NEN 7510: Alles wat u moet weten

Voor veel gezondheidsorganisaties de norm al een bekend begrip. De NEN 7510 is de norm voor alle organisaties die zorggerelateerde informatie verwerken. Aan de bijbehorende eisen moet iedere organisatie in de zorg voldoen, maar er wordt niet automatisch een certificaat behaald. Wilt u met uw organisatie gaan voor het NEN 7510-certificaat, dan bent u bij Budget Certificering aan het juiste adres.

 In dit artikel leggen we uit wat de NEN7510 is. Daarbij lichten we kort toe voor welke organisaties de norm geldt en beantwoorden we de vraag of het verplicht is om het certificaat te behalen of dat alleen de AVG voldoende is.  In het kort lichten we nog toe wat een certificering is en hoe de certificering gaat. Omdat er veel overlapping is met de ISO 27001 en de NEN 7510 leggen we uit wat het verschil is tussen beide normen.

In dit artikel behandelen wij:

  1. Wat is de NEN 7510-norm?
  2. Is NEN 7510 verplicht?
  3. Op welke organisaties heeft de NEN 7510 betrekking?
  4. Wat is het verschil tussen ISO 27001 en NEN 7510?
  5. Wat houdt certificering in?
  6. Waar moet u op letten bij het behalen van het NEN 7510-certificaat?
  7. NEN 7510 ondersteuningspakketten?

Wat is de NEN 7510-norm?

De NEN 7510 is een nationale norm die de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie waarborgt die betrekking heeft op de zorg. Het gaart hierbij voornamelijk over patiëntgegevens. De norm is een nationale norm. Dit betekent dat hij alleen in Nederland geldt en er geen internationale variant is. Hij is afgeleid van de ISO 27001. Beide normen beschrijven eisen waaraan een bedrijf moet voldoen om te bewijzen dat er zorgvuldig met informatie omgegaan wordt. Verderop in dit artikel leggen we het verschil uit tussen beide normen.

Is NEN 7510 verplicht?

Organisaties in de gezondheidszorg moeten kunnen aantonen dat zij over de juiste informatiebeveiliging beschikken. Dit controleert de IGJ, Inspectie Gezondheidszorg en Jeugd. Bij het toetsen van de instelling worden eisen van de NEN 7510 als maatstaaf gebruikt. Het is echter niet verplicht om als organisatie de NEN 7510 te behalen, het biedt zeker voordelen. Met het certificaat kunt u aan de buitenwereld tonen dat uw organisatie de beveiliging van patiëntgegevens serieus neemt.

NEN 7510 en de AVG

Wat wel verplicht is, is de AVG. Deze verplicht de organisaties om voor de beveiliging van persoonsgegevens te zorgen. Let op, dit zijn de persoonsgegevens. De NEN 7510 richt zich meer op de zorg gerelateerde gegevens. De AVG is niet hetzelfde als de NEN 7510. Een aantal eisen zijn hetzelfde en worden dus afgedekt. Echter, de AVG is minder uitgebreid dan de NEN 7510.

Op welke organisaties heeft de NEN 7510 betrekking

Alle organisaties binnen de gezondheidszorg zijn gebonden aan de NEN 7510-norm. Alle bepalingen die horen binnen die norm zijn van toepassing. Het certificaat behalen is niet verplicht. De organisatie moet zich echter wel houden aan de eisen die de norm stelt. Kortom: aan alle eisen moet worden voldaan, het is alleen aan de organisatie of daar een certificaat voor behaald wordt of niet.

De omvang van de organisatie is niet van belang. De norm geldt voor zowel individuele zorgverlener als voor grote zorginstellingen en organisaties die zich richten op de informatievoorziening van de gezondheidszorg. Zelfs gemeenten moeten zich houden aan de NEN 7510. Zij richten zich niet alleen op zorginstellingen, maar ook op organisaties die overige persoonlijke gezondheidsinformatie verwerken.

Toeleverancier van de zorg zijn niet verplicht om met de norm te werken. De hoofddoelgroep is namelijk zorginstellingen. Vaak wordt er toch wel verwacht van toeleveranciers dat ook zij met NEN 7510 werken. De zorginstelling stelt dan een pakket op en leveranciers dienen hier dan aan te voldoen.

Wat is het verschil tussen ISO 27001 en NEN 7510?

