Achtergrondinformatie over NEN 7510

De zorgsector is wezenlijk anders dan de andere sectoren en de Nederlandse zorg verschilt van die in andere landen. De toegevoegde waarde van een norm over informatiebeveiliging, speciaal voor de zorg- en welzijnssector, is daarom groot.

Bekijk de nieuwe norm!

NEN 7510 Informatiebeveiliging in de zorg is speciaal opgesteld voor de zorg- en welzijnssector en ‘spreekt’ de Nederlandse zorgtaal. De norm bevat een uitgebreide inleiding, die ingaat op specifiek Nederlandse context van wet- en regelgeving en actuele ontwikkelingen.

Wat is NEN 7510?

Doel informatiebeveiliging

Het handhaven van de vertrouwelijkheid, beschikbaarheid en integriteit (met inbegrip van authenticiteit, toerekenbaarheid en controleerbaarheid) van informatie is het overkoepelende doel van informatiebeveiliging.

Privacy van clienten

In de zorg is de privacy van cliënten afhankelijk van het handhaven van de vertrouwelijkheid van persoonlijke gezondheidsinformatie. Om deze vertrouwelijkheid te handhaven, moeten er ook maatregelen worden genomen voor het handhaven van de integriteit van gegevens, al was dat alleen maar vanwege het feit dat het mogelijk is de integriteit van toegangsbeveiligingsgegevens, audittrajecten en andere systeemgegevens dusdanig te corrumperen dat schendingen van de vertrouwelijkheid kunnen plaatsvinden en zelfs onopgemerkt kunnen blijven. Bovendien is de veiligheid van cliënten afhankelijk van het handhaven van de integriteit van persoonlijke gezondheidsinformatie; nalatigheid kan ziekte, letsel of zelfs de dood als gevolg hebben.

Belangrijkste voor ons is dat deze norm de medewerkers van een ziekenhuis bewust maakt van het onderwerp informatiebeveiliging en dat ze, ondersteund door werkprocessen en techniek, correct weten om te gaan met vertrouwelijke gegevens. Met informatiebeveiliging wordt gewaakt over patiëntgegevens en andere gevoelige bedrijfsinformatie, die voor de buitenwereld heel waardevol kan zijn.

Dennis Verschuuren, Operational Security Officer bij het Maasstad Ziekenhuis


Beschikbaarheid, integriteit en vertrouwelijkheid

Een hoog beschikbaarheidsniveau is ook een bijzonder belangrijk kenmerk van zorginformatiesystemen, waar behandelingen vaak tijdkritisch zijn. Het zou zo kunnen zijn dat juist het moment waarop zich rampen voordoen, die zouden kunnen leiden tot uitval van andere, nietgezondheidsgerelateerde IT-systemen, het moment is waarop de in zorginformatiesystemen vervatte informatie het hardst nodig is.

De mate waarin vertrouwelijkheid, integriteit en beschikbaarheid moeten worden beschermd is afhankelijk van de aard van de informatie, het beoogde gebruik ervan en de risico's waaraan deze informatie wordt blootgesteld. Zo is het bijvoorbeeld mogelijk dat statistische gegevens niet vertrouwelijk zijn, maar kan het beschermen van de integriteit ervan erg belangrijk zijn. Ook is het mogelijk dat audittrajectgegevens geen hoge beschikbaarheid vereisen (regelmatig archiveren met een terugvindtijd, gemeten in uren in plaats van seconden, zou voldoende zijn voor een bepaalde toepassing), maar dat de inhoud ervan zeer vertrouwelijk is. Met behulp van een risicobeoordeling kan op de juiste manier worden bepaald hoeveel inspanning er nodig is om de vertrouwelijkheid, integriteit en beschikbaarheid te beschermen. De resultaten van regelmatige risicobeoordeling moeten worden afgestemd op de prioriteiten en middelen van de implementerende organisatie.

Doelstellingen informatiebeveiliging

De volgende overwegingen ondersteunen de doelen van informatiebeveiliging in de zorg:

