NEN-7510 ondersteuning
Binnen de zorg zijn vele duizenden instellingen die bijzondere persoonsgegevens verwerken in de vorm van medische dossiers. Denk bijvoorbeeld aan huisartsen, tandartsen, apotheken, fysiotherapeuten, zorggroepen, enzovoort. Zorginstellingen moeten voldoen aan de NEN7510-norm wanneer zij het BSN van patiënten verwerken en gebruik maken van een zorginformatiesysteem en/of een elektronisch uitwisselingssysteem.
Op grond van de Regeling Gebruik BSN in de zorg en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) dienen zorgaanbieders bij het verwerken van het BSN van patiënten te voldoen aan NEN7510. NEN 7510 is daardoor de informatiebeveiligingsnorm die wettelijk verplicht is voor de gehele zorgsector in Nederland. Iedereen die met bijzondere persoonsgegevens werkt, dus ook kleine praktijkhouders, moet aantoonbaar aan deze norm voldoen. Het blijkt echter vaak niet haalbaar om meer dan 100 maatregelen in te voeren. Het is voor kleine zorginstellingen onmogelijk te voldoen aan dezelfde eisen als ziekenhuizen of grote zorginstellingen, die wel beschikken over een uitgebreide staf om dit op te kunnen pakken.
Stichting Privacyzorg heeft daarom een pragmatisch managementsysteem voor uw informatiebeveiliging ontwikkeld om ook kleine zorginstellingen te ontzorgen met het aantoonbaar voldoen aan de verplichtingen uit NEN7510*. Ook kunt u met onze kant-en-klare procedures eenvoudig de vereiste maatregelen borgen binnen uw organisatie.
*U kunt volledige ondersteuning krijgen bij het aantoonbaar voldoen aan NEN7510 indien u een 'Basis Plus' of hoger abonnement heeft.
Met ons zelf ontwikkelde "Informatie Beveiliging Management Systeem (IBMS)" pak je NEN7510 snel op en word je effectief ondersteund. Zo helpen wij zorgverleners om de informatiebeveiliging op orde te krijgen en worden problemen voorkomen.
NEN-templates
Zorgverleners worden ondersteund met alle benodigde templates, zoals bijvoorbeeld voor informatiebeveiligingsbeleid, autorisatiebeleid en standaard uitgewerkte procedures en werkinstructies. Ook kunnen de toepasselijke NEN-normen gemakkelijk teruggevonden worden in ons Document informatiesysteem.
BIV-classificatie
De essentie van de NEN7510 norm is het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie (BIV). In het kort is de BIV-classificatie een hulpmiddel om voor uw informatiesystemen te bepalen welke risico’s aanvaardbaar zijn en voor welke risico’s passende technische en organisatorische maatregelen genomen moeten worden.
Het belang van BIV-classificatie komt als volgt tot uiting:
- Zonder beschikbaarheid van gegevens is zorg niet mogelijk.
- Er wordt verkeerde zorg geleverd wanneer de gegevens niet kloppen.
- Wanneer gegevens in verkeerde handen vallen kan identiteitsfraude of imagoschade het gevolg zijn.
Wanneer we het hebben over de NEN7510 contextanalyse, dan hebben we het over de ‘context’ van een organisatie, ofwel de omgeving waarin de organisatie zich bevindt en haar betekenis krijgt.
In NEN7510 is beschreven dat een organisatie interne en externe issues moet vaststellen die relevant zijn voor haar doelstelling en die haar vermogen beïnvloeden om de beoogde resultaten van het managementsysteem voor informatiebeveiliging te behalen. Het is voor de organisatie dus zaak om informatie met betrekking tot deze interne en externe issues te:
- Identificeren
- Beoordelen
- Actualiseren
Dat kan worden gedaan door het uitvoeren van een contextanalyse in de IBMS. Op die manier kan er rekening worden gehouden met alle factoren die van invloed (kunnen) zijn op het Information Security Management System (ISMS) en kunnen kansen en risico’s die eruit voortkomen beter beheerd worden. Afhankelijk van de context kunnen er keuzes worden gemaakt rondom missie, visie, strategie, beleid en doelstellingen, welke de scope van het IBMS vormen.
De volgende stap in het opzetten van het IBMS is het identificeren van risico’s. Aan de hand van deze stap analyseert de organisatie welke potentiële dreigingen en risico’s er zijn én hoe groot de kans is dat deze risico’s zich voordoen. Dit is belangrijk stap om een realistisch beeld te krijgen van de omgeving van de organisatie, zodat uiteindelijk ook de juiste beheersmaatregelen toegepast worden.
Vanuit een (sector specifieke) analyse worden risico's geïnventariseerd en kunnen benodigde maatregelen worden bepaald en geïmplementeerd. De eisen uit wet- en regelgeving en normen, zoals de gewenste onderdelen uit NEN7510 voor de zorg en de AVG zijn in ons beheersysteem opgenomen.
In de VvT wordt bepaald welke onderdelen uit bijlage A uit de NEN 7510 norm op de organisatie van toepassing zijn. Deze onderdelen worden beargumenteerd en vastgelegd in dit onderdeel, maar ook welke beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiliging. In feite beschrijft de VvT het toepassingsgebied en de reikwijdte van het informatiebeveiligingssysteem.
Bij een beheersmaatregel kun je denken aan:
- Een organisatorische maatregel in de vorm van beleid en/of een procedure (beveiligd ontwikkelen, in-/uitdiensttreding, toekenning autorisaties, clean desk/clear screen, etc);
- Een technische maatregel zoals een technische handeling (logging, back-up etc) en/of de implementatie van een technische eis (fysieke beveiliging, encryptie, firewall, etc.).
2,500+ zorginstellingen maken reeds gebruik van onze dienstverlening.
Doe mee en neem vandaag nog contact op.
