DE 
NL 
EN 
Gesundheitseinrichtungen müssen seit dem 15. Dezember 2018 die Normen NEN7510, NEN7512 und NEN7513 einhalten. Diese Normen sind im "Erlass über die elektronische Datenverarbeitung durch Gesundheitsdienstleister" enthalten. Die Behörde für personenbezogene Daten (AP) überwacht die Einhaltung.
Die IGJ wendet diese Standards auch an, wenn die Qualität der Versorgung aufgrund eines unsicheren Umgangs mit personenbezogenen Gesundheitsdaten auf dem Spiel steht. Unzureichende Informationssicherheit ist nicht nur eine Bedrohung für die Privatsphäre der Patienten, sondern auch für die Verfügbarkeit, Integrität und Vertraulichkeit der Informationssysteme. In vielen Fällen kann die Versorgung ohne alle Informationssysteme nicht ununterbrochen fortgesetzt werden. Ein Krankenhaus verwaltet neben dem "horizontalen Prozess" eine komplexe IKT-Organisation. Bei Inspektionsbesuchen im Bereich e-Health erwartet die IGJ, dass der Gesundheitsdienstleister das Ergebnis einer kürzlich durchgeführten unabhängigen Bewertung des Informationssicherheitsmanagementsystems gemäß NEN 7510-1:2017 vorlegen kann.
Ein unabhängiger und unparteiischer Auditbericht ist also sehr wertvoll, um der IGJ nachzuweisen, dass das Informationssicherheitsmanagementsystem (ISMS) in Ordnung ist und die Anforderungen der NEN7510 erfüllt. Eine Zertifizierung ist somit für alle Beteiligten "der Beweis für die Richtigkeit", was für eine gesellschaftlich wichtige Organisation wichtig ist.
NEN7510-Akkreditierung
DigiTrust hat eine Lizenzvereinbarung mit NEN. siehe: NEN-Website und eine darauf basierende Akkreditierung bei der RvA. Mit dem Abschluss dieser Lizenzvereinbarung verpflichten sich alle zertifizierenden Organisationen, den Akkreditierungsprozess zu beginnen, der im Prinzip innerhalb eines Jahres nach Veröffentlichung der NCS7510 (1.6.2019) abgeschlossen sein sollte. Dieses Datum ist nun abgelaufen und das RvA erlaubt nur eine begrenzte Verschiebung. DigiTrust, der niederländische Spezialist für Audits und Zertifizierungen von Informationssicherheit, hat seine Prozesse in Ordnung gebracht und war daher der erste, der diesen Akkreditierungsprozess beim RvA erfolgreich durchlaufen hat. Siehe Website COA. Alle anderen aufgelisteten Zertifizierungsstellen sind daher ebenfalls verpflichtet, diesen Prozess mit der RvA in naher Zukunft abzuschließen. Tun sie dies nicht, dürfen sie keine Audits und Zertifizierungen nach NEN7510-1:2017 mehr durchführen. Für Gesundheitseinrichtungen und IT-Dienstleister ist es daher wichtig, rechtzeitig Maßnahmen zu ergreifen und die richtige Zertifizierungsstelle zu wählen. Andernfalls könnten sie sich in einer Situation wiederfinden, in der die Zertifizierung abgelaufen ist und von der Zertifizierungsstelle nicht verlängert werden kann und sollte. DigiTrust ist bereits seit November 2019 nach NEN7510:2017 akkreditiert und kann Ihnen dabei helfen, Ihre Re-Zertifizierungsaudits rechtzeitig zu planen und durchzuführen.
Ferner wurde festgestellt, dass Zertifikate, die von Zertifizierungsstellen im Rahmen der Akkreditierung für alt NEN 7510-2011 Ausgabe, die am 1. Juni 2020 ausläuft. Es ist sehr plausibel, dass eine NEN7510:2017-Zertifizierung im Rahmen der Akkreditierung für IGJ und AP von größerem Wert ist, da diese unter der Aufsicht der RvA ausgestellt werden.
Corona-Update: Aufgrund der Corona-Situation wurde die Gültigkeitsdauer der alten NEN7510:2011 um 6 Monate verlängert. Das bedeutet, dass die Zertifizierungen nach dieser Norm am 1. Dezember 2020 ablaufen werden.
Die praktischen Aspekte, die Sie berücksichtigen müssen
Um die NEN7510-Zertifizierung zu erhalten, muss diese Norm natürlich erfüllt werden. Das reicht jedoch nicht aus. Der Akkreditierungsrat hat ein spezifisches Akkreditierungsprotokoll (SAP) für die Zertifizierung von Managementsystemen für die Informationssicherheit im Gesundheitswesen nach NEN 7510-1 erstellt. (SAP-C025-NL) In diesem Protokoll wurden zwei Gruppen gebildet;
- Z-Cluster : Gesundheitseinrichtungen
- Cluster B: Verwalter personenbezogener Gesundheitsinformationen, die keine Gesundheitseinrichtungen sind
Innerhalb dieses Dokuments gibt es zusätzliche Anforderungen bezüglich des Geltungsbereichs des ISMS und der Erklärung zur Anwendbarkeit (VVT). Darüber hinaus müssen die Gesundheitsinformationsmanager eine nachweisbare Schnittstelle zur Gesundheitseinrichtung haben.
Wenden Sie sich an unsere Fachleute, die Ihnen weitere Informationen zu diesem Thema geben können
