NEN 7510

NEN 7510 staat voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie in de zorg

NEN 7510 is een nationale norm die de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie waarborgt in de zorg. Het gaat hierbij voornamelijk over patiëntgegevens. De norm is een nationale norm. Dit betekent dat de norm alleen in Nederland geldt en er geen internationale variant is. De norm is afgeleid van ISO 27001. Beide normen beschrijven eisen waaraan een bedrijf moet voldoen om te bewijzen dat er zorgvuldig met (patiënt)informatie wordt omgegaan.  

NEN 7510

NEN-EN 15224 NEN 7510
Podcast over NEN 7510

Er is veel te doen om de Nederlandse norm voor informatiebeveiliging in de zorg: NEN 7510. De IGJ (Inspectie Gezondheidszorg en Jeugd) is namelijk begonnen met handhaven, bijvoorbeeld in ziekenhuizen. Een logisch gevolg nadat de norm is verheven tot wetgeving? 

Podcast NEN 7510
Verplicht voor zorgorganisaties

Organisaties en leveranciers in de gezondheidszorg moeten kunnen aantonen dat zij over de juiste informatiebeveiliging beschikken. Dit controleert de IGJ, Inspectie Gezondheidszorg en Jeugd. Bij het toetsen van de instelling worden eisen van de NEN 7510 als maatstaaf gebruikt.

Is de NEN 7510 verplicht voor toeleveranciers?

Toeleveranciers in de zorg zijn niet verplicht om met de norm te werken. De hoofddoelgroep zijn namelijk zorginstellingen. Vaak wordt er toch wel verwacht van toeleveranciers dat ook zij met NEN 7510 werken. De zorginstelling stelt dan een pakket aan eisen op en leveranciers dienen hier dan aan te voldoen.

De grootte van de organisatie maakt niet uit

De omvang van de organisatie is niet van belang. De norm geldt voor zowel de individuele zorgverlener als voor grote zorginstellingen en -organisaties die te maken hebben met informatiestromen van patiënten. De norm is niet alleen voor zorginstellingen, maar ook voor overige organisaties die persoonlijke gezondheidsinformatie verwerken. Ook gemeenten moeten zich houden aan de NEN 7510.

Projecten en service contracten

Voor het behalen van het certificaat voor de NEN 7510 kun je bij QVOX kiezen voor een projectmatige aanpak of een service contract. Een service contract is ideaal voor organisaties die een langdurige samenwerking aan willen gaan waarin ze continu ondersteunt worden in vraagstukken rondom thema's zoals kwaliteit, Arbo en gezondheid, milieu en informatiebeveiliging.

Onze dienstverlening

Heb je vragen? Neem contact met ons op

FAQ
FAQ

NEN 7510

Wat houdt de NEN 7510 in?

De NEN 7510 is de norm voor informatiebeveiliging in de zorg. De norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. Hiervoor geeft de norm een normatief raamwerk in de vorm van een managementsysteem voor informatiebeveiliging (NEN7510 deel 1) inclusief de beheersmaatregelen bij elk van de beheersdoelstellingen (NEN7510 deel 2). De norm geeft daarmee aanwijzingen voor het organisatorisch en technisch inrichten van de informatiebeveiliging en biedt zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende organisaties in de zorg.

Waarom kies je als bedrijf of organisatie voor de NEN 7510?

De norm is bedoeld voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie die richtlijnen zoeken over dit onderwerp, evenals hun beveiligingsadviseurs, -consultants, -auditoren, -aanbieders en externe dienstverleners. Zij moeten kunnen aantonen dat zij over de juiste informatiebeveiliging beschikken en dienen zich daarbij te houden aan de eisen uit de NEN7510.

Is de NEN 7510 verplicht?

De norm is verplicht voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie. Toeleveranciers in de zorg zijn niet verplicht om met de norm te werken. Vaak wordt er toch wel verwacht van toeleveranciers dat ook zij met NEN 7510 werken. De zorginstelling stelt dan een pakket aan eisen op en leveranciers dienen hier dan aan te voldoen.

Certificering is alleen verplicht voor zogenaamde gegevensuitwisselingssystemen. De Inspectie Gezondheidszorg en Jeugd (IGJ) verwacht inmiddels wel dat zorginstellingen door middel van een onafhankelijke beoordeling kunnen aantonen dat zij voldoen aan de eisen uit de NEN 7510. Met certificering is dit eenvoudig aan te tonen.

Wat zijn de kosten van de NEN 7510?

De NEN7510 is gratis te verkrijgen bij de NEN evenals de aan de NEN7510 verbonden normen NEN7512, NEN7513 en NTA7516. De kosten van certificering verschillen per scope van een project. Meer informatie hierover kun je bij ons opvragen door contact met ons op te nemen.  

Wat zijn de voordelen van de NEN 7510?

De NEN 7510 kan gezien worden als een handboek voor het op een goede manier inrichten van informatiebeveiliging in de zorg. De NEN 7510 maakt het mogelijk om informatiebeveiliging op consequente wijze binnen zorggerelateerde omgevingen te implementeren, met specifiek aandacht voor de unieke uitdagingen die de zorg stelt. Door deze normen te volgen zorgen zorginstellingen ervoor dat de vertrouwelijkheid en integriteit van gegevens waarvoor zij verantwoordelijk zijn, gehandhaafd worden, dat kritische zorginformatiesystemen beschikbaar blijven en dat er rekenschap voor gezondheidsinformatie wordt afgelegd.

Hoe krijg je een de NEN 7510-certificaat?

Zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie kunnen zich certificeren tegen NEN 7510 deel 1 (het managementsysteem), waarvan het certificatieschema (NTA 7515) onder accreditatie is goedgekeurd. Hiermee staat het certificatieproces onder toezicht van de Raad voor Accreditatie (RvA), die zowel eisen stelt aan het certificatieproces als aan de certificerende organisatie.

Waar moet je op letten bij de NEN 7510 certificering?

Om een NEN 7510 certificering soepel en efficiënt te laten verlopen, hebben we een aantal tips.

  • Besteed aandacht aan de menselijke kant. Informatiebeveiliging wordt grotendeels met technische oplossingen gewaarborgd, maar een druk op de verkeerde knop door een medewerker kan een bedrijf platleggen. Houd hier rekening mee bij het minimaliseren van risico’s.
  • Beschrijf niet alleen de procedures, maar zorg ook voor goede controlemechanismen om te voorkomen dat procedures fout gaan.
  • Voorkom handmatige controles en automatiseer technische beheersmaatregelen, zoals wachtwoordbeheer en patchmanagement.
  • Zorg voor een goed calamiteitenplan en een back-up/terugval locatie om de informatie te beveiligen tegen bedreigingen van buitenaf.
  • Probeer niet alles zelf te doen. Een externe verantwoordelijke voor informatiebeveiliging heeft vaak meer kennis en impact dan iemand die intern verantwoordelijk wordt gemaakt.
  • Vertrouw niet blind op ICT-leveranciers, maar maak goede afspraken en zorg dat deze worden vastgelegd in een Service Level Agreement (SLA).
Deze organisaties hebben gekozen voor QVOX