Wanneer moet ik voldoen aan NEN 7510

Voor zorginstellingen is het voldoen aan de NEN 7510-norm, een verplichting. In de Regeling gebruik burgerservicenummer in de zorg, in artikel 2 heeft de wetgever de verplichting opgenomen dat de gegevensverwerking conform NEN 7510 dient te geschieden. Met andere woorden: zorginstellingen moeten serieus werk maken van de beveiliging van de persoonsgegevens van hun cliënten. De verplichting is van toepassing op alle verschijningsvormen van patiëntgegevens. Het bepaald hoe dergelijke gegevens worden weergegeven, vastgelegd en worden overgedragen. De hierbij geldende beveiligingseisen hebben betrekking op alle, binnen een zorginstelling, beschikbare informatie, alsmede de patiënteninformatie welke door zorginstellingen onderling worden uitgewisseld.

Op welke organisaties is NEN 7510 van toepassing?

Alle organisaties binnen de gezondheidszorg zijn gebonden aan de bepalingen die voortvloeien uit de NEN 7510-norm. Hierbij is niet de omvang of de aard van de zorgorganisatie van belang. De norm is zowel van toepassing op de individuele zorgverlener, grote zorginstellingen en organisaties die zich richten op de informatievoorziening van de gezondheidszorg.

Voor toeleveranciers van de zorg, bijvoorbeeld organisaties die patiënteninformatie verwerken, is de norm niet verplicht. De primaire doelgroep van NEN 7510 is de zorginstelling. In de praktijk is het echter wel zo dat veel zorginstellingen ook van hun leveranciers verwachten dat men voldoet aan de NEN 7510-norm. Dit betekent vaak dat een zorginstelling een eisenpakket zal hanteren waar een leverancier aantoonbaar aan dient te voldoen. Leveranciers kunnen er dus op vrijwillige basis voor kiezen om zich te laten certificering op basis van de NEN 7510 norm.

NEN 7512 en NEN 7513

Naast de NEN 7510-norm is er ook sprake van een tweetal uitwerkingen:  NEN 7512 en NEN 7513. Voor zorginstellingen is het verplicht om ook aan deze uitwerkingen te voldoen. NEN 7512 omhelst de maatregelen die een zorginstelling moet nemen als er sprake is van uitwisseling van patiëntgegevens. NEN 7513 gaat specifiek over het vastleggen van acties in de elektronische patiëntendossiers. In vaktermen hebben we het dan over ‘logging’.

De informatiebeveiliging in de zorg is een belangrijk punt en valt onder de verantwoordelijkheid en toezicht van de Inspectie voor de Gezondheidszorg (IGZ). Deze toetst  toets of zorginstellingen voldoen aan de wettelijke vereisten en onderzoekt of zorginstellingen de juiste maatregelen hebben genomen.