Informatiebeveiliging in de zorg - waar moet het aan voldoen?

Goede informatiebeveiliging is van groot belang voor iedere organisatie. Niets is zo vervelend dan wanneer er wachtwoorden of andere persoonsgegevens op straat komen te liggen. Voor de zorgsector gaat dit nog een stapje verder. Daarbij gaat het ook om medische gegevens. Daarom staan we stil bij de vraag: ‘Waar moet informatiebeveiliging in de zorg aan voldoen?’

Kort gezegd dient informatiebeveiliging in de zorg te voldoen aan de eisen die beschreven staan in de NEN 7510 norm. Alle bedrijven en organisaties die werkzaam zijn in de zorgsector zijn wettelijk verplicht hieraan te voldoen. 

Organisaties binnen de zorgsector dienen dus te voldoen aan de NEN 7510 norm. Maar wat houdt dat precies in? In dit blog staan we stil bij verschillende onderdelen van de NEN 7510:

In ons gratis e-book helpen wij u in tien stappen naar de certificering. Toepasbaar voor de ISO 27001 én NEN 7510! Download hem gratis!

Behaal NEN 7510 in 10 stappen

Vaststelling informatiebeveiligingsbeleid zorg

De NEN 7510 is een uitgebreide norm. Daarom is het goed om te weten waar u met uw organisatie staat, voordat u de norm gaat toepassen.

Dit doet u door het huidige informatiebeveiligingsbeleid vast te stellen waarbij gekeken wordt naar de relevante onderwerpen voor de organisatie, de belanghebbenden alsook rollen en verantwoordelijkheden. U krijgt inzicht in de wijze waarop persoonlijke en gevoelige informatie wordt verwerkt en opgeslagen. Aan de hand van deze informatie kunt u bepalen hoe de gevoelige informatie beschermd dient te worden en welke doelstellingen daarvoor gerealiseerd dienen te worden.

Aanvullingen informatiebeveiliging zorg:

  • Het informatiebeveiligingsbeleid in de zorg dient elke keer opnieuw beoordeeld te worden na ernstige beveiligingsincidenten;
  • Organisaties werkzaam in de zorgsector dienen een informatiebeveiligingsmanagement forum (IBMF) op te richten. Deze dient (bijna) maandelijks te overleggen;
  • Er dient een speciale verantwoordelijke aangewezen te worden voor de medische- / gezondheids-informatie;
  • De plichten en verantwoordelijkheden met betrekking tot het bewerken van persoonlijke gezondheidsinformatie dient gescheiden te worden.

Waar moet informatiebeveiliging in de zorg aan voldoen?

Analyse processen en informatiesystemen

U kunt de doelen van uw organisatie enkel behalen wanneer alle bedrijfsprocessen naar behoren functioneren. Daarom is het van essentieel belang om de processen en gebruikte informatiesystemen en -bronnen binnen de organisatie in kaart te brengen. Daarbij dient u de waarde (of het belang) en gevoeligheid van de verwerkte informatie te benoemen - de informatieclassificatie. 

Aanvullingen informatiebeveiliging zorg:

  • Persoonlijke gezondheidsinformatie dient als ‘vertrouwelijk’ te worden aangemerkt. Dit dient bij opstarten of inloggen van systemen of bij het inzien (op papier) direct zichtbaar te zijn.

Risicobeheersing starten

Binnen de zorgsector is risicobeheersing van essentieel belang. Het is van belang dat u alle potentiële dreigingen en risico’s in kaart brengt. Op basis van dit inzicht kunt u maatregelen treffen en zo adequaat reageren op daadwerkelijke problemen.

Aanvullingen informatiebeveiliging zorg:

  • Patiëntveiligheid dient expliciet als risico opgenomen te worden in de verschillende projecten.

