NEN 7510: informatiebeveiliging in de zorg
Informatiebeveiliging is van cruciaal belang in vele sectoren, en zeker in de zorg. Binnen deze branche worden immers gevoelige medische en patiëntgegevens beheerd en gedeeld. Het is essentieel dat deze informatie beschermd wordt tegen onbevoegde toegang. Het implementeren van de juiste beschermingsmaatregelen vormt echter een grote uitdaging in de gezondheidszorg. Er wordt gewerkt met grote hoeveelheden data, waarbij diverse partijen betrokken zijn bij het verzamelen, opslaan en verwerken van deze gegevens. Zorgaanbieders, patiënten en zorgverzekeraars maken samen deel uit van een complex netwerk. In deze blog bespreken we hoe NEN 7510 bijdraagt aan informatiebeveiliging in de zorg.
NEN 7510
is een Nederlandse norm die eisen stelt aan de
informatiebeveiliging
in de zorg. In het vervolg van deze blog gaan we verder in op NEN 7510 en vindt u het antwoord op de volgende drie vragen:
- Wat zijn de voordelen van NEN 7510?
- Is NEN 7510 verplicht voor informatiebeveiliging in de zorg?
- Wat zijn de eisen van NEN 7510 voor informatiebeveiliging in de zorg?
De nieuwe NEN 7510:2024 norm
Vanaf 16 december 2024 is de NEN 7510:2024 gewijzigd. Deze nieuwe versie voldoet aan de laatste eisen. De nieuwe versie van de NEN 7510 bevat belangrijke updates en is afgestemd op de nieuwste versies van
ISO/IEC 27001
, ISO/IEC 27002 en het internationale normontwerp ISO 27799:2016, met aanvullende eisen voor de zorgsector.
Zo zijn 14 algemene ISO-beheersmaatregelen aangepast voor toepassing binnen een zorgorganisatie en zijn er 8 extra maatregelen die specifiek gericht zijn op de zorgsector. Deze aanpassingen dragen bij aan het mitigeren van de continu veranderende cyberrisico’s en zijn de opmaat voor de eisen van de
NIS2-richtlijn
.
Daarnaast is er aandacht voor (nieuwe) wetgeving. Het NEN 7510 certificaat helpt organisaties bijvoorbeeld op weg in het voldoen aan de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), Wet elektronische gegevensuitwisseling in de zorg (Wegiz) en de Europese NIS2-richtlijn die vanaf 2025 van kracht wordt.
Accreditatie NEN 7510:2024
NEN 7510 bestaat uit twee delen:
- NEN 7510-1 – de eisen
- NEN 7510-2 – de implementatierichtlijnen (vergelijkbaar met ISO 27002)
Certificering onder accreditatie heeft uitsluitend betrekking op NEN 7510-1.
DEKRA is door de Raad voor Accreditatie geaccrediteerd voor certificering volgens NEN 7510-1:2024. Daarmee zijn wij bevoegd om zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie te certificeren op het gebied van informatiebeveiliging.
Wilt u meer weten over NEN 7510 en wat dit betekent voor uw organisatie? Neem dan
contact
op met één van onze experts.
Is NEN 7510 verplicht voor informatiebeveiliging in de zorg?
NEN 7510 is ontwikkeld voor informatiebeveiliging van gegevens bij alle typen aanbieders in de zorg, zoals ziekenhuizen, verpleeghuizen, andere zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie. Hier geeft het de juiste handvatten. Is het ook verplicht om te voldoen aan deze norm? Het korte antwoord daarop is: ja. Voor zorg verlenende instellingen is het verplicht te voldoen aan de eisen van NEN 7510. Dat geldt ook voor andere partijen die persoonlijke gezondheidsinformatie verwerken.
Regeling gebruik Burgerservicenummer & AVG
De wet ‘Regeling gebruik Burgerservicenummer in de zorg’ stelt dat zorgorganisaties moeten voldoen aan NEN 7510. Deze regeling is onderdeel van de ‘Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg’. Daarnaast voldoet u met NEN 7510 voor een groot deel aan de eisen vanuit de AVG (Wet bescherming persoonsgegevens). Deze laatste wet stelt organisaties verplicht voor om persoonsgegevens adequaat te beveiligen.
Is een certificaat nodig voor NEN 7510 informatiebeveiliging in de zorg?
Organisaties die werken met medische gegevens en patiëntgegevens moeten kunnen aantonen dat ze voldoen aan NEN 7510. Dat kan door te certificeren, maar dat is niet verplicht. Certificering is zeker verstandig. Naast dat u zeker weet dat u voldoet aan norm, geeft certificeren ook andere voordelen. Een
NEN 7510 certificering
is inclusief periodieke audits waarbij een controle wordt uitgevoerd om te zien of uw organisatie wordt nog voldoet aan de norm. De auditor werpt een frisse blik op uw werkprocessen en –systemen, en u wordt geïnformeerd als er verbeteringen nodig zijn. Benieuwd naar andere belangrijke certificeringen in de zorg?
Overweegt u om uw organisatie te laten certificeren voor NEN 7510? Bij DEKRA voeren we al sinds 1995 audits uit in de zorg. Lees hier meer informatie over onze werkwijze en het certificeringstraject.
Alles over een NEN 7510 certificering
Wat zijn de eisen van NEN 7510 voor informatiebeveiliging in de zorg?
Het voert te ver om in deze blog alle eisen te benoemen die NEN 7510 bevat, maar we geven u graag een globaal idee van de inhoud. De norm bestaat uit twee delen.
Informatiebeveiliging en risicobeheersing
Risicobeheersing speelt een belangrijke rol in de norm. Het helder in kaart brengen van de bestaande risico's is een essentiële stap richting informatiebeveiliging. U brengt daarom de risico's in kaart, hoe groot ze zijn en wat de gevolgen zijn bij een incident. Naast risicomanagement gaat de norm ook in op beheersmaatregelen, waaronder het opzetten van een informatiebeveiligingsbeleid en toegangsbeveiliging. U implementeert de norm stapsgewijs in uw organisatie. Tot slot heeft u de keuze om u wel of niet te laten certificeren tegen NEN 7510.