NEN 7510 voor zorginstellingen: informatiebeveiliging in de zorg

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de gezondheidszorg. De norm is gebaseerd op ISO 27001 maar bevat aanvullende eisen die specifiek relevant zijn voor organisaties die met medische persoonsgegevens werken.

De norm is niet vrijblijvend. Op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg zijn zorgaanbieders verplicht om aan NEN 7510 te voldoen wanneer zij patiëntgegevens elektronisch verwerken. Dit geldt voor ziekenhuizen, huisartspraktijken, GGZ-instellingen, maar ook voor IT-leveranciers die zorgsystemen beheren.

NEN 7510 omvat beheersmaatregelen op het gebied van toegangsbeheer, fysieke beveiliging, personele maatregelen, netwerk- en communicatiebeveiliging, en continuïteitsbeheer. Specifiek voor de zorg zijn de eisen rond medische apparatuur, patiëntportalen en de uitwisseling van medische gegevens via systemen als LSP en MedMij.

De aanvullende normen NEN 7512 en NEN 7513 specificeren eisen voor respectievelijk de elektronische communicatie van patiëntgegevens en het loggen van toegang tot patiëntdossiers. Samen vormen zij het normenkader voor informatiebeveiliging in de Nederlandse zorg.

Een NEN 7510 audit toetst of de organisatie een werkend informatiebeveiligingsmanagementsysteem heeft ingericht conform de norm. De auditor beoordeelt beleid, risicomanagement, technische maatregelen en het bewustzijn bij medewerkers.

Veelvoorkomende tekortkomingen zijn onvoldoende logging van toegang tot patiëntgegevens, ontbrekende risicoanalyses, onvolledige verwerkersovereenkomsten met IT-leveranciers, en onvoldoende bewustzijn bij medewerkers over informatiebeveiligingsrisico's.

Secure Audit ondersteunt zorginstellingen en hun IT-leveranciers bij het inrichten van NEN 7510 compliance en het uitvoeren van audits. Neem contact op voor een inventarisatie.