Vraag & Antwoord

Op deze pagina treft u een overzicht van veelgestelde vragen en antwoorden over informatiebeveiliging in de zorg. De vragen zijn ingedeeld in drie categorieën: algemeen, normen en certificatie.

Voor het stellen van een vraag dient u ingelogd te zijn.
  • Is het gebruik van NEN 7510 verplicht?

    NEN 7510 wordt genoemd in artikel 2 van de AMvB die behoort bij de Wet voor het gebruik van het BSN in de zorg. Hierdoor heeft NEN 7510 een verplichtend karakter. De verplichting voor de zorginstellingen bestaat uit het feit dat bij het leveren van verantwoorde zorg de patiëntgegevens op adequate wijze moeten worden beveiligd en
    NEN 7510 hiervoor een aangewezen middel kan zijn. Informatiebeveiliging valt daarmee onder het toezicht van de Inspectie Gezondheidszorg en Jeugd (IGJ). IGJ neemt NEN 7510 ter hand bij het toetsen of zorginstellingen de juiste maatregelen treffen voor het invoeren en handhaven van adequate informatiebeveiliging.​

  • Kunnen niet zorg-instellingen zich laten certificeren tegen NEN 7510?

    De primaire doelgroep van NEN 7510 zijn zorginstellingen. Zij kunnen zich laten certificeren tegen NEN 7510. Maar toeleveranciers die met patiënteninformatie te maken hebben, kunnen zich ook laten certificeren tegen NEN 7510. Als deze toeleveranciers eveneens te maken hebben met andersoortige informatie, zoals financiële gegevens, dan kunnen zij zich ook nog laten certificeren tegen ISO 27001 'Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor informatiebeveiliging - Eisen'.

    NEN 7510 en ISO 27001 gaan dus beide over informatiebeveiliging. De reikwijdte van certificatie wordt bepaald door het type informatie: wel of niet zorggerelateerd. Afhankelijk van het type informatie waar toeleveranciers mee te maken hebben, kunnen zij zich dus tegen NEN 7510 en/of ISO 27001 laten certificeren.

  • Wat betekent dat de norm NEN 7510 onder accreditatie staat?

    Dat betekent dat de toetsing tegen deze norm onder accreditatie plaatsvindt. Toetsing onder accreditatie is gebonden aan een aantal strikte regels. Alleen een onafhankelijke certificerende instelling mag de certificering uitvoeren. Daarnaast mag deze certificerende instelling geen adviserende rol hebben in de te toetsen organisatie. De certificerende instelling staat onder toezicht van de Raad voor Accreditatie. Deze controleert of de certificerende instelling certificeringen volgens de regels uitvoert. De Raad voor Accreditatie baseert zich daarbij ook op internationale regelgeving.

  • Moet in gebruik genomen software gecertificeerd zijn tegen NEN 7510?

    Nee, het is de zorginstelling die aan NEN 7510 moet voldoen. Zij stelt een pakket van eisen samen en legt dit voor aan de softwareleverancier. De leverancier moet via specificaties kunnen aantonen dat hij voldoet aan de gestelde eisen.

    Software die is geïntegreerd in een medisch hulpmiddel, moet voldoen aan de eisen van de Richtlijn medische hulpmiddelen (93/42/EEG). De fabrikant van een medisch hulpmiddel bepaalt door de ‘intended use' van het medisch hulpmiddel te benoemen, in welke risicoklasse zijn product valt. Indien de software is geïntegreerd in het medisch hulpmiddel, dan valt deze software onder dezelfde risicoklasse als het medisch hulpmiddel. Stand-alone software wordt beschouwd als een actief medisch hulpmiddel, wat een risicoklasse I product is (bijlage IX van de richtlijn).

  • Hoe bepaalt een zorginstelling in hoeverre NEN 7510 op haar organisatie van toepassing is?

    NEN 7510 beschrijft een set maatregelen dat zorginstellingen moeten treffen om via een gecontroleerd proces op adequate wijze met (medische) gegevens om te gaan. De norm is van toepassing op alle organisaties in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces.

    Met een nulmeting kunt u bepalen in hoeverre uw organisatie bewust is van informatiebeveiliging en eventueel al voldoet aan de gestelde eisen. Hierna kan uw organisatie op basis van een risicoanalyse vaststellen welke risico's prioriteit moeten hebben en wat de te nemen maatregelen zijn. Het staat de verantwoordelijke vrij om te bepalen hoever deze wil gaan met de invoering en handhaving van de maatregelen en eventueel externe toetsing hierop (certificatie).

  • Wie is verantwoordelijk voor de informatiebeveiliging in de zorg?

