NEN 7510

Informatiebeveiliging in de zorg

Veilige digitale communicatie met uw patient

De beveiliging van zorg- en medische informatie is van essentieel belang. U heeft hiervoor iemand benoemd in de organisatie? Weet dat dit alleen geen zekerheid geeft dat de informatie in uw systemen en organisatie altijd veilig is.

De NEN7510-1 norm omschrijft de spelregels om een managementsysteem (ISMS) in te richten afgestemd op de risico’s van zorg-gegevensbeveiliging in IT-systemen, papieren documenten en de (digitale) communicatie met andere systemen of organisaties.

Definitie ISMS

Een ISMS (Management Systeem voor Informatiebeveiliging) is een raamwerk van beleid, risico's, protocollen, beheersmaatregelen, gedocumenteerde informatie en betrokken mensen/ middelen, gericht op het aanpakken van risico's en het continu verbeteren.

Dé informatiebeveiligingsnorm voor medische informatie in Nederland

De NEN7510 wordt in Nederland erkend als een goed middel om een breed scala van informatiebeveilingsrisico’s te managen. De eisen van NEN7510 zijn breed verwoord en daarmee is de norm toepasbaar in iedere organisatie waar zorg- en medische informatie een belangrijke rol speelt.

De NEN7510 is geschikt voor een tweetal organisaties:

  • Zorginstellingen, waarbij zorg wordt verleend aan patiënten.
  • Beheerders van persoonlijke gezondheidsinformatie, die geen zorginstelling zijn. Denk aan zorgserviceproviders, gemeenten en toeleveranciers van zorginstellingen, zoals hostingproviders.

De NEN7510:2017 bestaat uit 2 delen. Deel 1 (NEN 7510-1) omvat de eisen ten aanzien van het managementsysteem voor informatiebeveiliging. Deel 2 (NEN7510-2) omvat de eisen ten aanzien van de 114 beheersmaatregelen.

De norm heeft als basis de ISO27001:2013 norm en daaraan zorgspecifieke maatregelen toegevoegd.

Oude norm NEN7510:2011 versus nieuwe norm NEN7510:2017

In december 2017 is de NEN7510 norm geüpdatet van versie 2011 naar versie 2017. Dat betekent dat de oude norm (NEN7510:2011) per 1 juni 2020 gaat vervallen en dat organisaties voor die datum gemigreerd moeten zijn naar de nieuwe norm (NEN7510:2017). De migratieafspraken zijn:

  1. Certificaten, verstrekt door certificerende instellingen onder accreditatie voor NEN 7510-2011 editie zijn geldig tot 1 juni 2020.
  2. Alle niet-onder accreditatie verstrekte certificaten NEN 7510: 2011 met een afloopdatum na 1 juni 2018 vervallen op de aangegeven verloopdatum (1 jaar na afgifte), Deze kunnen niet opnieuw worden verlengd.
  3. Certificaten, verstrekt door certificerende instellingen met accreditatie in aanvraag voor NEN 7510: 2017, hebben een geldigheidsduur van 1 jaar. Zodra de accreditatie is verkregen door de certificerende instelling, verandert de geldigheidsduur in 3 jaar, gerekend vanaf de initiële uitgifte van het certificaat.
  4. Op 1 juni 2020 moet iedere certificaathouder zijn overgestapt naar NEN 7510-1:2017.

Wat kan Audit orde voor uw organisatie betekenen?

Om te beginnen kunnen zorginstellingen en beheerders van persoonlijke gezondheidsinformatie zelf bepalen wie verantwoordelijk is voor vraagstukken rondom informatiebeveiliging en privacybescherming. Daarna door de norm aan te schaffen en te zien waar dit over gaat, wat erbij komt kijken en welke onderwerpen het betreft.

Mocht uw organisatie daarna toch nog hulp of begeleiding nodig hebben, dan kan Audit orde u helpen op velerlei gebied zoals:

  • de scopebepaling van het ISMS en de NEN7510
  • het uitvoeren van de risicobeoordeling
  • begeleiden van de migratie van versie 2011 naar 2017
  • de implementatie van de NEN7510
  • het toetsen van de NEN7510
  • het toetsen bij leveranciers (third party audit) en beoordelen van contracten
  • advies bij de keuze van een certificerende instelling.

Audit orde heeft veel ervaring met het implementeren en toetsen van NEN7510 managementsystemen en de bijbehorende beheersmaatregelen.

Norm downloaden

De NEN7510 is (als pdf of papier) verkrijgbaar in de webshop van de NEN. Deze is alleen uitgegeven in het Nederland. De NEN is de enige organisatie in Nederland die deze ISO norm mag uitgeven en verkopen.

De NEN7510 is afgekocht door de Nederlandse overheid en is nu gratis.

Certificeerbaar

  • Ja, met een certificaat van een certificerende instelling.
  • Dit certificaat valt onder accreditatie bij de Raad van Accreditatie (RvA)

Eisen (interne) auditor

  • Kwalificaties van NEN7510 met kennis van beheersmaatregelen + zorgprofiel (voor auditen Zorginstellingen).
  • Kwalificaties van NEN7510 met kennis van beheersmaatregelen + ICT profiel (voor auditen Beheerders van persoonlijke gezondheidsinformatie).