De ISO 27001 en NEN 7510 zijn beiden normen voor informatiebeveiliging. Het verschil wordt bepaald aan de hand van de informatie die wordt opgeslagen. Bij de NEN 7510 zijn dit patiëntgegevens, terwijl de ISO27001 meer gericht is op de waardevolle informatie aangemerkt door de organisatie. Daarnaast is de ISO 27001 een internationaal, wereldwijd erkende norm voor informatiebeveiliging. De NEN 7510 is dat niet, dit is een nationale norm en specifiek voor organisaties die te maken hebben met persoonlijke gezondheidsinformatie. De NEN7510 is een aanvulling op de ISO 27001.

Wat houdt certificering in?

Voor de klant, gast of patiënt is het een geruststellende gedachte dat de organisatie beschikt over een certificaat of keurmerk. Certificering is onafhankelijk aan kunnen tonen dat er wordt voldaan aan bepaalde eisen uit een norm. Zo’n certificering wordt verricht door een onafhankelijke instelling, een certificerende instelling. Bij toepassing van de norm, krijgt een bedrijf meestal de behoefte om middels een onafhankelijke beoordeling te kunnen aantonen dat het voldoet aan bepaalde eisen. Als dit zo is, krijgt het bedrijf pas een certificaat of keurmerk.

Hoe werkt het certificeringstraject?

Stap 1: Implementatie van de normeisen

De eerste stap is het vertalen van de normeisen. Deze eisen moeten aansluiten bij uw organisatie. Het uiteindelijke resultaat van stap 1 is een document waarin de certificeringseisen beschreven worden en vooral hoe u deze in de praktijk kunt toepassen. Dit betreft op maat gemaakte bestanden en zijn helemaal gericht op uw bedrijf. Denk hierbij aan een bedrijfshandleiding met actielijsten. Alles is geheel conform de eisen van de NEN7510.

Stap 2: Certificering behalen én behouden

Na het gedane schrijfwerk moeten de veranderingen ook goed toegepast worden in de praktijk. Wij helpen daarbij. In het eerste jaar krijgt u 12 maanden ondersteuning, waarvan een deel wordt gebruikt om de certificering te behalen én een deel om de certificering te behouden. Als dit bevalt verlengen we de ondersteuning steeds voor een jaar. Wij houden in de gaten dat acties worden opgepakt, voeren de interne audit en directiebeoordeling uit, passen documenten aan en zorgen dat het samenspel met de certificerende instantie goed verloopt. In de tussentijd kunnen u en uw collega’s zich richten op het werk. Er hoeft dus ook geen collega vrij te worden gemaakt om de certificering in de gaten te houden. Dat doen wij namelijk.

Waar moet u op letten bij het behalen van het NEN 7510-certificaat?

Tot slot zijn er een aantal zaken waar u rekening mee moet houden bij de implementatie van de NEN 7510-norm:

  • Besteed aandacht aan de menselijke kant. Informatiebeveiliging wordt grotendeels met technische oplossingen neergezet, maar een druk op de verkeerde knop door een medewerker kan een bedrijf platleggen. Houd hier rekening mee bij het minimaliseren van risico’s.
  • Beschrijf niet alleen de procedures, maar zorg ook voor goede controlemechanismen om te voorkomen dat procedures fout gaan.
  • Voorkom handmatige controles en automatiseer technische beheersmaatregelen, zoals wachtwoordbeheer en patchmanagement.
  • Zorg voor een goed calamiteitenplan en een back-up/reserve locatie om de informatie te beveiligen tegen bedreigingen van buitenaf.
  • Probeer niet alles zelf te doen. Een externe verantwoordelijke voor informatiebeveiliging heeft vaak meer kennis en impact dan iemand die intern verantwoordelijk wordt gemaakt.
  • Vertrouw niet blind op ICT-leveranciers, maar maak goede afspraken en zorg dat deze worden vastgelegd in een Service Level Agreement (SLA).

NEN 7510 ondersteuningspakketten

Met de juiste ondersteuning hoeft het behalen van een NEN 7510 certificaat niet moeilijk te zijn. De slimme ondersteuningspakketten van Budget Certificering helpen je met een bewezen stappenplan snel en zonder zorgen naar de certificering toe. Je kunt de pakketten afzonderlijk van elkaar aanschaffen, maar kies je voor beiden dan bespaar je de meeste tijd voor jezelf én heb je certificeringsgarantie.