NEN 7510 voor de zorg
Wat is NEN 7510?
Informatiebeveiliging is belangrijk, zeker in de zorgsector waar medische en patiëntgegevens worden beheerd en uitgewisseld. U kunt vol vertrouwen zorg verlenen als uw informatie op de juiste wijze is beveiligd en deze veiligheid gewaarborgd is. Uw cliënten verwachten tenslotte dat u hun privacygevoelige informatie met uiterste zorg behandelt.
NEN 7510 'Medische informatica - Informatiebeveiliging in de zorg' is een Nederlandse norm (afgeleide van ISO 27001) die maatregelen beschrijft die zorginstellingen, én andere beheerders van persoonlijke gezondheidsinformatie, moeten nemen om op adequate wijze met patiëntgegevens om te gaan. De maatregelen zorgen dat informatiebeveiliging een gecontroleerd proces wordt. De beveiligingseisen gelden voor de informatie binnen de zorginstelling, en ook voor de informatie die organisaties onderling uitwisselen. Alle zorginstellingen, ongeacht omvang of aard van de bedrijfsprocessen, moeten voldoen aan de eisen vanuit de NEN 7510.
Onze NEN 7510-audit ondersteuning
2-Control bestaat uit een enthousiast team van geregistreerde IT-auditors (RE) die u op korte termijn kunnen beoordelen op de naleving van NEN 7510 door middel van een IT-audit. Een IT-audit is een manier om te laten zien dat u veilig omgaat met informatie aan de hand van maatregelen.
Wij zijn gespecialiseerd in het inschatten van risico's en het selecteren van passende beveiligingsmaatregelen en vervolgens aantoonbaar maken van de werking van deze maatregelen. Onze IT-auditors beschikken over ruime ervaring en expertise bij zorginstellingen.
Voordelen NEN 7510 voor uw organisatie
- U leert uw beveiligingsrisico's kennen waarop u vervolgens kunt inspelen.
- U krijgt een praktisch kader om uw informatiebeveiliging in te richten volgens de wettelijke eisen rond het Elektronisch Patiënten Dossier (EDP).
- U laat aan zorgverzekeraars en patiënten zien dat gegevens van patiënten bij u in goede handen zijn.
- De NEN 7510 helpt u het aantal beveiligingsincidenten te verminderen.
NEN7510 aanpak 2-Control
De IT-auditors van 2-Control kunnen een IT-audit uitvoeren tegen de NEN 7510. We doorlopen met u de volgende fasen:
- Pré-audit
Door eerst na te laten gaan in hoeverre uw systemen voldoen, krijgt u inzicht in maatregelen die u in ieder geval moet treffen. Wij kunnen deze pre-audit voor u uitvoeren. Onze IT-auditors brengen in kaart in hoeverre uw organisatie voldoet aan bepaalde normen. De uitkomst van de pre-audit geeft een duidelijk beeld van de maatregelen die u moet treffen om te voldoen aan de NEN 7510-normen. - Maatregelen treffen
Naar aanleiding van onze pré-audit voert u zelf de noodzakelijke maatregelen door om uw systemen beter te beschermen tegen misbruik van buitenaf. - Definitieve audit
Als de voorgaande fases zijn afgerond dan wordt de uiteindelijke audit uitgevoerd. - Rapportage
Wij leveren een duidelijk en helder assurance-rapport op met onze bevindingen en aanbevelingen. De rapportage betreft een voorgeschreven gestandaardiseerde rapportage. Dit format is in overleg met de beroepsgroep van de auditors (NOREA) tot stand gekomen.
Verschillen NEN 7510 en ISO 27001
- NEN 7510 en ISO 27001 zijn beide normen voor informatiebeveiliging. Alleen NEN 7510 is specifiek bedoeld voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie, terwijl ISO 27001 de algemene en internationaal geldende norm voor informatiebeveiliging is, ongeacht de branche waarin men actief is.
- NEN 7510 is gebaseerd op deze internationale norm en inhoudelijk lijken ze erg op elkaar. De NEN 7510 norm is in feite een uitbreiding op de eisen uit de ISO 27001 norm. De NEN 7510 kan gezien worden als een set aanvullende eisen waar organisaties werkzaam in de zorgsector aan moeten voldoen.
Binnen de NEN 7510 en ISO 27001 norm ligt heel veel ruimte voor organisaties om zelf in te richten hoe ze aan de eisen in de norm voldoen.
NEN 7510 en IT-serviceorganisaties
Bent u een leverancier van ICT-diensten aan zorgorganisaties, dan heeft u mogelijk ook toegang tot privacygevoelige informatie van patiënten. Uw klanten, de zorginstellingen, zullen daarom eisen dat u ook voldoet aan NEN 7510-normen. In de 'keten' zijn de zorginstellingen namelijk ook afhankelijk van uw mensen, middelen en processen. Samen met uw assurance-verklaring kan de zorginstelling aantonen dat zij voldoen aan NEN 7510.
Bij IT-serviceorganisaties komen we ook tot een assurance-verklaring, maar maken we gebruik van de handreiking van de NOREA inzake Service Organisatie Control (SOC2) rapporten. De SOC2 norm is een vorm van assurance specifiek gericht op IT-serviceorganisaties en geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zij normatief zouden moeten treffen ter beveiliging van de informatievoorziening. Om aan te sluiten bij de NEN 7510 wordt gebruik gemaakt van een mapping met de NEN 7510/ISO 27001 normen.