Zorginstellingen dienen sinds 15 December 2018 voldoen aan de NEN7510, NEN7512 en NEN7513 voldoen. Deze normen zijn opgenomen in het ‘Besluit elektronische gegevensverwerking door zorgaanbieders’. De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving hiervan.
Ook IGJ hanteert deze normen wanneer de kwaliteit van zorg in het geding is als gevolg van het onveilig omgaan met persoonlijke gezondheidsinformatie. Het onvoldoende op orde hebben van de informatiebeveiliging is niet alleen een bedreiging van de privacy van patiënten, maar is ook een bedreiging op de beschikbaarheid, integriteit en vertrouwelijkheid van de informatiesystemen. Zonder alle informatie systemen kan de zorg in veel gevallen niet meer onverstoord doorgaan. Een ziekenhuis managet naast het ‘horizontale proces’ ook een complexe ICT organisatie. Bij inspectiebezoeken op het gebied van e-health verwacht IGJ dat de zorgaanbieder het resultaat kan laten zien van een recente onafhankelijke beoordeling van het managementsysteem voor informatiebeveiliging volgens NEN 7510-1:2017.
Het hebben van een onafhankelijk en onpartijdig auditrapport is dus zeer waardevol om aan IGJ aan te tonen of het Managementsysteem voor Informatiebeveiliging (ISMS) op orde is en voldoet aan de eisen van de NEN7510. Het hebben van een certificering is daarbij ’the proof of the pudding’ aan alle stakeholders, belangrijk voor een maatschappelijk belangrijke organisatie.
NEN7510 accreditatie
DigiTrust heeft een licentieovereenkomst met NEN. zie: NEN website en een accreditatie daarop bij de RvA. Met het hebben van deze licentieovereenkomst verplichten alle certificerende organisatie zich om het accreditatie proces op te starten, waarbij deze in principe binnen 1 jaar na publicatie van de NCS7510 (1/6/2019) moet afgerond zijn. Deze datum is inmiddels verlopen en de RvA staat maar beperkt uitstel toe. DigiTrust heeft als de specialist van Nederland mbt audits en certificering van Informatie beveiliging haar processen goed op orde en heeft daardoor dit accreditatie proces met de RvA als eerste succesvol doorlopen. Zie website RvA. Alle andere vermelde CI’s zijn dus ook verplicht om alsnog op korte termijn dit proces met de RvA af te ronden. Lukt ze dit niet, dan mogen ze geen NEN7510-1:2017 audits en certificeringen meer uitvoeren. Het is dus voor zorginstellingen en IT dienstverleners zaak om op tijd maatregelen te treffen en te kiezen voor de juiste certificerende instelling. Anders komen ze mogelijk in een situatie van een vervallen certificering, die door de CI niet meer kan en mag worden verlengd. DigiTrust heeft de accreditatie op de NEN7510:2017 al sinds november 2019 en kan u helpen om op tijd uw her-certificering audits in te plannen en te realiseren.
Verder is vastgesteld dat certificaten, verstrekt door certificerende instellingen onder accreditatie voor op oude NEN 7510-2011 editie, vervallen per 1 juni 2020. Het is zeer aannemelijk dat het hebben van een NEN7510:2017 certificering onder accreditatie meer waarde heeft voor IGJ en AP, omdat deze onder het toezicht van de RvA zijn uitgegeven.
Corona update: door de corona situatie is de verval periode van de oude NEN7510:2011 met 6maanden verlengd. Dit betekend dat certificeringen op deze norm komen te vervallen per 1 december 2020.
De praktische invulling waarmee je rekening moet houden
Om te komen tot een NEN7510 certificering moet uiteraard worden voldaan aan deze norm. Echter dat is niet voldoende. Er is door de Raad voor Accreditatie een Specifiek Accreditatie- Protocol (SAP) opgesteld voor certificatie van managementsystemen voor informatiebeveiliging in de zorg volgens NEN 7510-1. (SAP-C025-NL) In dit protocol zijn er twee clusters vastgesteld;
- Z-cluster : Zorginstellingen
- B-cluster: Beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen
Binnen dit document zijn aanvullende eisen gesteld mbt de scope van het ISMS en de Verklaring van toepasselijkheid (VVT). Verder moeten beheerders van de gezondheidsinformatie aantoonbaar een interface hebben met de zorginstelling.
Neem contact op met onze specialisten, die u hierover meer informatie kunnen geven
