Compliance

NEN 7510

NEN 7510 is een Nederlandse norm gebaseerd op de internationale standaard ISO 27001. Deze norm beschrijft welke maatregelen je moet nemen om op de juiste manier met patiëntgegevens om te gaan. Dit wordt ook wel informatiebeveiliging in de zorg genoemd. De genomen maatregelen zorgen ervoor dat processen rondom informatiebeveiliging gecontroleerd verlopen en hebben betrekking op alle mogelijke vormen waarin gegevens van patiënten zijn vastgelegd. Het voldoen aan de inhoud van NEN 7510 kan in Nederlandse wet- en regelgeving verplicht zijn gesteld.

Wat houdt NEN 7510 in?

NEN 7510 is een in Nederland ontwikkelde norm voor informatiebeveiliging van zorg- en welzijnsgegevens. In de norm wordt extra aandacht besteed aan aspecten die specifiek zijn voor de zorgsector, zoals het verwerken van patiëntgegevens (medische gegevens, BSN, etc.). Het (verplicht) gebruik van NEN 7510 is opgenomen in Nederlandse wetgeving. Door samen te werken met Eshgro als NEN 7510 gecertificeerde toeleverancier, kun je waarborgen dat zorggegevens conform wet- en regelgeving worden verwerkt.

De keuze voor een NEN 7510 cloud service provider is altijd verstandig. Zelfs als je geen zorggegevens verwerkt. Het toont namelijk aan dat de cloud provider in staat is processen te beheersen op een dusdanig niveau dat zelfs bijzondere persoonsgegevens (zorggegevens en medische gegevens) volgens de wet mogen worden verwerkt. En hierdoor voldoe jij ook aan deze wet- en regelgeving.

✓ Informatiebeveiliging in de zorg
✓ Nederlandse normering
✓ Wettelijk verplicht voor zorginstellingen

“Dankzij NEN 7510 kun je er als klant op vertrouwen dat jouw (zorg)gegevens op een veilige en integere manier worden verwerkt, met inachtneming van een passend niveau van informatiebeveiliging.”

Top 5 veelgestelde vragen over NEN 7510

Hieronder vind je de top 5 veelgestelde vragen over NEN 7510, ontworpen om inzicht te bieden in wat de norm inhoudt, hoe deze kan worden geïmplementeerd en wat de voordelen zijn voor jouw organisatie. Deze vragen helpen je om een beter begrip te krijgen van NEN 7510 en hoe deze norm de beveiliging van jouw informatie in de zorgsector kan versterken.

1. Wat is het verschil tussen NEN 7510:2011 en NEN 7510:2017?

NEN 7510 is de norm en achter de dubbele punt staat het jaartal waarin een (nieuwe) versie van de norm is opgesteld. Normen worden periodiek herzien om deze actueel te houden en ervoor te zorgen dat normcommissies kunnen inspelen op de laatste stand der zaken. NEN 7510:2017 is in december 2017 gepubliceerd en daarmee werd NEN 7510:2011 ingetrokken. Afgegeven certificaten blijven geldig, maar nieuwe afgifte en verlengingen worden volgens de laatste norm getoetst.

Het concrete verschil tussen 7510:2011 en 7510:2017 is minimaal. Laatstgenoemde versie sluit beter aan bij de indeling, structuur en teksten van de internationale normen. Ook is de vernieuwde High Level Structure (HLS) nu geheel in de norm opgenomen, waardoor NEN 7510 compatibel is met andere managementsysteemnormen die HLS volgen, zoals ISO 9001, ISO 14001 en ISO 27001.

2. Wat is de verhouding tussen NEN 7510 en ISO 27001?

NEN 7510 en ISO 27001 zijn allebei normen die iets zeggen over hoe organisaties moeten omgaan met informatiebeveiliging. Het verschil tussen NEN 7510 en ISO 27001 is dat NEN 7510 is toegespitst op de zorg. Daarnaast is ISO 27001 opgesteld door de Internationale Organisatie voor Standaardisatie (ISO). Zoals de naam doet vermoeden, is ISO een internationale organisatie die een samenwerkingsverband vormt van standaardisatieorganisaties in 163 landen. Dit in tegenstelling tot het Nederlands Normalisatie Instituut (NEN). NEN is in Nederland de erkende nationale standaardisatieorganisatie.

3. Richt NEN 7510 zich ook op softwareontwikkelaars die zich focussen op zorginstellingen?

De scope van NEN 7510 richt zich op zorgorganisaties en andere beheerders van persoonlijke gezondheidsinformatie. Zij worden volgens de AVG doorgaans als ‘verwerkingsverantwoordelijke’ aangemerkt. Wanneer je met leveranciers werkt, is het relevant om te constateren of zij zelf persoonlijke gezondheidsinformatie verwerken. Voor zowel verwerkers als organisaties die als verwerkingsverantwoordelijke worden aangemerkt, geldt dat zij aan NEN 7510 moeten voldoen. Of deze organisaties softwareontwikkelaars zijn, maakt daarbij niet uit.

4. Wanneer ik als zorginstelling (cloud) software (bijv. SaaS) gebruik die volledig ISO 27001 gecertificeerd is, voldoe ik dan ook direct aan NEN 7510?

De cloudoplossing, software of een ander product of dienst op zichzelf kan niet volgens ISO 27001 en NEN 7510 gecertificeerd zijn, omdat deze normen zich richten op organisaties. De organisatie achter de cloudoplossing is mogelijk gecertificeerd volgens ISO 27001, maar dat betekent niet dat zij daarmee ook NEN 7510 gecertificeerd is. Daarvoor mist het zorgspecifieke deel. Wel is het behalen van NEN 7510 eenvoudiger wanneer men al in het bezit is van ISO 27001.

5. Moet je de organisatie laten certificeren om te voldoen aan NEN 7510?

Nee, certificatie is niet verplicht. Maar een zorginstelling moet wel aan de inhoud van NEN 7510 voldoen en dat ook kunnen aantonen. Het voordeel van certificatie is dat een onafhankelijk auditor vaststelt of dat het geval is. Vaak volstaat dan de afgifte van een certificaat aan de betrokken toezichthouder of opdrachtgever. Wanneer er geen certificaat voorhanden is, zal de toezichthouder of opdrachtgever zelf toetsen of aan NEN 7510 wordt voldaan. Met name dit laatste is een tijdrovend en kostbaar proces.