Nieuws

26 November 2019

NEN7510 certificering voor Zorgaanbieders

Zorginstellingen dienen sinds 15 December 2018 voldoen aan de NEN7510, NEN7512 en NEN7513 voldoen. Deze normen zijn opgenomen in het 'Besluit elektronische gegevensverwerking door zorgaanbieders'. De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving hiervan.

Ook IGJ hanteert deze normen wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig omgaan met persoonlijke gezondheidsinformatie. Het onvoldoende op orde hebben van de informatiebeveiliging is niet alleen een bedreiging van de privacy van patiënten, maar is ook een bedreiging op de beschikbaarheid, integriteit en vertrouwelijkheid van de informatiesystemen. Zonder alle informatie systemen kan de zorg in veel gevallen niet meer onverstoord doorgaan. Een ziekenhuis managet naast het 'horizontale proces' ook een complexe ICT organisatie. Bij inspectiebezoeken op het gebied van e-health verwacht IGJ dat de zorgaanbieder het resultaat kan laten zien van een recente onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging volgens NEN 7510-1:2017.

Het hebben van een onafhankelijk en onpartijdig auditrapport is dus zeer waardevol om aan IGJ aan te tonen of het Managementsysteem voor Informatiebeveiliging (ISMS) op orde is en voldoet aan de eisen van de NEN7510. Het hebben van een certificering is daarbij 'the proof of the pudding' aan alle stakeholders, belangrijk voor een maatschappelijk belangrijke organisatie.

NEN7510 accreditatie

DigiTrust heeft een licentieovereenkomst met NEN. zie: NEN website. Met het hebben van deze licentieovereenkomst verplichten de certificerende organisatie zich om het accreditatie proces op te starten, waarbij deze in principe binnen 1 jaar na publicatie van de NCS7510 (1/6/2019) moet afgerond zijn. Deze datum is inmiddels verlopen en de RvA staat maar beperkt uitstel toe. DigiTrust heeft als de specialist van Nederland mbt audits en certificering van Informatie beveiliging haar processen goed op orde en heeft daardoor dit accreditatie proces met de RvA als eerste succesvol doorlopen. Zie website RvA. Alle andere vermelde CI's zijn dus ook verplicht om alsnog op korte termijn dit proces met de RvA af te ronden. Lukt ze dit niet, dan mogen ze geen NEN7510-1:2017 audits en certificeringen meer uitvoeren. Ook niet zonder accreditatie. Het is dus voor zorginstellingen en IT dienstverleners zaak om op tijd maatregelen te treffen. Anders komen ze mogelijk in een situatie van een vervallen certificering.

Verder is vastgesteld dat certificaten, verstrekt door certificerende instellingen onder accreditatie voor NEN 7510-2011 editie, vervallen per 1 juni 2020. Het is zeer aannemelijk dat hebben van een NEN7510 certificering onder accreditatie meer waarde heeft voor IGJ en AP, omdat deze onder het toezicht van de RvA zijn uitgegeven.

De praktische invulling waarmee je rekening moet houden

Om te komen tot een NEN7510 certificering moet uiteraard worden voldaan aan deze norm. Echter dat is niet voldoende. Er is door de Raad voor Accreditatie een Specifiek Accreditatie- Protocol (SAP) opgesteld voor certificatie van managementsystemen voor informatiebeveiliging in de zorg volgens NEN 7510-1. (SAP-C025-NL) In dit protocol zijn er twee clusters vastgesteld;

  • Z-cluster : Zorginstellingen
  • B-cluster: Beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen

Binnen dit document zijn aanvullende eisen gesteld mbt de scope van het ISMS en de Verklaring van toepasselijkheid (VVT). Voor dit artikel ga ik in op de scope, VVT en aanvullende eisen op A18.1.1 en A18.1.4

Scope

De scope van het ISMS moet helder, compleet zijn mbt activiteiten, producten en diensten. Waarbij de eis is vastgesteld dat de scope van certificatie altijd de primaire gezondheidszorgprocessen van de zorginstelling omvatten. Ook moeten de belangrijkste uitbestede processen zijn vastgesteld. Zodat helder is wat wel en niet binnen de scope valt. Binnen de scope moeten dus de activiteiten, maar ook de daarbij gebruikte applicaties (mbt het verwerken van de persoonlijke gezondheidsinformatie) en beheerde systemen expliciet worden benoemd. Een zorginstelling gebruikt vaak honderden applicaties. Het vaststellen van een scope die uit meerdere regels of zelfs pagina's bestaat is dus daarvan het logische en juiste gevolg.

Verklaring van Toepasselijkheid

Verder zal de organisatie de zogenaamde Verklaring van Toepasselijkheid moeten uitbreiden. De NEN7510 eist dat in deze verklaring de rechtvaardiging van het opnemen van de benodigde beheersmaatregelen zijn vastgesteld, maar ook of ze wel of niet zijn geïmplementeerd en een rechtvaardiging voor het uitsluiten. Zoals al benoemd, heeft het SAP-C025 protocol van de RvA het volgende vastgesteld; "Daarom moet de scope van certificatie duidelijk maken welke activiteiten, producten of diensten betrekking hebbende op het beheer van persoonlijke gezondheidsinformatie zijn uitbesteed, waarbij de van toepassing zijnde beheersmaatregelen uit de ‘verklaring van toepasselijkheid’ van de auditee worden gespecificeerd" Om dit praktisch in te vullen kan de organisatie in de VVT een extra kolom toevoegen die gaat over welke beheersmaatregelen betrekking hebben op de, in de scope vastgestelde uitbestede processen. In de scope moet dan wel helder worden verwezen naar de VVT met deze uitsluitingen. Een volgende tekst kan daarvoor worden opgenomen “conform de verklaring van toepasselijkheid d.d. dag/mnd/jaar versie 1.0, waarin is gespecificeerd welke activiteiten, producten of diensten zijn uitbesteed.

Voldoen aan Wet- en regelgevingen

Bij een audit, onder accreditatie zal er extra worden gelet op het voldoen aan wet- en regelgeving. Zowel op de AVG maar ook op de zorg specifieke zoals bijvoorbeeld de WGBO, Wet BIG en Wkkgz. Iedere zorgsector, denk aan bijvoorbeeld Ziekenhuizen en Klinieken, Jeugd, Geestelijke gezondheidszorg, Huisartsen en Gehandicaptenzorg hebben specifieke wet- en regelgevingen waaraan moet worden voldaan. Tijdens een NEN7510 audit zal hierop steekproeven worden genomen.

Superhelden

DigiTrust is de eerste Nederlandse certificatie instelling die van de Raad voor Accreditatie het vertrouwen heeft gekregen om zorgaanbieders én IT-leveranciers onder accreditatie te auditen én certificeren. Om dit te kunnen doen moet je superheld zijn. Auditoren van DigiTrust nemen de context van uw zorginstelling als uitgangspunt. Immers iedere zorginstelling is toch weer anders. De auditoren van DigiTrust auditen scherp maar zonder stokpaardjes of meningen waar niemand op zit te wachten. Veelal horen we tijdens de audit van het MT en RvB dat het zélfs leuk gaan vinden door onze scherpe maar relevante vragen.

**DigiTrust draagt bij aan een wereld waar informatie veilig is**

Meer informatie?