NEN 7510 voor welke organisaties relevant?

In de zorgsector waar medische en patiëntgegevens worden uitgewisseld is informatiebeveiliging van groot belang. Iedere patiënt verwacht dat zijn of haar informatie goed beveiligd is en niet zomaar op straat komt te liggen.

Het Ministerie van VWS eist van instellingen in de gezondheidszorg dat de informatiebeveiliging in de zorg op orde is. NEN 7510 certificering is niet verplicht, maar zorginstellingen in Nederland dienen aan de Inspectie voor Gezondheidszorg (IGZ) wel aantoonbaar te maken dat zij beschikken over een juiste informatiebeveiliging. NEN 7510 certificering biedt een structurele oplossing en maakt dit aantoonbaar.

Wat is NEN 7510

NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. De norm geeft een pakket aan maatregelen om via een gecontroleerd proces op zorgvuldige wijze met patiëntgegevens om te gaan. De maatregelen hebben betrekking op alle verschijningsvormen waarin medische en patiëntgegevens zijn vastgelegd. De beveiligingseisen gelden voor de informatie binnen de zorginstelling, en ook voor de informatie die organisaties onderling uitwisselen.

Verschil tussen NEN7510 en ISO 27001

NEN 7510 geldt niet alleen voor zorginstellingen maar is ook van toepassing op (toe) leveranciers die te maken hebben met patiëntgegevens en andere beheerders van persoonlijke gezondheidsinformatie. Wanneer (toe)leveranciers andersoortige informatie verwerken, zoals financiële gegevens, persoonsgegevens of andere bedrijfsvertrouwelijke gegevens, dan kunnen zij zich laten certificeren volgens de ISO 27001 en is NEN 7510 niet direct noodzakelijk.

NEN 7510 en ISO 27001 zijn dus beide normen voor informatiebeveiliging. Het soort informatie dat een organisatie of instelling verwerkt bepaalt de reikwijdte van certificatie. NEN 7510 legt de focus volledig op patiëntgegevens, terwijl ISO 27001 de focus legt op de informatie die een organisatie aanmerkt als waardevol. Hier ligt het verschil tussen NEN7510 en ISO 27001. De drie opties voor niet zorginstellingen zijn:

  • NEN 7510 certificering: Als de focus van de organisatie ligt op de zorgbranche;
  • ISO 27001 & NEN 7510 certificering: Als informatiebeveiliging aangetoond moet worden aan organisaties buiten de zorgsector, maar ook met zorgklanten wordt gewerkt;
  • ISO 27001 certificering: Als er voornamelijk voor organisaties buiten de zorg wordt gewerkt.

Alle zorginstellingen, ongeacht omvang of aard van de bedrijfsprocessen, moeten voldoen aan NEN 7510. NEN 7510 ‘Medische informatica – Informatiebeveiliging in de zorg’ is een Nederlandse norm. In de norm is de High Level Structure opgenomen, waardoor NEN7510 compatibel is met andere managementsysteemnormen die de HLS volgen. ISO 27001 is een algemene norm voor informatiebeveiliging en niet specifiek bedoeld voor zorginstellingen.

Aan de slag met NEN 7510? Laat u overtuigen van onze meerwaarde en goede prijs-kwaliteitverhouding!
offerte aanvragen