Waar moet informatiebeveiliging in de zorg aan voldoen?

Goede informatiebeveiliging is van groot belang voor iedere organisatie. Niets is zo vervelend dan wanneer er persoonsgegevens op straat komen te liggen. Voor de zorgsector gaat dit nog een stapje verder. Daarbij gaat het ook om medische gegevens. Daarom staan we stil bij de vraag: ‘Waar moet informatiebeveiliging in de zorg aan voldoen?’

Kort gezegd dient informatiebeveiliging in de zorg te voldoen aan de eisen die beschreven staan in de NEN 7510 norm. Alle bedrijven en organisaties die werkzaam zijn in de zorgsector zijn wettelijk verplicht hieraan te voldoen. 

Organisaties binnen de zorgsector dienen dus te voldoen aan de NEN 7510 norm. Maar wat houdt dat precies in? In dit blog staan we stil bij verschillende onderdelen van de NEN 7510:

Wilt u uw klanten en bezoekers laten weten dat u de persoonsgegevens op een veilige wijze bewaard? In ons gratis e-book helpen wij u in tien stappen naar de certificering. Toepasbaar voor de ISO 27001 én NEN 7510! Download hem gratis!

Behaal NEN 7510 in 10 stappen

Vaststelling beleid

De NEN 7510 is een complexe norm. Daarom is het goed om te weten waar u met uw organisatie staat, voordat u de norm gaat toepassen. Dit doet u door de huidige informatiebeveiligingsbeleid vast te stellen. U krijgt inzicht in de wijze waarop persoonlijke en gevoelige informatie wordt verwerkt en opgeslagen. Aan de hand van deze informatie kunt u bepalen hoe de gevoelige informatie beschermd dient te worden. 

Bij het vaststellen van het beleid dient u de context van de organisatie te formuleren, de belanghebbenden, de doelstellingen en de rollen en daarbij behorende verantwoordelijkheden.

Zorgspecifieke aanvullingen:

  • Het informatiebeveiligingsbeleid dient elke keer opnieuw beoordeelt te worden na ernstige beveiligingsincidenten;
  • Organisaties werkzaam in de zorgsector dienen een informatiebeveiligings management forum (IBMF) op te richten. Deze dienen (bijna) maandelijks te overleggen;
  • Er dient een speciale verantwoordelijke aangewezen te worden voor de gezondheidsinformatie;
  • De plichten en verantwoordelijkheden met betrekking tot het bewerken van persoonlijke gezondheidsinformatie dient gescheiden te worden.

Waar moet informatiebeveiliging in de zorg aan voldoen?

Analyse informatiesystemen en bronnen

U kunt de doelen van uw organisatie enkel behalen wanneer alle bedrijfsprocessen naar behoren functioneren. Daarom is het van essentieel belang om de processen en gebruikte informatiesystemen en -bronnen binnen de organisatie in kaart te brengen. Daarbij dient u de waarde (of het belang) en gevoeligheid van de verwerkte informatie te benoemen. 

Zorgspecifieke aanvullingen:

  • Persoonlijke gezondheidsinformatie dient als ‘vertrouwelijk’ te worden aangemerkt. Dit dient bij opstarten of inloggen van systemen of bij het inzien (op papier) direct zichtbaar te zijn.

Risicobeheersing starten

Binnen de zorgsector is risicobeheersing van essentieel belang. Het is van belang dat u alle potentiële dreigingen en risico’s in kaart brengt. Op basis van dit inzicht kunt u maatregelen treffen en zo adequaat reageren op daadwerkelijke problemen.

Zorgspecifieke aanvullingen:

  • Patiëntveiligheid dient expliciet als risico opgenomen te worden in de verschillende projecten.

