NEN 7510

NEN 7510 staat voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie in de zorg

NEN 7510 is een nationale norm die de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie waarborgt in de zorg. Het gaat hierbij voornamelijk over patiëntgegevens. De norm is een nationale norm. Dit betekent dat de norm alleen in Nederland geldt en er geen internationale variant is. De norm is afgeleid van ISO 27001. Beide normen beschrijven eisen waaraan een bedrijf moet voldoen om te bewijzen dat er zorgvuldig met (patiënt)informatie wordt omgegaan.

NEN 7510

NEN-EN 15224 NEN 7510
Verplicht voor zorgorganisaties

Organisaties en leveranciers in de gezondheidszorg moeten kunnen aantonen dat zij over de juiste informatiebeveiliging beschikken. Dit controleert de IGJ, Inspectie Gezondheidszorg en Jeugd. Bij het toetsen van de instelling worden eisen van de NEN 7510 als maatstaaf gebruikt.

Is de NEN 7510 verplicht voor toeleveranciers?

Toeleveranciers in de zorg zijn niet verplicht om met de norm te werken. De hoofddoelgroep zijn namelijk zorginstellingen. Vaak wordt er toch wel verwacht van toeleveranciers dat ook zij met NEN 7510 werken. De zorginstelling stelt dan een pakket aan eisen op en leveranciers dienen hier dan aan te voldoen.

De grootte van de organisatie maakt niet uit

De omvang van de organisatie is niet van belang. De norm geldt voor zowel de individuele zorgverlener als voor grote zorginstellingen en -organisaties die te maken hebben met informatiestromen van patiënten. De norm is niet alleen voor zorginstellingen, maar ook voor overige organisaties die persoonlijke gezondheidsinformatie verwerken. Ook gemeenten moeten zich houden aan de NEN 7510.

Het certificeringsproces uitgelegd


We kennen inmiddels duizenden normen die je kunt laten certificeren. Normen voor producten, processen, organisaties en zelfs voor personen. Vaak heeft een certificering betrekking op een bepaald onderwerp. Bijvoorbeeld de manier waarop er met kwaliteit wordt omgegaan, maar ook voor thema's zoals milieu en duurzaamheid, informatiebeveiliging en veiligheid op de werkvloer bestaan normen en certificeringen. Wil je meer over het certificeringsproces leren? Download onze whitepaper. 

Whitepaper over certificeren met QVOX
Hoe wil je aan de slag?
Opleidingen
Opleidingen:

In de QVOX Academy bieden we vakspecifieke opleidingen en trainingen aan om zo je kennis te vergroten en competenties te ontwikkelen. 

Projecten
Projecten:

In samenwerking met de specialisten van QVOX werk je projectmatig toe naar een certificering of realiseren we de gewenste verandering. 

Services
Services:

Hercertificering of onderhoud van het kwaliteitssysteem kun je aan ons uitbesteden. Met ons service contract houden we je scherp en brengen we in kaart waar kansen liggen. Zonder zorgen en met zekerheid van de kwaliteit zoals je die van ons bent gewend. 

Neem contact op met een van onze experts en volg ons spoor naar certificering en compliance. 

FAQ
FAQ

NEN 7510

Wat houdt de NEN 7510 in?

De NEN 7510 is de norm voor informatiebeveiliging in de zorg. De norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. Hiervoor geeft de norm een normatief raamwerk in de vorm van een managementsysteem voor informatiebeveiliging (NEN7510 deel 1) inclusief de beheersmaatregelen bij elk van de beheersdoelstellingen (NEN7510 deel 2). De norm geeft daarmee aanwijzingen voor het organisatorisch en technisch inrichten van de informatiebeveiliging en biedt zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende organisaties in de zorg.

Waarom kies je als bedrijf of organisatie voor de NEN 7510?

De norm is bedoeld voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie die richtlijnen zoeken over dit onderwerp, evenals hun beveiligingsadviseurs, -consultants, -auditoren, -aanbieders en externe dienstverleners. Zij moeten kunnen aantonen dat zij over de juiste informatiebeveiliging beschikken en dienen zich daarbij te houden aan de eisen uit de NEN7510.

