Kiwa certificeert Amsterdam UMC voor ISO 27001 en NEN 7510
Niets is vertrouwelijker dan medische informatie. Er zijn dan ook weinig branches waar privacy- en informatiebeveiliging een hogere prioriteit heeft dan de zorgsector. Amsterdam UMC, de fusieorganisatie van AMC en VUmc, certificeerde zich onlangs bij Kiwa voor de normen ISO 27001 en NEN 7510. Marcel van der Haagen, functionaris gegevensbescherming bij Amsterdam UMC, vertelt er meer over.
Amsterdam UMC ontstond in 2018 na de bestuurlijke fusie van het Academisch Medisch Centrum (AMC) en VUmc. Met ruim 17.000 mensen werken de twee locaties van Amsterdam UMC samen aan goede en toegankelijke zorg. Daarnaast worden samen met de geassocieerde universiteiten, de UVA en de VU, jonge mensen opgeleid tot arts, specialist of verpleegkundige. Amsterdam UMC streeft ernaar excellente academische patiëntenzorg aan te bieden, hoogstaand wetenschappelijk onderzoek te verrichten en onderwijs en opleidingen te leveren op topniveau.
Amsterdam UMC koos ervoor om alle processen waarin persoonsgegevens worden verwerkt te laten certificeren. Daarbij ging het om processen rondom patiëntenzorg, onderzoek, onderwijs, opleiding en bedrijfsvoering. De ICT-afdeling van locatie AMC was al gecertificeerd tegen ISO 27001 en locatie VUmc tegen de gehele scope van de NEN 7510. De nieuwe organisatie Amsterdam UMC besloot dit gelijk te trekken en de hele organisatie te laten certificeren tegen zowel de ISO 27001 als de NEN 7510.
Wat betekende deze gelijkschakeling voor het gecombineerde certificeringstraject ISO 27001/NEN 7510 bij Amsterdam UMC?
Marcel van der Haagen: ‘Het voorbereiden van Amsterdam UMC op NEN 7510- en ISO 27001-certificatie was een erg omvangrijk project, maar dankzij eerdere ervaringen met NEN 7510- en ISO 27001-certificatietrajecten bleef de doorlooptijd beperkt. Zo was er natuurlijk al enkele jaren een managementsysteem voor privacybescherming en informatiebeveiliging, een ISMS, operationeel.’
Waarom besloot Amsterdam UMC voor ISO 27001- en NEN 7510-certificering op te gaan?
Marcel van der Haagen: ‘Amsterdam UMC wil aantoonbaar de privacybescherming en informatiebeveiliging op orde hebben conform wet- en regelgeving en relevante beveiligingsnormen. Het is daarom erg belangrijk dat de beveiliging van de gegevens van miljoenen patiënten gegarandeerd is. Certificering bevordert het vertrouwen van patiënten, onderzoekdeelnemers en andere stakeholders in Amsterdam UMC.’
Waarom kozen jullie daarbij voor Kiwa?
Marcel van der Haagen: ‘Kiwa heeft van meet af aan actief meegedacht over hoe Amsterdam UMC het certificatietraject het beste kon aanpakken. We hebben gedurende het traject ook uiterst soepel en plezierig samengewerkt. Kiwa’s kennis en ervaring op het gebied van informatiebeveiliging en privacybescherming in verschillende branches is voor Amsterdam UMC van belang bij de onafhankelijke beoordeling ervan tijdens initiële en periodieke tussentijdse audits.’
Hoe zag het traject eruit?
Marcel van der Haagen: ‘We hadden twee jaar nodig om de organisatie voor te bereiden op de integrale certificatieaudit. De meeste tijd is besteed aan het harmoniseren van beleid, procedures en richtlijnen voor de locaties AMC en VUmc. Na de initiële audit werden er nog een paar kleine tekortkomingen geconstateerd die we grotendeels snel konden oplossen. Aandachtspunt na de initiële audit is ervoor te zorgen dat privacybescherming en informatiebeveiliging op een hoog niveau blijven en zelfs verbeteren.’
Foto: Amsterdam UMC neemt de certificaten ISO 27001 en NEN 7510 in ontvangst.
Wat is de meerwaarde van certificering voor Amsterdam UMC?
Marcel van der Haagen: ‘NEN 7510 is verplicht in bepaalde wettelijke regels die gelden in de zorgsector. Ook is de norm het toetsingskader dat de Autoriteit Persoonsgegevens hanteert bij het uitoefenen van toezicht op de naleving van de AVG en andere regelgeving rondom privacybescherming en informatiebeveiliging in de zorg. Door aantoonbaar te voldoen aan de NEN 7510-norm voldoet de organisatie ook aan de eisen die gesteld worden door ketenpartners in het kader van veilige gegevensuitwisseling. Ook is het een belangrijk middel om risico’s als imagoschade, boetes en strafrechtelijke vervolging te beheersen.’
Wat betekent de certificering voor jullie patiënten?
Marcel van der Haagen: ‘Voor Amsterdam UMC is het erg belangrijk dat patiënten, onderzoeksdeelnemers, ketenpartners en andere stakeholders erop kunnen vertrouwen dat persoonsgegevens optimaal beschermd worden. Certificering draagt bij aan dat vertrouwen.’
Hoe kijken jullie terug op het traject?
Marcel van der Haagen: ‘Het was een intensief en complex project, met name vanwege de omvang van de twee betrokken locaties, AMC en VUmc. Het harmoniseren van beleid, procedures en richtlijnen inclusief de toepassing ervan in de verste uithoeken van de organisatie was een behoorlijke uitdaging. Het positieve resultaat van de initiële certificatieaudits betekende voor Amsterdam UMC dan ook echt “de kroon op het werk”.’
Heeft certificering ook gezorgd voor meer bewustzijn bij medewerkers?
Marcel van der Haagen: ‘Tijdens het certificeringstraject ben je met de hele organisatie in gesprek over privacybescherming en informatiebeveiliging en hoe dat volgens de beveiligingsnormen ingericht moet worden. Dat dat geleid heeft tot meer veiligheidsbewustzijn bij onze medewerkers merken we alleen al aan de forse toename van het aantal adviesaanvragen op privacy- en securitygebied.’
Welke ontwikkelingen voorzien jullie voor de toekomst?
Marcel van der Haagen: ‘Ontwikkelingen als Artificial Intelligence en Machine Learning gaan een belangrijke rol spelen in het realiseren van de strategische doelen van Amsterdam UMC. Digitale informatie is daarbij cruciaal en dus zullen privacybescherming en informatiebeveiliging alleen maar belangrijker worden. Amsterdam UMC wil op dit gebied innovatief en toonaangevend zijn. De verwerking van persoonsgegevens voor patiëntenzorg, onderzoek, onderwijs en opleiding moet rechtmatig en compliant zijn. In het licht van nieuwe technologische en maatschappelijke ontwikkelingen is het systematisch monitoren en managen van privacy- en informatiebeveiligingsrisico’s noodzakelijk. Beschermen van privacy en beveiligen van informatie is altijd zoeken naar de juiste balans tussen patiëntveiligheid, werkbaarheid en compliance.’