De NEN7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze was vrijwel gelijk aan de ISO27001, maar aangevuld met zorgspecifieke beheersmaatregelen. Voor IT-dienstverleners met klanten in de zorgsector die algemene IT-diensten afnamen, was NEN7510-certificering relatief eenvoudig te behalen naast de ISO27001. Dit maakte het voor deze IT-dienstverleners een interessant certificaat om aan klanten in de zorgsector te kunnen tonen dat zij op een betrouwbare en integere wijze omgaan met hun data.
Strengere eisen op wet- en regelgeving
Sinds november dit jaar is het ingewikkelder geworden om dit certificaat te behalen. De Raad voor Accreditatie (de organisatie die de dienstverlening van certificerende instellingen controleert en waarborgt) heeft besloten dat tijdens externe audits meer aandacht besteed dient te worden aan het onderdeel wet- en regelgeving. Er is bepaald dat NEN7510-gecertificeerde IT-dienstverleners niet alleen aan de wet- en regelgeving die direct op hun eigen organisatie van toepassing is moeten voldoen, maar ook aan die van hun (zorg)klanten. Deze wetgeving moet op artikelniveau inzichtelijk worden gemaakt en daadwerkelijk geïmplementeerd zijn binnen de organisatie die de NEN7510 certificering behaald.
De veranderingen in de praktijk
Om te illustreren welke gevolgen dat heeft in de praktijk nemen we als voorbeeld een IT-dienstverlener die een Office365-omgeving aan een fysiotherapeutenpraktijk aanbiedt. Deze omgeving wordt gebruikt voor ondersteunende werkzaamheden, dus niet actief voor het verwerken van persoonlijke gezondheidsinformatie. Doordat niet kan worden uitgesloten dat persoonlijke gezondheidsinformatie toch in de Office365-omgeving wordt opgeslagen, ondanks het gebruik van een EPD, moet de IT-dienstverlener voldoen aan de zorgspecifieke wet- en regelgeving zoals geldend voor deze fysiotherapeutenpraktijk. De IT-dienstverlener is als leverancier namelijk medeverantwoordelijk voor de beschikbaarheid, integriteit en vertrouwelijkheid van de Office365-omgeving. Ook heeft hij toegang tot deze omgeving en kan hij hierdoor in uitzonderlijke gevallen in aanraking komen met persoonlijke gezondheidsinformatie. Om deze redenen is dus sprake van een gezamenlijke verantwoordelijkheid.
Voorbeelden van wet- en regelgeving waaraan de IT-dienstverlener nu dient te voldoen zijn:
Wet geneeskundige behandelovereenkomst;
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg;
Besluit elektronische gegevensverwerking door zorgaanbieders;
Wet kwaliteit, klachten en geschillen zorg;
Jeugdwet;
Wet maatschappelijke ondersteuning.
Om hieraan te kunnen voldoen dient onder andere invulling te worden gegeven aan specifieke maatregelen met betrekking tot logging, toegangsbeheer, encryptie en bewaartermijnen. Tevens moet worden aangetoond dat deze maatregelen ook daadwerkelijk zijn geïmplementeerd.
Wel of niet kiezen voor NEN7510-certificering
Voor IT-dienstverleners van specifieke oplossingen met betrekking tot het zorgdomein blijft de NEN7510-certificering uiteraard van toepassing. Klanten mogen van deze leveranciers verwachten dat zij zich bewust zijn van specifieke wet- en regelgeving en dat hiermee rekening wordt gehouden tijdens het leveren van hun product of dienst. Protify raadt overige IT-dienstverleners het behalen van de NEN7510-certificering in veel gevallen af. In de praktijk ervaren we namelijk dat slechts een heel klein percentage IT-dienstverleners in aanraking komt met de persoonlijke gezondheidsinformatie van klanten. Toegang tot deze gegevens is immers vrijwel nooit nodig voor het leveren van de diensten als IT-dienstverlener. Hierdoor wegen in veel gevallen de extra werkzaamheden, en aanpassingen in de organisatie benodigd voor het behalen van de NEN7510-certificering, niet meer op tegen de voordelen van het behalen van dit certificaat.
Aantonen van relevante eisen
Wanneer een IT-dienstverlener ervoor kiest om geen NEN7510 certificaat te behalen, kan het interessant zijn om aan klanten uit de zorgsector inzichtelijk te maken dat wel wordt voldaan aan de relevante eisen uit de NEN7510. Protify heeft voor haar klanten een overzicht uitgewerkt waarin wordt aangegeven welke zorgspecifieke beheersmaatregelen van toepassing zijn op de IT-dienstverlener. Aan deze beheersmaatregelen kan invulling worden gegeven tijdens het opzetten en implementeren van een managementsysteem (ISMS) t.b.v. ISO27001-certificering. De wijze waarop hieraan invulling is gegeven kan vervolgens worden toegelicht in een matrix. Op deze manier kun je als IT-dienstverlener toch aantonen dat er een veilige omgeving geboden kan worden.
Meer informatie
Heb je na het lezen van dit artikel nog vragen, of wil je weten wat Protify voor jouw organisatie kan betekenen, neem dan contact met ons op.
Comments