Normal_nen

Computers, het internet, clouddiensten en interne netwerken hebben het papieren dossier overbodig gemaakt. Dat is een voordeel, want het maakt het bewaren en terugvinden van gegevens een stuk eenvoudiger. Ook is de kans kleiner dat er gegevens verloren gaan door calamiteiten als een brand. Digitale informatie heeft echter als nadeel dat slimme mensen met verkeerde bedoelingen kunnen proberen om bij die gegevens te komen zonder dat je dit direct merkt. Juist in de zorgsector is dit pijnlijk, omdat alle gegevens vertrouwelijk en zeer persoonlijk zijn. Om aan te tonen dat een zorgverlener aan de normen voldoet qua informatiebeveiliging, is de NEN 7510 norm ontwikkeld.

NEN 7510

De NEN 7510 is specifiek voor de Nederlandse zorgsector ontwikkeld op basis van de internationale standaard ISO 27001. Hoewel de norm in eerste instantie voor zorgverleners is, kunnen die van leveranciers van zaken als clouddiensten, software en hardware verwachten dat zij hier óók aan voldoen. Vooralsnog zijn zorgorganisaties enkel verplicht om te voldoen aan de normen van NEN 7510, maar hoeven ze nog niet daadwerkelijk een NEN 7510-certificaat te hebben. Het certificaat helpt echter wel bij het aantonen dat de zorgverlener bewust bezig is met informatiebeveiliging, wat in het bijzonder voor patiënten een geruststellende gedachte is.

Huidige situatie in kaart brengen

Werken volgens de NEN 7510 betekent niet dat een zorgverlener de norm tot op de letter moet volgen. Het is immers niet de bedoeling dat er onwerkbare situaties ontstaan door de maatregelen. Om de normen succesvol te implementeren, is het verstandig om de huidige situatie rondom het omgaan met patiëntinformatie eerst in kaart te brengen. Wat er nu al goed gaat, hoeft immers niet vervangen te worden. Het is echter ook belangrijk om te kijken wat er níet goed gaat. Hoe wordt er omgegaan met usb-sticks? Is men in staat om phishing mails te herkennen? Ook deze zaken moeten op orde zijn voor een goed informatiebeveiligingsbeleid.

Aanpassen op de organisatie

Het raamwerk dat zorgorganisaties kunnen gebruiken om hun informatiebeveiliging volgens de eisen van de NEN 7510 in te richten is het Information Security Management System (ISMS). Om de invoering hiervan succesvol te maken, moet het passend gemaakt worden voor de organisatie en niet andersom. Kies je ervoor om bepaalde maatregelen niet toe te passen omdat deze geen toegevoegde waarde hebben, dan moet je wel kunnen aantonen waarom hiervoor gekozen wordt.