Maatregelen implementeren

Zodra u weet welke risico’s er zijn binnen uw organisatie, kunt u de benodigde maatregelen implementeren om deze risico’s te verkleinen. Dit doet u door de volgende aanpak per risico te bepalen:

  • Beheersen: U bepaalt beheersmaatregelen om het risico effectief te verkleinen.
  • Overdragen: U draagt het risico over door bijvoorbeeld de potentiële schade te verzekeren.
  • Ontwijken: U gaat op zoek naar een andere oplossing waardoor het risico niet meer aanwezig is;
  • Accepteren: U laat het risico bestaan omdat het dreigingsniveau en de mogelijke schade acceptabel laag is.

Aanvullingen informatiebeveiliging zorg:

  • De toegang tot persoonlijke gezondheidsinformatie dient te worden gecontroleerd en beperkt tot het doel van de zorgactiviteiten. Dit dient vooraf in het beleid te worden gedefinieerd en toegepast op basis van de rollen en bevoegdheden;
  • Het is verplicht om two-factor authentication toe te passen voor systemen met persoonlijke gezondheidsinformatie. Het (toegangs-)beheer dient gescheiden te zijn van het werken met persoonlijke gezondheidsinformatie zelf;
  • Persoonlijke gezondheidsinformatie dient uitsluitend in fysiek beschermde gebieden beschikbaar te zijn;
  • Back-ups dienen versleuteld te zijn;
  • Openbare gezondheidsinformatie moet worden beveiligd om de integriteit en authenticiteit te kunnen waarborgen.

Resterend risico evalueren

Zodra u weet welke bedreigingen en risico’s er zijn en u deze hebt voorzien van passende maatregelen, kunt u de risico’s nogmaals langslopen om het restrisico te bepalen. Dit is het risico dat is overgebleven nadat alle nodige maatregelen zijn getroffen. Op die manier houdt u zicht op de nog bestaande risico’s waarvan u het bewustzijn binnen de organisatie op peil dient te houden. 

Meer zorgspecifieke informatiebeveiliging

In dit artikel hebben we al een aantal relevante zaken rondom informatiebeveiliging in de zorg benoemd. Er  zijn echter meer zorgspecifieke maatregelen.

Wilt u de complete lijst met maatregelen inzien? Download dan gratis ons e-book ‘In tien stappen naar NEN 7510 certificering’

NEN 7510 toepassen binnen uw organisatie

Natuurlijk komt er bij het toepassen van informatiebeveiliging binnen de zorg meer kijken dan de bovenstaande stappen. De NEN 7510 is een complexere norm die veel aandacht vraagt. Daarnaast dient informatiebeveiliging regelmatig op de agenda terug te keren omdat het een blijvend proces is.

Om de informatiebeveiliging blijvend op orde te houden, of de NEN 7510 binnen uw organisatie te implementeren, kunt u ons ISMS Base27 gebruiken. U kunt de software één maand gratis uitproberen!

Wij helpen u graag met al uw vragen rondom informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

Wilt u uw klanten en bezoekers laten weten dat u de persoonsgegevens op een veilige wijze bewaard? In ons gratis e-book helpen wij u in tien stappen naar de certificering. Toepasbaar voor de ISO 27001 én NEN 7510.

Behaal NEN 7510 in 10 stappen

Recente berichten

De combinatie van Base27 en ondersteuning en kennis van Axxemble was voor ons de succesformule. Na 6 maanden was de certificering een feit.

Mathijs Vreeman Lightbase

lightbase

Deze blogs vindt u wellicht ook interessant:

Informatiebeveiliging in de zorg

Voldoe aan de wettelijke eisen met de NEN 7510 Checklist

De NEN 7510 is een norm voor informatiebeveiliging speciaal voor de Nederlandse zorgsector. Het is een aanvulling op de internationale ISO 27001 normering. Alle Nederlandse instellingen die in de zorgsector werkzaam zijn, dienen aan deze norm te...
Informatiebeveiliging in de zorg

Wat is het verschil tussen de NEN 7510 en ISO 27001?

Hoe staat het met de informatiebeveiliging van uw organisatie? Hebt u alle risico’s in kaart gebracht en weet u waar de gevaren zitten? Met behulp van diverse normen rondom informatiebeveiliging kunt u aantonen dat uw organisatie het goed doet. Twee...