Nieuws

26 November 2019

NEN7510 certificering voor Zorgaanbieders

Zorginstellingen dienen sinds 15 December 2018 voldoen aan de NEN7510, NEN7512 en NEN7513 voldoen. Deze normen zijn opgenomen in het 'Besluit elektronische gegevensverwerking door zorgaanbieders'. De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving hiervan.

Ook IGJ hanteert deze normen wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig omgaan met persoonlijke gezondheidsinformatie. Het onvoldoende op orde hebben van de informatiebeveiliging is niet alleen een bedreiging van de privacy van patiënten, maar is ook een bedreiging op de beschikbaarheid, integriteit en vertrouwelijkheid van de informatiesystemen. Zonder alle informatie systemen kan de zorg in veel gevallen niet meer onverstoord doorgaan. Een ziekenhuis managet naast het 'horizontale proces' ook een complexe ICT organisatie. Bij inspectiebezoeken op het gebied van e-health verwacht IGJ dat de zorgaanbieder het resultaat kan laten zien van een recente onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging volgens NEN 7510-1:2017.

Het hebben van een onafhankelijk en onpartijdig auditrapport is dus zeer waardevol om aan IGJ aan te tonen of het Managementsysteem voor Informatiebeveiliging (ISMS) op orde is en voldoet aan de eisen van de NEN7510. Het hebben van een certificering is daarbij 'the proof of the pudding' aan alle stakeholders, belangrijk voor een maatschappelijk belangrijke organisatie.

NEN7510 accreditatie

DigiTrust heeft een licentieovereenkomst met NEN. zie: NEN website. Met het hebben van deze licentieovereenkomst verplichten de certificerende organisatie zich om het accreditatie proces op te starten, waarbij deze in principe binnen 1 jaar na publicatie van de NCS7510 (1/6/2019) moet afgerond zijn. Deze datum is inmiddels verlopen en de RvA staat maar beperkt uitstel toe. DigiTrust heeft als de specialist van Nederland mbt audits en certificering van Informatie beveiliging haar processen goed op orde en heeft daardoor dit accreditatie proces met de RvA als eerste succesvol doorlopen. Zie website RvA. Alle andere vermelde CI's zijn dus ook verplicht om alsnog op korte termijn dit proces met de RvA af te ronden. Lukt ze dit niet, dan mogen ze geen NEN7510-1:2017 audits en certificeringen meer uitvoeren. Ook niet zonder accreditatie. Het is dus voor zorginstellingen en IT dienstverleners zaak om op tijd maatregelen te treffen. Anders komen ze mogelijk in een situatie van een vervallen certificering.

Verder is vastgesteld dat certificaten, verstrekt door certificerende instellingen onder accreditatie voor NEN 7510-2011 editie, vervallen per 1 juni 2020. Het is zeer aannemelijk dat hebben van een NEN7510 certificering onder accreditatie meer waarde heeft voor IGJ en AP, omdat deze onder het toezicht van de RvA zijn uitgegeven.

De praktische invulling waarmee je rekening moet houden

Om te komen tot een NEN7510 certificering moet uiteraard worden voldaan aan deze norm. Echter dat is niet voldoende. Er is door de Raad voor Accreditatie een Specifiek Accreditatie- Protocol (SAP) opgesteld voor certificatie van managementsystemen voor informatiebeveiliging in de zorg volgens NEN 7510-1. (SAP-C025-NL) In dit protocol zijn er twee clusters vastgesteld;

  • Z-cluster : Zorginstellingen
  • B-cluster: Beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen

Binnen dit document zijn aanvullende eisen gesteld mbt de scope van het ISMS en de Verklaring van toepasselijkheid (VVT).

Meer informatie?