  • wettelijke verplichtingen vervat in de toepasselijke wet- en regelgeving inzake gegevensbescherming die het recht op privacy van een cliënt beschermt;
  • gevestigde best practices op het gebied van privacy en beveiliging binnen de gezondheidsinformatica handhaven;
  • de rekenschap van individuen en van organisaties onder zorginstellingen en zorgverleners handhaven;
  • de implementatie van stelselmatig risicomanagement binnen zorginstellingen ondersteunen;
  • aan de beveiligingsbehoeften voldoen die in alledaagse situaties in de zorg worden geïdentificeerd;
  • het vertrouwen van het publiek in zorginstellingen en de informatiesystemen waarop deze organisaties vertrouwen, handhaven;
  • de exploitatiekosten verlagen door intensiever gebruik van technologie op een veilige, beveiligde en goed gemanagede wijze mogelijk te maken, die de huidige gezondheidsactiviteiten ondersteunt, maar deze niet beperkt;
  • door professionele organisaties in de zorg vastgestelde professionele normen en ethiek handhaven (voor zover informatiebeveiliging de vertrouwelijkheid en integriteit van gezondheidsinformatie handhaaft);
  • elektronische zorginformatiesystemen gebruiken in een omgeving die op passende wijze tegen bedreigingen is beveiligd; en interoperabiliteit tussen zorginformatiesystemen mogelijk maken, aangezien er steeds meer gezondheidsinformatie wordt uitgewisseld tussen organisaties en buiten de grenzen van rechtsgebieden (met name aangezien die interoperabiliteit de juiste wijze van omgaan met gezondheidsinformatie.

De revisie leidt tot een opsplitsing van de norm: in deel één wordt het managementsysteem beschreven en in deel twee de beheersmaatregelen. Dat is een prima beschrijving om de norm helder te maken voor huisartsen.

Carinke Buiting, arts, IT’er en IT-auditor

De norm in twee delen

NEN 7510 - deel 1 Informatiebeveiligingsmanagementsysteem (ISMS)


Deel 1 is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Het invoeren van een managementsysteem voor informatiebeveiliging is voor een organisatie een strategische beslissing. Het vaststellen en implementeren van een managementsysteem voor informatiebeveiliging wordt beïnvloed door de behoeften en doelstellingen van de organisatie, de beveiligingseisen, de procedures die de organisatie toepast en de omvang en structuur van de organisatie.

Het managementsysteem voor informatiebeveiliging beschermt de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie door een risicobeheerproces toe te passen, en geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.
Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd is met de procedures van de organisatie en met de algehele managementstructuur, en dat informatiebeveiliging in aanmerking wordt genomen bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen. Er wordt van uitgegaan dat de implementatie van een managementsysteem voor informatiebeveiliging in omvang wordt afgestemd op de behoeften van de organisatie.

NEN 7510-1 kan worden gebruikt door interne en externe partijen om het vermogen van de organisatie te beoordelen om te voldoen aan de eigen informatiebeveiligingseisen.
De volgorde waarin de eisen in deze norm worden gepresenteerd, geeft niet de volgorde van belangrijkheid aan en impliceert niet de volgorde waarin ze moeten worden geïmplementeerd. De nummering van de lijstitems dient alleen referentiedoeleinden.



NEN 7510 - deel 2 beheersmaatregelen voor informatiebeveiliging


NEN 7510-2 voorziet in richtlijnen voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie over hoe men het beste de vertrouwelijkheid, integriteit en beschikbaarheid van dergelijke informatie kan beschermen.

Met de aanvulling met NEN-EN-ISO 27799 gaat deze norm in op de speciale behoeften op het gebied van informatiebeveiliging van de gezondheidssector en de unieke werkomgevingen van deze sector. Terwijl de bescherming en beveiliging van persoonlijke informatie belangrijk is voor alle personen, bedrijven, instellingen en overheden, gelden er speciale eisen in de gezondheidssector waaraan moet worden voldaan om de vertrouwelijkheid, integriteit, controleerbaarheid en beschikbaarheid van persoonlijke gezondheidsinformatie zeker te stellen. Het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van gezondheidsinformatie vereist daarom gezondheidssectorspecifieke expertise.

‘De grootste verandering is de opbouw van de norm, die is nu meer geclusterd. Het is eigenlijk een stukje optimalisatie. We zijn absoluut niet opeens een hele andere richting in gegaan’

Robert van Vianen, partner cybersecurity & privacy van adviesbureau BDO

Relatie met wet- en regelgeving

Verschillende wet- en regelgeving heeft aanknopingspunten met NEN 7510-1 en NEN 7510-2. Het aantal regels neemt toe en de regels worden internationaler van aard. Hieronder volgt een niet-limitatieve opsomming van de belangrijkste wet- en regelgeving met een relatie naar deze
normen.

