‘Certificaat NEN 7510 zorgt voor zekerheid en vertrouwen bij patiënten en leveranciers’
Informatie die zorgverleners verwerken is vrijwel altijd vertrouwelijk. De zorgsector ligt dan ook onder een vergrootglas als het gaat om privacy- en informatiebeveiliging. De NEN 7510 beschrijft, specifiek voor de Nederlandse zorgsector, de eisen voor informatiebeveiliging. Kiwa’s Tom Luhukay is als auditor gespecialiseerd in de NEN 7510 en vertelt hieronder meer over de norm.
Waarom is de NEN 7510 jouw specialisatie?
Ik toets informatiebeveiliging tegen de normen ISO 27001 en NEN 7510. De NEN 7510 is mijn specialisme omdat ik jarenlang in de zorg hebt gewerkt, onder meer als zorgkundige en divisiemanager en later als ICT-manager. Daardoor ken ik zowel het zorg- als het bedrijfsproces erg goed. Daarnaast heb ik sinds 2010 bij verschillende zorgorganisaties en zorggerelateerde organisaties de NEN 7510 geïmplementeerd. Ik ken de uitdagingen waar zorginstellingen voor staan bij het implementeren van NEN 7510.
Welke toegevoegde waarde heeft die voor de klant?
NEN 7510 is een Nederlandse norm, gebaseerd op de internationale standaard ISO 27001 voor informatiebeveiliging. De NEN 7510 beschrijft welke maatregelen genomen moeten worden om op de juiste manier om te kunnen gaan met patiënt- en cliëntgegevens. De toegevoegde waarde is niet alleen op het gebied van kwaliteit en professionele uitstraling, maar ook op het vlak van imago. Het certificaat biedt zekerheid en vertrouwen voor patiënten, cliënten en opdrachtgevers.
In welk opzicht is jouw ervaring een meerwaarde bij een audit?
Ik weet veel van de processen binnen een zorginstelling en heb flink wat ervaring met het implementeren van NEN 7510 binnen zorgorganisaties. Daarnaast spreek ik de taal van de zorg en ben ik in staat om complexe informatiebeveiligingsmaatregelen makkelijker te maken
Welke scopes kun je onderscheiden bij de NEN 7510?
NEN 7510 bestaat uit twee delen. Het eerste deel behelst onder meer de bekende PDCA-cyclus. Het tweede deel gaat over de beheersmaatregelen. Binnen dit deel wordt in de NEN 7510 onderscheid gemaakt tussen algemene en zorgspecifieke maatregelen.
Welke zaken kom je vaak tegen bij scopebepaling op gebied van NEN 7510?
Diensten van derden - bijvoorbeeld de outsourcing van netwerkbeheer of andere gedeelde diensten - die niet meegerekend worden in de scope, terwijl dit in ieder geval wél onderdeel zou moeten zijn van de risicobeoordeling. Mijn advies is dan ook om de betrokken ICT-partners te betrekken bij de implementatie en continuering van NEN 7510-certificering.
Hoe zie jij de toekomst van de NEN 7510?
Steeds meer zorgorganisaties zijn zich ervan bewust dat je met NEN 7510-certificering aantoont dat een organisatie vertrouwelijk en integer omgaat met de patiënt- en clientgegevens. De organisatie laat, door middel van een managementsysteem, zien hoe de medewerkers omgaan met privacygevoelige informatie. Dit komt hun imago ten goede. Ik denk dat de vraag naar NEN 7510-certificering in Nederland de komende jaren alleen maar zal toenemen. En ik hoop dat de NEN 7510 ook een internationale norm wordt!