atmosphere.2.jpg


NEN 7510 informatiebeveiliging in de zorg


NEN 7510 is de norm voor informatiebeveiliging in de zorg en valt onder het toezichtterrein van de Inspectie voor de Gezondheidszorg (IGZ). Bent u op zoek naar een Informatieveiligheidssysteem conform NEN 7510 en zoekt u daarbij deskundige ondersteuning tot certificering? Nieuwhuis Consult levert u die graag. Hiervoor hanteren wij een praktisch model. In 4 fasen behaalt uw organisatie het NEN 7510 certificaat.


In december 2017 komt de nieuwe versie NEN 7510:2017 uit. In deze nieuwe versie zal meer aandacht zijn voor wet- en regelgeving rondom de nieuwe Algemene Verordening Gegevensbescherming (AVG) die in de hele EU van toepassing is vanaf mei 2018. 


Voor wie is de NEN 7510?

De norm is ontwikkeld voor instellingen in de zorg. NEN 7510 geeft u handvatten voor het inrichten van adequate ICT-systemen. De NEN 7510 dekt het hele gebied van informatiebeveiliging en blijft dus niet beperkt tot technische specificaties maar geeft ook richting aan de organisatie en het menselijk handelen.


Voordelen NEN 7510 certificering 

De NEN 7510 biedt een aantal voordelen voor uw organisatie, zoals:

  • U leert uw beveiligingsrisico’s kennen waarop u vervolgens kunt inspelen.
  • U krijgt een praktisch kader om uw informatiebeveiliging in te richten volgens de wettelijke eisen rond het Elektronisch Patiënten Dossier (EPD).
  • Met de NEN 7510 laat u aan zorgverzekeraars en patiënten zien dat gegevens van patiënten bij u in goede handen zijn.
  • De NEN 7510 helpt u het aantal beveiligingsincidenten te verminderen.
  • De NEN 7510 is ingericht volgens de HLS-structuur, zodat deze makkelijk te integreren is met bijvoorbeeld de norm ISO 27001


Is de NEN 7510 certificering verplicht?

Informatiebeveiliging in de zorg wordt steeds belangrijker. Alle zorginstellingen in Nederland moeten aan de IGZ kunnen aantonen dat zij beschikken over de juiste informatiebeveiliging. IGZ zal bij het toetsen van zorginstellingen op informatiebeveiliging de NEN 7510 als leidraad nemen. De norm NEN 7510 helpt de verantwoordelijken relevante maatregelen te bepalen, in te voeren en te beheersen. 


Het landelijk communicatiepunt voor de zorg Vecozo eist van softwareleveranciers in de zorg dat zijn kunnen aantonen dat ze voldoen aan de NEN 7510. Dit kan door middel van de verkorte TPM verklaring (ook wel Third Party Memorandum of Derdenverklaring). Deze verkorte verklaring, uitgevoerd door een derde instantie, bevat de eindconclusie van de audit zonder details vrij te geven. Hiermee voldoet u vanuit het oogpunt van de zorgplicht aan de gestelde eisen, zonder dat alle details en bevindingen vrijgegeven worden.



De norm NEN 7510


De norm NEN 7510 (afgeleide van ISO 27001) is toegesneden op informatiebeveiliging binnen de gezondheidszorg. Hieronder wordt verstaan het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie ten behoeve van verantwoorde zorg voor patiënten. Naast het borgen van kwaliteit moeten de informatiebeveiligingsmaatregelen volgens de norm zo zijn ingericht dat ze zijn te controleren. De NEN 7510 kan worden gezien als een kader waarbinnen iedere proceseigenaar relevant geachte informatie voor het proces kan specificeren inclusief bijbehorende maatregelen. 


Met de nieuwe Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht wordt in de hele EU, worden de eisen aan informatiebeveiliging steeds strenger. De norm NEN 7510 zal in december 2017 dan ook een nieuwe versie krijgen waarmee ingespeeld wordt op deze strengere eisen. Nieuwhuis Consult informeert u graag over wat deze nieuwe norm NEN 7510:2017 betekent voor uw organisatie.




Stappenplan NEN 7510 certificering 


Nulmeting: waar staan we nu?