Wet bescherming persoonsgegevens (Wbp) en Algemene verordening gegevensbescherming (AVG)

De Nederlandse Wbp en de Europese AVG verplichten organisaties te zorgen voor een adequate beveiliging van persoonsgegevens. In art. 13 van de Wbp is vastgesteld dat passende technische en organisatorische maatregelen moeten worden getroffen voor de beveiliging van persoonsgegevens. Art. 13 Wbp kan op passende wijze worden ingevuld door te voldoen aan de bestaande (Nederlandse en internationale) normen voor informatiebeveiliging. Voor zorginstellingen en andere organisaties die persoonlijke gezondheidsinformatie verwerken, betreft het onder andere NEN 7510-1 en NEN 7510-2, NEN 7512 en NEN 7513. Als een zorginstelling de in deze normen aangegeven maatregelen heeft getroffen, wordt daarmee vastgesteld dat de instelling voldoet aan de genoemde wettelijke bepaling. Er zal daarnaast moeten worden afgewogen welke aanvullende maatregelen eventueel nodig zijn in verband met de bijzonderheden en risico’s van de verwerking van persoonsgegevens.

De wet introduceert ook een meldplicht voor gegevenslekken in de Wbp. De introductie van deze meldplicht in de Wbp loopt vooruit op de Europese AVG, waarin naar verwachting met ingang van 2018 een vergelijkbare verplichting zal worden opgenomen.

Wet cliëntenrechten bij elektronische verwerking van gegevens

De Wet cliëntenrechten bij elektronische verwerking van gegevens 11) schept aanvullende randvoorwaarden voor het eventuele gebruik van een elektronisch uitwisselingssysteem door zorginstellingen en is een wijziging op de Wet gebruik BSN in de zorg. Deze wet is een aanvulling op onder andere de Wbp/AVG, de WGBO, de Wet gebruik burgerservicenummer in de zorg (Wbsn-z), de Wet marktordening gezondheidszorg (Wmg) en de Zorgverzekeringswet (Zvw).

Zeer relevant is de AMvB die op basis van deze wet per 1 juli 2017 in werking zal treden: Het Besluit elektronische gegevensverwerking door zorgaanbieders verwijst dwingend naar NEN 7510, NEN 7512 en NEN 7513. Dit betekent dat wanneer een zorginstelling de in NEN 7510, NEN 7512 en NEN 7513 aangegeven maatregelen heeft getroffen, ervan uit mag worden gegaan dat deze ‘passende technische en organisatorische maatregelen’ heeft getroffen, als bedoeld in art. 13 Wbp.

Voor zorgverleners geldt in het kader van de verwerking van het burgerservicenummer al de verplichting te voldoen aan NEN 7510 en NEN 7512. Het voldoen aan deze normen is destijds verplicht gesteld naar aanleiding van het advies van het CBP (sinds 1 januari 2016 in het maatschappelijk verkeer aangeduid als de Autoriteit Persoonsgegevens) om te zorgen voor eenduidige beveiligingsnormen door dwingend te verwijzen, omdat die normen van belang zijn voor de standaardisatie en samenwerking tussen instellingen en de mogelijkheden bevorderen om goed toezicht te houden op een ‘passende beveiliging’ als bedoeld in art. 13 Wbp. Ook in het kader van het wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens (kamerstukken 33 509) heeft de AP geadviseerd deze normen dwingend voor te schrijven in deze AMvB op grond van art. 26 Wbp.

Wet op de geneeskundige behandelovereenkomst (WGBO)

De WGBO (BW-boek 7, afdeling 5, art. 446-468), omtrent rechten en plichten voor zowel hulpverlener als cliënt, is van toepassing op het verwerken van gegevens door de zorginstelling die de hulpverlener in het kader van de behandeling van de cliënt heeft verkregen. Die wet verplicht hem de noodzakelijke gegevens vast te leggen in zijn dossier over de cliënt. Via de Wbp is een zorginstelling ook verplicht de gegevens van haar cliënten in het dossier adequaat te beschermen. Die verplichting kan worden ingevuld door NEN 7510-1 en NEN 7510-2 als uitgangspunt te hanteren.

Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)

De Wet BIG is van toepassing op het bevorderen en bewaken van de kwaliteit in de gezondheidszorg door de onderverdeling van beroepen in drie groepen, waarvan art. 3-beroepen in het BIG-register staan en onder het complete tuchtrecht vallen.

Wet kwaliteit, klachten en geschillen zorg (Wkkgz)

De Wkkgz verplicht de zorginstelling tot het verlenen van goede zorg die veilig, doeltreffend, doelmatig en cliëntgericht is (art. 2) en te zorgen voor systematische bewaking, beheersing en verbetering van de kwaliteit van de zorg (art. 7).

