Met de NEN 7510:2017 (hierna: NEN 7510) toont u aan dat uw organisatie op een zorgvuldige, vertrouwelijke en adequate wijze omgaat met gevoelige persoonsgegevens en data binnen uw organisatie. NEN 7510 is een norm voor informatiebeveiliging in de gezondheidszorg. Het NEN 7510-certificaat laat zien dat uw organisatie voldoet aan de wettelijke bepalingen voor de bescherming van bijzondere persoonsgegevens en data an en informatiebeveiliging.
NEN 7510 is gebaseerd op de internationale norm ISO 27001. Hierin is beschreven welke maatregelen u als organisatie moet nemen om op de juiste manier, adequaat om te gaan met de aanwezige patiëntgegevens binnen uw organisatie. Dit wordt ook wel informatiebeveiliging en privacybescherming in de gezondheidszorg genoemd. De genomen maatregelen moeten ertoe leiden dat informatiebeveiliging adequaat is ingericht en privacy van de patiënten bij interne gegevensverwerkingen en gegevensuitwisseling met externe partijen goed is geborgd.
NEN 7510 wettelijk verplicht?
De norm NEN 7510 wordt benoemd in de Algemene Maatregel van Bestuur (AMvB) bij de Wet voor het gebruik van het BurgerServiceNummer (BSN) in de zorg. Doordat er in de Nederlandse wet- en regelgeving wordt verwezen naar het NEN 7510-certificaat, is het wettelijk verplicht om over dit certificaat te beschikken voor de zorginstellingen en hun leveranciers. Deze verplichting vloeit voort uit het gegeven dat bijzonder gevoelige patiëntengegevens op een adequate wijze wijzen beveiligd moeten worden voor het verlenen van verantwoorde zorg. Dit brengt met zich mee dat u aandacht moet besteden aan informatiebeveiliging en bescherming van de privacy van patiënten.
Waarom NEN 7510 certificaat?
NEN 7510-norm is bij uitstek het juiste middel om te laten zien dat uw organisatie voldoet aan de regels omtrent informatiebeveiliging en privacybescherming. Als organisatie heeft u niet alleen te maken met de Autoriteit Persoonsgegevens, maar kunt u ook te maken krijgen met de Inspectie Gezondheidszorg en Jeugd (IGJ) als het gaat om het toezicht op naleving. Omdat iedere organisatie anders is, bestaat er niet een algemene werkwijze om informatiebeveiliging in te richten. Omdat de NEN 7510-norm gestandaardiseerd is, kunnen de normen uit NEN 7510 binnen iedere organisatie eenvoudig toegepast worden. Iedere organisatie moet voldoen aan de inhoud van NEN 7510, maar de manier waarop dit gebeurt verschilt per organisatie. Dit is afhankelijk van onder andere de omvang van de organisatie, aantal locaties, aantal cliënten en de hoeveelheid aan data die binnen de organisatie wordt verwerkt.
Geldt NEN 7510 enkel voor de zorginstellingen?
De NEN 7510 is van toepassing op alle organisaties binnen de gezondheidszorg. Dit betekent dat NEN 7510 van toepassing is op zowel de individuele zorgverlener als zorginstellingen in georganiseerd verband. Tevens is NEN 7510 van toepassing op organisaties die zich richten op de informatievoorziening van de gezondheidszorg. Zo dient een hostingbedrijf of online marketingbureau met zorgorganisaties als klant, te voldoen aan de bepalingen uit NEN 7510.
NEN 7510 in relatie tot NEN 7512 en NEN 7513
Naast de bepalingen uit de NEN 7510-norm, heeft u als zorginstelling ook te maken met NEN 7512 en NEN 7513. Als zorginstelling, ongeacht uw organisatievorm, omvang en de geleverde zorg, dient u ook aan deze normen te voldoen. NEN 7512 bevat bepalingen omtrent de maatregelen die u als zorginstelling moet nemen bij het uitwisselen van patiëntgegevens. In NEN 7513 zijn specifieke bepalingen opgenomen over het vastleggen van acties in de elektronische patiëntendossiers. Zowel de wetgever als brancheorganisaties in de gezondheidszorg hebben het over ‘logging’. De normen NEN 7510, NEN 7512 en NEN 7513 worden in een keer ge-audit, organisaties worden niet afzonderlijk ge-audit voor drie verschillende normen.
Onze werkwijze
Is uw organisatie nog niet in het bezit van het NEN 7510-certificaat? Wij kunnen u ondersteunen bij uw implementatietraject. Onze werkwijze is als volgt:
- Start: nulmeting, waarmee wij inzicht krijgen in verwachte tijdsbesteding, taakverdeling, rollen en kosten.
- Inrichten managementsysteem: een praktisch, werkbaar Informatie Management en Management Systeem (ISMS) conform de NEN 7510-norm en de behoeften van uw organisatie.
- Interne audit: toetsing van het managementsysteem aan de NEN 7510-norm, toepasselijke wet- en regelgeving en de interne procedures.
- Directiebeoordeling: beoordeling van effectiviteit van het managementsysteem door de directie of het management.
- Begeleiding bij certificering: Begeleiding bij de externe audit door een certificerende instelling (PrivacyDirect is niet erkend als certificerende instelling en is zodoende niet bevoegd om zelfstandig NEN-certificaten af te geven).
- Onderhoud: periodiek bijhouden en -werken van het managementsysteem, zodat uw organisatie blijft voldoen aan de NEN 7510-norm, maar ook de toepasselijke wet- en regelgeving.
PrivacyDirect begeleidt opdrachtgevers in uiteenlopende branches, van de gezondheidszorg tot IT en marketingbureaus bij het behalen en behouden van hun certificaat. Afhankelijk van de behoeften van uw organisatie, kunnen wij tevens optreden als Functionaris voor de Gegevensbescherming (FG) of als Kwaliteitsmanager. In veel gevallen ondersteunen wij onder opdrachtgevers ook na het certificeringstraject, zodat zij blijvend voldoen aan de NEN-normen en de toepasselijke wet- en regelgeving. Met onze dienstverlening voegen wij graag waarde toe aan uw organisatie, zodat u zich kunt focussen op uw kerntaken zonder omkijken naar beleid.