Wat is NEN 7510?

NEN 7510 ‘Medische informatica - Informatiebeveiliging in de zorg’ is een Nederlandse norm die maatregelen beschrijft die zorginstellingen moeten nemen om op adequate wijze met patiëntgegevens om te gaan.

De maatregelen zorgen ervoor dat informatiebeveiliging een gecontroleerd proces wordt en hebben betrekking op alle verschijningsvormen waarin cliëntgegevens zijn vastgelegd. De beveiligingseisen gelden voor de informatie binnen de zorginstelling, en ook voor de informatie die organisaties onderling uitwisselen.

Alle zorginstellingen, ongeacht omvang of aard van de bedrijfsprocessen, moeten voldoen aan NEN 7510. Lees meer hierover in Moet ik voldoen aan NEN 7510?

Maar omdat elke organisatie anders is, bestaat er niet één algemeen toepasbaar stelsel van maatregelen om informatiebeveiliging in te richten. Daarom moet elke organisatie een sluitend stelsel van beveiligingsmaatregelen op de eigen situatie vaststellen en toepassen.

Risicomanagement en risicoanalyse

Voor beveiliging is het beheersen van risico’s het belangrijkste principe. Risicomanagement is daarom een belangrijk onderdeel in de norm. Risicomanagement begint met het bepalen van de risico’s waaraan de organisatie bloot staat. Dat kan met de volgende stappen:

  • Benoem de bedreigingen en kwetsbaarheden binnen de organisatie
  • Schat in wat de gevolgen zijn als incidenten zich voor doen
  • Schat per bedreiging en kwetsbaarheid in hoe waarschijnlijk het is dat die tot een incident leidt.

De organisatie bepaalt of de risico’s aanvaardbaar zijn aan de hand van criteria die ze eerder heeft vastgesteld.

Beveiligingsmaatregelen

Om de risico’s te reduceren tot onder het aanvaardbare niveau zet de organisatie daarvoor geschikte beheersmaatregelen in. In de norm worden deze beveiligingsmaatregelen besproken in de volgende hoofdstukken:

  • beveiligingsbeleid
  • organisatie van de informatiebeveiliging
  • beheer van bedrijfsmiddelen
  • personeel
  • fysieke beveiliging en beveiliging van de omgeving
  • beheer van communicatie- en bedieningsprocessen
  • toegangsbeveiliging
  • verwerving, ontwikkeling en onderhoud van informatiesystemen
  • beheer van informatiebeveiligingsincidenten
  • bedrijfscontinuïteitsbeheer
  • naleving

Wat is een NEN-norm eigenlijk?

NEN 7510 is een NEN-norm. NEN-normen worden vastgelegd en uitgegeven door NEN, het Nederlands normalisatie-instituut. NEN bepaalt de normen niet. Normen zijn afspraken die belanghebbende partijen vrijwillig maken over een product, dienst of proces. NEN heeft een adviserende en faciliterende rol hierin.

De volledige naam van de norm is NEN 7510:2011, waarbij 2011 het jaar van verschijnen is. NEN 7510:2011 is de opvolger van NEN 7510 uit 2004. NEN 7510:2011 vervangt ook de uit drie delen bestaande NEN 7511 uit 2005. Met het verschijnen van NEN 7510:2015 zijn de volgende normen dus vervallen:

  • NEN 7510:2004
  • NEN 7511-1:2005
  • NEN 7511-2:2005
  • NEN 7511-3:2005

Wat is NEN 7512?

NEN 7512 is een uitwerking van NEN 7510 en is herzien in 2015. NEN 7512 gaat over de maatregelen die partijen moeten nemen bij uitwisseling van patiëntgegevens. Uitwisseling van gegevens is een essentieel onderdeel van vrijwel alle processen in de gezondheidszorg. Dit geldt zowel voor de primaire processen van behandeling en verzorging van een individuele patiënt als voor financiële afhandeling en de bedrijfsprocessen in een zorginstelling. De eisen die aan de uitwisseling van gegevens worden gesteld, verschillen per proces. NEN 7512 beschrijft eisen en maatregelen die nodig zijn en is gericht op de afspraken die betrokken partijen hierover zullen moeten maken.

Wat is NEN 7513?

Een andere uitwerking van NEN 7510 is NEN 7513 uit 2010. Deze norm heeft betrekking op logging - het vastleggen van acties - op elektronische patiëntendossiers.

Een elektronisch patiëntendossier omvat meestal gegevens die op verschillende tijdstippen, in verschillende systemen en door verschillende personen zijn vastgelegd, geraadpleegd of gewijzigd. NEN 7513 gaat over het vastleggen van dergelijke acties op elektronische patiëntendossiers (loggen). Door te loggen is het mogelijk de rechtmatigheid van de toegang tot het patiëntendossier te controleren. Dit waarborgt zowel de beveiliging van de data als de privacy van de patiënt.

NEN 7513 geeft zorgaanbieders aanwijzingen om te voldoen aan wettelijke verplichtingen rondom logging en levert ontwikkelaars van informatiesystemen een aantal eisen waaraan hun systemen moeten voldoen.

Wat is NTA 7515?

Zorginstellingen kunnen zich laten certificeren tegen NEN 7510. NTA 7515 beschrijft een toetsingskader voor certificering volgens NEN 7510. NTA 7515 is in 2016 herzien. Meer over NEN 7510-certificering leest u in Hoe raak ik gecertificeerd?

Wat is ISO 27001?

ISO 27001 is een internationale norm voor informatiebeveiliging. Deze norm is algemeen en niet specifiek voor zorginstellingen, maar bijvoorbeeld voor organisaties die financiële gegevens verwerken.