antwoord op de volgende drie vragen:
- Wat zijn de voordelen van NEN 7510?
- Is NEN 7510 verplicht voor informatiebeveiliging in de zorg?
- Wat zijn de eisen van NEN 7510 voor informatiebeveiliging in de zorg?
De nieuwe NEN 7510-1:2024 norm
Vanaf 16 december 2024 is de NEN 7510-1:2024 gewijzigd. Deze nieuwe versie voldoet aan de laatste eisen. De nieuwe versie van de NEN 7510 bevat belangrijke updates en is afgestemd op de nieuwste versies van ISO/IEC 27001, ISO/IEC 27002 en het internationale normontwerp ISO/IEC DIS 27799, met aanvullende eisen voor de zorgsector. Zo zijn 14 algemene ISO-beheersmaatregelen aangepast voor toepassing binnen een zorgorganisatie en zijn er 8 extra maatregelen die specifiek gericht zijn op de zorgsector. Deze aanpassingen dragen bij aan het mitigeren van de continu veranderende cyberrisico’s en zijn de opmaat voor de eisen van de
NIS2-richtlijn
.
Daarnaast is er aandacht voor (nieuwe) wetgeving. NEN 7510 helpt organisaties bijvoorbeeld op weg in het voldoen aan de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), Wet elektronische gegevensuitwisseling in de zorg (Wegiz) en de Europese NIS2-richtlijn die vanaf 2025 van kracht wordt.
Transitie naar NEN 7510:2024
NEN heeft een transitietermijn bepaald tot 20 februari 2027. Dat betekent dat uw 7510-1:2017+A1:2020 certificaat na deze datum niet meer geldig is. DEKRA rondt binnenkort het accreditatieonderzoek voor de nieuwe versie af en hoopt u hiermee binnenkort van dienst te kunnen zijn.
Let op: zolang DEKRA nog niet geaccrediteerd is voor NEN 7510:2024, zijn audits die conform deze nieuwe norm worden uitgevoerd, niet geldig.
Is NEN 7510 verplicht voor informatiebeveiliging in de zorg?
NEN 7510 is ontwikkeld voor informatiebeveiliging van gegevens bij alle typen aanbieders in de zorg, zoals ziekenhuizen, verpleeghuizen en andere zorginstellingen. Hier geeft het de juiste handvatten. Is het ook verplicht om te voldoen aan deze norm? Het korte antwoord daarop is: ja. Voor zorg verlenende instellingen is het verplicht te voldoen aan de eisen van NEN 7510. Dat geldt ook voor andere partijen die persoonlijke gezondheidsinformatie verwerken.
Regeling gebruik Burgerservicenummer & AVG
De wet ‘Regeling gebruik Burgerservicenummer in de zorg’ stelt dat zorgorganisaties moeten voldoen aan NEN 7510. Deze regeling is onderdeel van de ‘Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg’. Daarnaast voldoet u met NEN 7510 voor een groot deel aan de eisen vanuit de AVG (Wet bescherming persoonsgegevens). Deze laatste wet stelt organisaties verplicht voor om persoonsgegevens adequaat te beveiligen.
Is een certificaat nodig voor NEN 7510 informatiebeveiliging in de zorg?
Organisaties die werken met medische gegevens en patiëntgegevens moeten kunnen aantonen dat ze voldoen aan NEN 7510. Dat kan door te certificeren, maar dat is niet verplicht. Certificering is zeker verstandig. Naast dat u zeker weet dat u voldoet aan norm, geeft certificeren ook andere voordelen. Een
NEN 7510 certificering
is inclusief periodieke audits waarbij een controle wordt uitgevoerd om te zien of uw organisatie wordt nog voldoet aan de norm. De auditor werpt een frisse blik op uw werkprocessen en –systemen, en u wordt geïnformeerd als er verbeteringen nodig zijn. Benieuwd naar andere belangrijke certificeringen in de zorg?
Overweegt u om uw organisatie te laten certificeren voor NEN 7510? Bij DEKRA voeren we al sinds 1995 audits uit in de zorg. Lees hier meer informatie over onze werkwijze en het certificeringstraject.
Alles over een NEN 7510 certificering
Wat zijn de eisen van NEN 7510 voor informatiebeveiliging in de zorg?
Het voert te ver om in deze blog alle eisen te benoemen die NEN 7510 bevat, maar we geven u graag een globaal idee van de inhoud. De norm bestaat uit twee delen.
Informatiebeveiliging en risicobeheersing
Risicobeheersing speelt een belangrijke rol in de norm. Het helder in kaart brengen van de bestaande risico's is een essentiële stap richting informatiebeveiliging. U brengt daarom de risico's in kaart, hoe groot ze zijn en wat de gevolgen zijn bij een incident. Naast risicomanagement gaat de norm ook in op beheersmaatregelen, waaronder het opzetten van een informatiebeveiligingsbeleid en toegangsbeveiliging. U implementeert de norm stapsgewijs in uw organisatie. Tot slot heeft u de keuze om u wel of niet te laten certificeren tegen NEN 7510.