Wat is NEN 7510?

NEN 7510

NEN 7510 slaat op de ‘medische informatica- en informatiebeveiliging in de zorgsector. NEN 7510 is de norm waarin de maatregelen worden beschreven voor zorginstellingen die moeten zorgen voor een juiste verwerking van de patiëntgegevens welke men beheert.

Door het opvolgen van de maatregelen in NEN 7510 ontstaat een controleerbaar proces van gegevens verwerking en informatiebeveiliging. De reikwijdte is vrij ruim: het gaat om alle verschijningsvormen van cliëntgegevens. De beveiligingseisen en de relevante maatregelen zijn zowel van toepassing op de informatie binnen de zorginstelling, alsmede de informatie die zorginstellingen onderling uitwisselen over de patiënten.

In tegenstelling tot andere normen zoals ISO 27001, is het voldoen aan de NEN 7510-norm een verplichting voor alle zorginstellingen. De omvang van een zorginstelling is hierbij niet relevant, net als de aard van de bedrijfsprocessen. Indien u twijfelt of de NEN 7510-norm op uw situatie van toepassing is, bekijk dan de link over de norm.

De verplichting om te voldoen aan de NEN 7510-norm mag dan wel van toepassing zijn op elke zorginstelling, dat betekent niet dat alle maatregelen uit de norm geïmplementeerd dienen te worden. De te nemen maatregelen zijn afhankelijk van de specifieke organisatie en kunnen daarom onderling verschillen. Voor elke organisatie is het daarom van belang vooraf te bepalen welke maatregelen van toepassing zijn op de eigen, unieke situatie.

Risicomanagement en risicoanalyse

Het beheersbaar maken van de risico’s is een van de speerpunten om een optimale beveiliging te garanderen. Dat is dan ook de reden dat het onderdeel risicomanagement zo’n belangrijke positie inneemt. Risicomanagement begint met het inventariseren van de mogelijke risico’s waar een organisatie mee te maken heeft. In het kort komt het op de volgende stappen neer:

  • Benoemen van bedreigingen en kwetsbaarheden binnen de organisatie
  • Het maken van een inschatting van de gevolgen bij mogelijke incidenten.
  • Het maken van een inschatting per bedreiging en kwetsbaarheid en onderzoeken in hoeverre dit kan leiden tot een incident.

De organisatie dient zelf te bepalen of er sprake in van aanvaardbare risico’s op basis van eerder vastgestelde criteria.

Beveiligingsmaatregelen

De in NEN 7510 vermelde maatregelen kunnen worden ingezet om geïdentificeerde risico’s terug te brengen tot een aanvaardbaar niveau. In de volgende hoofdstukken worden deze (beveiligings)maatregelen besproken:

  • beveiligingsbeleid
  • organisatie van de informatiebeveiliging
  • beheer van bedrijfsmiddelen
  • personeel
  • fysieke beveiliging en beveiliging van de omgeving
  • beheer van communicatie- en bedieningsprocessen
  • toegangsbeveiliging
  • verwerving, ontwikkeling en onderhoud van informatiesystemen
  • beheer van informatiebeveiligingsincidenten
  • bedrijfscontinuïteitsbeheer
  • naleving

Wat is een NEN-norm eigenlijk?

NEN 7510 is een van de vele NEN-normen. Deze normen worden door NEN vastgelegd en uitgegeven. NEN staat voor “NEderlandse Norm’ en is sinds 8 mei 2000 de naam van het samenwerkingsverband tussen de Stichting NEC en het Nederlands Normalisatie-instituut.

In tegensteling tot wat vaak wordt gedacht, bepaald NEN niet de norm, maar legt deze enkel vast. De normen worden vastgesteld door middel van overleg tussen diverse partijen over een specifiek product, dienst of proces. De rol van NEN is hierbij beperkt tot het geven van advies en het faciliteren van een overleg.

Waar we het in de regel hebben over NEN 7510, bedoelen we officieel NEN 7510:2011. De aanduiding 2011 verwijst naar het jaartal van het verschijnen van de norm. De huidige norm is de opvolger van NEN 7510:2004. Met het verschijnen van de meest recente NEN 7510-norm zijn de oude NEN 7510 normen komen te vervallen:

  • NEN 7510:2004
  • NEN 7511-1:2005
  • NEN 7511-2:2005
  • NEN 7511-3:2005

Wat is NEN 7512?

Naast de NEN 7510 norm, is er ook de NEN 7512 norm. Dit is een uitwerking van NEN 7510 en heeft in 2015 een update gekregen. NEN 7512 heeft met name betrekking op het uitwisselen van patiëntgegevens tussen instellingen onderling. Het uitwisselen van gegevens van patiënten is een proces wat veelvuldig voor komt en is daardoor een essentieel gegeven bij veel processen in de zorg. Zo zien we dit terug in verschillende stadia, van de feitelijke zorg tot de financiële afhandeling en binnen de diverse bedrijfsprocessen.

Afhankelijk van de specifieke processen, kunnen er verschillende eisen worden gesteld aan de uitwisseling van de gegevens van de betrokken patiënt(en). In NEN 7512 staan diverse eisen en maatregelen die erop zijn gericht om tot uniforme afspraken te komen tussen de betrokken partijen.

Wat is NEN 7513?

Naast NEN 7512 is er nog een andere uitwerking van NEN 7510 beschikbaar: NEN 7513. Binnen deze norm gaat het om het vastleggen van de acties in de elektronische patiëntendossiers, het zogenaamde ‘loggen’.

In het elektronisch patiëntendossier staan alle acties vermeld die betrekking hebben op de patiënt. Veelal gaat het om vermeldingen van acties op verschillende tijdstippen, de verschillende systemen en de personen die de actie hebben uitgevoerd. Ook raadplegingen en wijzigingen in zo’n dossier worden door middel van logging bijgehouden.

De NEN 7513 norm heeft betrekking op de manier waarop dergelijke acties worden vastgelegd. Door het loggen is elke actie controleerbaar en kan ook de rechtmatigheid van een specifieke actie worden bepaald. Dit komt zowel de beveiliging van het dossier, als mede de privacy van de betrokken patiënt ten goede.

NEN 7513 geeft zorgaanbieders de juiste handvaten om op de juiste manier te voldoen aan de wettelijke vereisten. Dankzij NEN 7513 weten ook ontwikkelaars wat eventuele knelpunten zijn in de aanwezige informatiesystemen.

Wat is NTA 7515?

Het is voor zorginstellingen mogelijk om een NEN 751-certificaat te behalen. In NTA 7515 wordt een toetsingskader voor de NEN 7510-certificering omschreven. In 2016 is NTA 7515 volledig herzien.

Wat is ISO 27001?

Naast de NEN 7510 norm, kan er ook sprake zijn van een andere norm: ISO 27001. Dit is een algemene, internationale norm voor informatiebeveiliging en is niet specifiek toegesneden op de situatie voor zorginstellingen. Ook organisaties die financiële gegevens verwerken kunnen gebruik maken van ISO 27001.