Is de NEN 7510 verplicht?

De norm is verplicht voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie. Toeleveranciers in de zorg zijn niet verplicht om met de norm te werken. Vaak wordt er toch wel verwacht van toeleveranciers dat ook zij met NEN 7510 werken. De zorginstelling stelt dan een pakket aan eisen op en leveranciers dienen hier dan aan te voldoen.

Certificering is alleen verplicht voor zogenaamde gegevensuitwisselingssystemen. De Inspectie Gezondheidszorg en Jeugd (IGJ) verwacht inmiddels wel dat zorginstellingen door middel van een onafhankelijke beoordeling kunnen aantonen dat zij voldoen aan de eisen uit de NEN 7510. Met certificering is dit eenvoudig aan te tonen.

Wat zijn de kosten van de NEN 7510?

De NEN7510 is gratis te verkrijgen bij de NEN evenals de aan de NEN7510 verbonden normen NEN7512, NEN7513 en NTA7516. De kosten van certificering verschillen per scope van een project. Meer informatie hierover kun je bij ons opvragen door contact met ons op te nemen.  

Wat zijn de voordelen van de NEN 7510?

De NEN 7510 kan gezien worden als een handboek voor het op een goede manier inrichten van informatiebeveiliging in de zorg. De NEN 7510 maakt het mogelijk om informatiebeveiliging op consequente wijze binnen zorggerelateerde omgevingen te implementeren, met specifiek aandacht voor de unieke uitdagingen die de zorg stelt. Door deze normen te volgen zorgen zorginstellingen ervoor dat de vertrouwelijkheid en integriteit van gegevens waarvoor zij verantwoordelijk zijn, gehandhaafd worden, dat kritische zorginformatiesystemen beschikbaar blijven en dat er rekenschap voor gezondheidsinformatie wordt afgelegd.

Hoe krijg je een de NEN 7510-certificaat?

Zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie kunnen zich certificeren tegen NEN 7510 deel 1 (het managementsysteem), waarvan het certificatieschema (NTA 7515) onder accreditatie is goedgekeurd. Hiermee staat het certificatieproces onder toezicht van de Raad voor Accreditatie (RvA), die zowel eisen stelt aan het certificatieproces als aan de certificerende organisatie.

Waar moet je op letten bij de NEN 7510 certificering?

Om een NEN 7510 certificering soepel en efficiënt te laten verlopen, hebben we een aantal tips.

  • Besteed aandacht aan de menselijke kant. Informatiebeveiliging wordt grotendeels met technische oplossingen gewaarborgd, maar een druk op de verkeerde knop door een medewerker kan een bedrijf platleggen. Houd hier rekening mee bij het minimaliseren van risico’s.
  • Beschrijf niet alleen de procedures, maar zorg ook voor goede controlemechanismen om te voorkomen dat procedures fout gaan.
  • Voorkom handmatige controles en automatiseer technische beheersmaatregelen, zoals wachtwoordbeheer en patchmanagement.
  • Zorg voor een goed calamiteitenplan en een back-up/terugval locatie om de informatie te beveiligen tegen bedreigingen van buitenaf.
  • Probeer niet alles zelf te doen. Een externe verantwoordelijke voor informatiebeveiliging heeft vaak meer kennis en impact dan iemand die intern verantwoordelijk wordt gemaakt.
  • Vertrouw niet blind op ICT-leveranciers, maar maak goede afspraken en zorg dat deze worden vastgelegd in een Service Level Agreement (SLA).
Podcast over NEN 7510

 

Er is veel te doen om de Nederlandse norm voor informatiebeveiliging in de zorg: NEN 7510. De IGJ (Inspectie Gezondheidszorg en Jeugd) is namelijk begonnen met handhaven, bijvoorbeeld in ziekenhuizen. Een logisch gevolg nadat de norm is verheven tot wetgeving? Marcel Vos - oprichter en directeur van QVOX - neemt ons mee in de totstandkoming van de NEN 7510, maar ook in de positie van deze norm en eisen in het huidige zorgklimaat. 

Podcast NEN 7510

Ben jij goed voorbereid op cybercriminaliteit in jouw ziekenhuis?