Elk project start met een nulmeting. Dit geeft inzicht in de huidige status van informatiebeveiliging en wat nodig is om aan de eisen van NEN 7510 te voldoen. In de praktijk blijkt dat organisaties onbewust al veel elementen van de NEN 7510 goed hebben geregeld.


Belangrijk effect van deze eerste fase is bewustwording van de noodzaak van informatiebeveiliging en het begrijpen welke maatregelen hiervoor nodig zijn.


Risico-analyse informatiebeveiliging

De risico-analyse informatiebeveiliging is de basis van alle beheersmaatregelen en essentieel dat deze goed wordt uitgevoerd.

  • Risico’s beoordelen op het niveau van vertrouwelijkheid, integriteit en beschikbaarheid.
  • Doelstellingen bepalen om het risico terug te brengen tot een aanvaardbaar niveau.
  • Criteria bepalen voor het accepteren van het risico.
  • Risico’s evalueren.

De risico-analyse wordt uitgevoerd conform ISO 31000 en ISO 27005. Deze normen geven richtlijnen om het risicomanagementproces goed te beschrijven en te borgen. Na deze fase is de organisatie zich bewust van de risico's en inzicht in prioriteiten van diverse beheersmaatregelen die nodig zijn.


ISMS opzetten

Het ISMS voorziet in een pakket van beheersmaatregelen die uit de risico-analsye naar voren zijn gekomen. Het ontwerp wordt op maat gemaakt en bevat onder andere de volgende elementen:

  • Fysieke beveiliging (bijv. sloten op deuren en kasten, brandbeveiliging, bezoekersregistratie)
  • Beveiliging van apparatuur (bijv. periodiek onderhoud, hergebruik en vernietiging van apparatuur, omgang met usb/telefoon/tablets/laptop)
  • Beveiliging van systemen (bijv. firewalls, toegangsbeveiliging, softwarebeveiligingsupdates)
  • Beveiliging van gegevens (bijv. clear desk & clear screen, gebruikersrechten)
  • Communicatie en medewerkersbewustzijn (bijv. introductie, beleid/reglement)

Het resultaat is een systeem dat aansluit bij de huidige praktijk en risico's. In het systeem is de PDCA-cyclus geïntegreerd. Het handboek informatiebeveiliging kan desgewenst in digitaal voor alle medewerkers beschikbaar worden gemaakt.

 

Implementatie en training

Het kwaliteitssysteem en de maatregelen worden geïmplementeerd door de organisatie zelf. Dit proces wordt door Nieuwhuis Consult begeleid. Om de implementatie te bespoedigen kan Nieuwhuis Consult trainingen verzorgen gericht op het vergroten van inzicht in informatiebeveiliging en bewustwording.

 

Verklaring van toepasselijkheid

De conformiteitsverklaring, ook wel Verklaring van Toepasselijkheid genoemd, zal worden opgesteld door het management van uw bedrijf. De Verklaring is het vertrekpunt voor de uiteindelijke certificering en mede bedoeld voor externe communicatiedoeleinden. 


Interne audit en verbeterproces

Nadat het ISMS is ingericht en de maatregelen zijn geïmplementeerd wordt de PDCA-cyclus gecontinueerd door het uitvoeren van interne audits. Op basis van de interne audits kunnen aanpassingen en verbeteringen worden doorgevoerd. De resultaten van de interne audits vormen samen met het risicomanagement de input voor de managementreview.


Certificeringsaudit

Nieuwhuis Consult organiseert de externe audit NEN 7510. Wij begeleiden de certificeringsaudit en bewaken dat deze goed verloopt. Resultaat is het NEN 7510 certificaat. Ook kan een verkorte TPM verklaring opgesteld worden, waarmee aan de eisen van Vecozo wordt voldaan.

 






Captcha Image

PDF PDF downloaden/ afdrukken

Bijpassende producten

ISO 27001 certificering

De norm ISO 27001 norm is dé standaard voor informatiebeveiliging. ISO 27001 certificering toont aan dat uw systeem gecertificeerd is op het gebied van informatiebeveiliging. Het ISO 27001 certificaat is het bewijs dat uw organisatie de nodige voorzorgsmaatregelen heeft genomen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang en bewerking.​