Wet cliëntenrechten zorg (Wcz)

De Wcz is een samenvoeging van regels omtrent de rechten van cliënten en de bijbehorende verplichtingen voor zorginstellingen: o.a. recht op goede zorg, keuze-informatie, informatie, toestemming, dossiervorming, bescherming van de persoonlijke levenssfeer, effectieve en laagdrempelige klachten- en geschillenregeling, medezeggenschap, goed bestuur en toezicht en maatschappelijke verantwoording. Goede zorgverlening vraagt van de zorginstelling dat zij bijhoudt wat er met de cliënt is besproken en welke behandeling er is gegeven. De Wcz geeft de cliënt dan ook het recht op een dossier en verplicht de zorginstelling dus om dit aan te leggen. De cliënt heeft recht op inzage en op een afschrift van zijn dossier. Het dossier moet twintig jaar bewaard worden, tenzij de cliënt het eerder wil laten vernietigen. Deze bepalingen zijn met enige wijzigingen overgenomen uit de WGBO. In de WGBO is ook de bescherming van de persoonlijke levenssfeer (‘privacy’) geregeld. Dit is overgenomen in de Wcz. Onder bescherming van de persoonlijke levenssfeer vallen de geheimhoudingsplicht van de zorginstelling en haar medewerkers en het recht van de cliënt op privacy tijdens de zorgverlening.

Relatie NEN 7512 en 7513

Binnen de zorg worden gegevens in toenemende mate uitgewisseld tussen betrokken partijen. Dit geldt voor zowel de primaire processen van behandeling en verzorging van een individuele cliënt als de financiële afhandeling en de bedrijfsprocessen in een zorginstelling. Voorbeelden zijn: het versturen van aanvragen en uitslagen van laboratoriumbepalingen tussen een zorginstelling en een extern laboratorium, inzage van een cliënt in zijn eigen elektronisch patiëntdossier via een portaal en het versturen van een ontslagbrief van een specialist aan een huisarts.

NEN 7512

NEN 7512 heeft betrekking op de elektronische communicatie in de zorg, en wel tussen zorgverleners en zorginstellingen onderling, met patiënten en cliënten, met zorgverzekeraars en met andere partijen die bij de zorg zijn betrokken. Vanuit de wet- en regelgeving worden er eisen gesteld aan de beveiliging van deze gegevensuitwisseling. Deze eisen verschillen per proces. NEN 7512 beschrijft het proces om te komen tot een goede risicobeoordeling voor gegevensuitwisseling.

NEN 7513

NEN 7513 stelt eisen aan de registratie van gegevens rond de toegang tot elektronisch vastgelegde persoonlijke gezondheidsinformatie bij een zorginstelling of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt. In het kader van deze norm wordt deze totale verzameling aangeduid als: ‘het elektronisch patiëntdossier’.



NEN 7513 beschrijft de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot het elektronisch patiëntdossier, die controle van de rechtmatigheid ervan
mogelijk maakt. NEN 7513 beschrijft daartoe de gebeurtenissen die moeten worden gelogd en welke gegevens van die gebeurtenissen moeten worden vastgelegd. NEN 7513 beschrijft niet alleen de eisen met betrekking tot de acties van de toegang zelf, maar ook de acties rond het inrichten en beheren van de (autorisatie)structuur.

Relatie NEN 7510, NEN 7512 en NEN 7513

NEN 7513 is daarmee ook een uitwerking van wat NEN 7510-2 voorschrijft voor zover het gaat om de verplichting om gebeurtenissen in elektronische patiëntdossiers te loggen en deze te beheren en te beveiligen.

NEN 7513 schrijft in – in aanvulling op NEN 7510-2 – ook voor dat de in de logbestanden vastgelegde gegevens onweerlegbaar zijn en schrijft voor hoe dit moet worden bereikt. NEN 7513 schrijft voor hoelang logbestanden minimaal en maximaal moeten worden bewaard. NEN 7513 geeft aanwijzingen over de te gebruiken templates van de logging voor cliënten en zorginstellingen, conform wettelijke kaders.

De Nederlandse toezichthouders als IGZ en AP hanteren NEN 7510 bij toetsen op en informeren over wat ‘passende’ beveiliging precies inhoudt. Het raamwerk NEN 7510 wordt specifiek voor de Nederlandse aangevuld met de Nederlandse normen NEN 7512 en NEN 7513.

OVER DE NORMCOMMISSIE

Normcommissie Informatievoorziening in de zorg

De normcommissie bevordert de ontwikkeling en adoptie van normen op het gebied van informatievoorziening in de zorg op basis van Europese (CEN) en mondiale (ISO) ontwikkelingen. Het belangrijkste doel is het volgen van internationaal werk en het toepasbaar maken van internationale normen in de Nederlandse situatie. Secundair is het ontwikkelen van Nederlandse normen.

Vragen?

Voor meer informatie of als u zich wilt aanmelden als normcommissielid. Neem contact op met Kars Jansen via telefoonnummer: (015) 2 690 264 of per e-mail.

Terug naar webpagina 'Alles over NEN 7510'