    De complexiteit van informatiebeveiliging in de zorgsector blijkt duidelijk uit de veelheid van partijen en disciplines, het netwerk van zorginstellingen en andere belanghebbenden die een rol spelen in het verzamelen, opslaan, verwerken en transporteren van gegevens. Elke organisatie in de zorg heeft haar eigen verantwoordelijkheid voor het beveiligen van patiëntgegevens die onder haar hoede worden vastgelegd.

    Communicatie tussen partijen in de zorg moet worden gezien als (een deel van) een proces, zodat duidelijk is bij wie de verantwoordelijkheid voor dat (deel)proces ligt. Daarbij kunnen taken worden gedelegeerd aan derden, kunnen er vormen van samenwerking zijn en kunnen er afspraken zijn over de regels die worden gebruikt bij de onderlinge communicatie.

  • Wat zijn de kosten van het certificatietraject?

    In NTA 7515 ‘Conformiteitsbeoordeling ‑ Eisen voor instellingen die audits ten behoeve van certificatie van informatiebeveiligingsmanagementsystemen in de zorg uitvoeren’ staan richtlijnen voor de wijze van toetsing en de auditordagen. Prijsopgaven van certificatietrajecten kunnen worden opgevraagd bij de aangesloten certificerende instellingen.

  • Wat is een geavanceerde elektronische handtekening en is zo’n handtekening wel veilig?

    Voor een 'gewone' elektronische handtekening gelden de volgende eisen:

    • Ze moet op een unieke wijze aan de ondertekenaar zijn verbonden.
    • De ondertekenaar moet kunnen worden geïdentificeerd.
    • Ze moet tot stand komen met middelen die de ondertekenaar onder zijn controle kan houden.
    • Elke wijziging van de gegevens moet kunnen worden opgespoord.

    De geavanceerde elektronische handtekening gaat nog een stap verder. Ze moet zijn gebaseerd op een gekwalificeerd certificaat en zijn gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen, conform de Europese richtlijn 1999/91/EG.

  • Wat is de relatie tussen NEN 7510, NEN 7512 en NEN 7513?

    NEN 7510 is een managementsysteemnorm die een kader stelt voor het organiseren en borgen van informatiebeveiliging binnen een zorginstelling of toeleverancier. NEN 7512 en NEN 7513 zijn aanvullingen op (specifieke eisen uit) NEN 7510.

  • Tegen welke norm kan ik me laten certificeren?

    Zorginstellingen kunnen zich tegen NEN 7510 laten certificeren. De zorginstelling bepaalt zelf de reikwijdte van het te behalen certificaat. Dit kan bijvoorbeeld worden beperkt tot een specifieke afdeling en/of proces.

    Het is niet mogelijk om tegen NEN 7512 en NEN 7513 te certificeren. Deze normen zijn uitwerkingen van en toevoegingen op NEN 7510.

  • Naast NEN 7510 wordt gebruikgemaakt van de voorschriften voor een Goed Beheerd Zorgsysteem zoals gedefinieerd door NICTIZ. Is dit dubbelop?

    Voor de kwalificatie van een Goed Beheerd Zorgsysteem (GBZ) wordt ervan uitgegaan dat iedere zorgaanbieder voldoet aan de gestelde wetten, regelgeving en normen. Toezicht en toetsing hiervan blijft belegd bij de daartoe bevoegde toezichthoudende instanties.

    Een toetsing aan alle eisen uit NEN 7510 vormt geen onderdeel van de GBZ-kwalificatie. In de praktijk blijkt een aantal concrete eisen voor een GBZ overeen te komen met een deel van de normen uit NEN 7510, waarmee NEN 7510 en het programma van eisen GBZ elkaar voor een deel dus overlappen.

    Meer informatie over GBZ is te vinden op www.nictiz.nl.

  • Is NEN 7510 ook op een gehandicaptenzorginstelling van toepassing?

    Indien uw zorginstelling patiëntgegevens verwerkt, dan moet uw organisatie voor adequate informatiebeveiliging zorgen. NEN 7510 geeft hiertoe een kader, maar is niet verplicht. De norm adviseert zorgorganisaties een risico-inventarisatie en -analyse uit te voeren en op basis daarvan maatregelen vast te stellen, in te voeren en te borgen.

    Indien uw zorginstelling gebruikmaakt van burgerservicenummers, dan moet uw organisatie zich houden aan de Wet bescherming persoonsgegevens (Wbp). Het beveiligen van persoonsgegevens is op basis van deze wet verplicht.

  • Is certificatie verplicht?

    Nee. Met een certificaat toont de zorginstelling aan dat ze, voor de vastgestelde reikwijdte van de certificatie, de geïdentificeerde risico's op een aanvaardbaar niveau heeft gebracht en geborgd.