NEN7510 voor ICT dienstverlening wanneer wel en niet?
ICT organisaties die diensten leveren aan zorgaanbieders, daaraan wordt vaak geeist dat ze aan de NEN7510-1:2017 moeten voldoen. Maar is deze vraag wel juist en kan iedere ICT leverancier gecertificeerd worden op deze norm? Dit is een vraag die wij vaak krijgen en daarover dit nieuwsartikel. Een ICT leverancier die diensten levert aan een zorginstelling kan alleen een NEN7510 certificering behalen indien ze ook daadwerkelijk persoonlijke gezondheidsinformatie verwerken.
De definitie volgens ‘handboek soldaat’ uit de NEN7510 is; Informatie over een identificeerbare persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie, waaronder ook begrepen kan worden:
a) informatie over de registratie van de persoon voor de verlening van zorgdiensten;
b) informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
c) een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
d) alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
e) informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof, en
f) identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.
Een ICT dienstverlener kan dus alleen NEN7510 gecertificeerd worden indien ze dus persoonlijke gezondheidsinformatie verwerken. Maar wat is verwerken dan?
Hier heeft de AVG in artikel 4 uitleg aan gegeven. De AVG beschrijft; een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
De RvA heeft in een separaat document (SAP-C025) eisen gesteld aan de ICT dienstverlener die gezondheidsinformatie beheren. Er moet een interface zijn met de zorginstelling. dit om te voorkomen dat organisaties die dus helemaal geen gezondheidsinformatie verwerken toch gecertificeerd willen worden. Voor deze organisaties is de ISO27001 van toepassing. Verder stelt de SAP-C025 dat in de Verklaring van Toepasselijkheid de interfaces moet vermelden. Kan een organisatie dat niet, dan blijkt daaruit vanzelf dat ze dus niet gecertificeerd kunnen worden voor de NEN7510. Het uitsluiten van vele zorg-specifieke maatregelen is dus niet mogelijk.
Conclusie; belangrijk is dus dat de ICT dienstverlener verwerker is van de persoonlijke gezondheidsinformatie. Het alleen opslaan en opslaan geeft dus al een interface. Verder moet de scope duidelijk maken welke activiteiten, producten en diensten betrekking hebben op het beheer van persoonlijke gezondheidsinformatie en welke zijn uitbesteed. De VVT moet bij iedere beheersmaatregel vermelden of deze te maken heeft met de interface.
DigiTrust is actief deelnemer van het NEN overleg platform en was in 2019 als eerste Certificerende Instelling geaccrediteerd op zowel het Zorg als ICT cluster. We hebben dus veel ervaring en kennis in huis.
De DigiTrust back-office kan u altijd nadere informatie leveren. Ook een gratis gesprek met een ervaren lead-auditor is bij ons altijd mogelijk. We hebben korte communicatielijnen en staan mbt bovenstaande eisen altijd klaar voor nadere informatie.