Maatregelen implementeren

Zodra u weet welke risico’s er zijn binnen uw organisatie, kunt u de benodigde maatregelen implementeren om deze risico’s te verkleinen. Dit doet u door de volgende aanpak per risico te bepalen:

  • Beheersen: U bepaalt beheersmaatregelen om het risico effectief te verkleinen.
  • Overdragen: U draagt het risico over door bijvoorbeeld de potentiële schade te verzekeren.
  • Ontwijken: U gaat op zoek naar een andere oplossing waardoor het risico niet meer aanwezig is;
  • Accepteren: U laat het risico bestaan omdat het dreigingsniveau en de mogelijke schade acceptabel laag is.

Zorgspecifieke aanvullingen:

  • De toegang tot persoonlijke gezondheidsinformatie dient te worden gecontroleerd en beperkt tot het doel van de zorgactiviteiten. Dit dient vooraf in het beleid te worden gedefinieerd en toegepast op basis van de rollen en bevoegdheden;
  • Het is verplicht om two-factor authentication toe te passen voor systemen met persoonlijke gezondheidsinformatie. Het (toegangs-)beheer dient gescheiden te zijn van het werken met persoonlijke gezondheidsinformatie zelf;
  • Persoonlijke gezondheidsinformatie dient uitsluitend in fysiek beschermde gebieden beschikbaar te zijn;
  • Back-ups dienen versleuteld te zijn;
  • Openbare gezondheidsinformatie moet worden beveiligd om de integriteit en authenticiteit te kunnen waarborgen.

Resterend risico evalueren

Zodra u weet welke bedreigingen en risico’s er zijn en u deze hebt voorzien van passende maatregelen, kunt u de risico’s nogmaals langslopen om het restrisico te bepalen. Dit is het risico dat is overgebleven nadat alle nodige maatregelen zijn getroffen. Op die manier houdt u zicht op de nog bestaande risico’s waarvan u het bewustzijn binnen de organisatie op peil dient te houden. 

Meer zorgspecifieke informatiebeveiliging

In dit artikel hebben we al een aantal relevante zaken rondom informatiebeveiliging in de zorg benoemd. Echter zijn er nog veel meer zorgspecifieke maatregelen. Wilt u de complete lijst met maatregelen inzien? Download dan gratis ons e-book ‘In tien stappen naar NEN 7510 certificering’

NEN7510 toepassen binnen uw organisatie

Natuurlijk komt er bij het toepassen van informatiebeveiliging binnen de zorg meer kijken dan de bovenstaande stappen. De NEN 7510 is een complexere norm die veel aandacht vraagt. Daarnaast dient informatiebeveiliging regelmatig op de agenda terug te keren omdat het een blijvend proces is.

Om de informatiebeveiliging blijvend op orde te houden, of de NEN 7510 binnen uw organisatie te implementeren, kunt u ons ISMS Base27 gebruiken. U kunt de software één maand gratis uitproberen!

Wij helpen u graag met al uw vragen rondom informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

Wilt u uw klanten en bezoekers laten weten dat u de persoonsgegevens op een veilige wijze bewaard? In ons gratis e-book helpen wij u in tien stappen naar de certificering. Toepasbaar voor de ISO 27001 én NEN 7510! Download hem gratis!

Behaal NEN 7510 in 10 stappen

Recente berichten

Deze blogs vindt u wellicht ook interessant:

Informatiebeveiliging in de zorg

Voldoe aan de wettelijke eisen met de NEN 7510 Checklist

De NEN 7510 is een norm voor informatiebeveiliging speciaal voor de Nederlandse zorgsector. Het is een aanvulling op de internationale ISO 27001 normering. Alle Nederlandse instellingen die in de zorgsector werkzaam zijn, dienen aan deze norm te...
Informatiebeveiliging in de zorg

Wat is het verschil tussen de NEN 7510 en ISO 27001?

Hoe staat het met de informatiebeveiliging van uw organisatie? Hebt u alle risico’s in kaart gebracht en weet u waar de gevaren zitten? Met behulp van diverse normen rondom informatiebeveiliging kunt u aantonen dat uw organisatie het goed doet. Twee...