27 januari 2022

‘NEN 7510-certificering is een zegel van betrouwbaarheid’

Eleos is een landelijke opererende organisatie voor geestelijke gezondheidszorg op christelijke grondslag. Met ruim duizend medewerkers biedt Eleos vrijwel alle vormen GGZ-dienstverlening aan ongeveer tienduizend cliënten. Omdat medische en andere cliëntgegevens bij uitstek privacygevoelig zijn, besloot Eleos op te gaan voor certificering tegen de kwaliteitsnorm NEN 7510. Over het hoe en waarom hiervan spraken we met Bas van der Ven, directeur bedrijfsvoering bij Eleos.

Informatie speelt ook in de geestelijke gezondheidszorg een steeds grotere rol. Persoonlijke gegevens over cliënten en hun medische achtergrond helpen zorgverleners om dubbele onderzoeken en fouten te voorkomen en cliënten zo goed mogelijk te helpen. Nergens is informatie echter meer privacygevoelig dan in de gezondheidszorg. Niet vreemd dus dat informatiebeveiliging topprioriteit heeft bij zorgverleners. De kwaliteitsnorm NEN 7510, speciaal ontwikkeld voor Nederlandse zorgverleners en hun toeleveranciers, helpt organisaties in de gezondheidszorg om vertrouwelijk en betrouwbaar om te gaan met persoonsgegevens.

ELE_logo2017-specialist_rgb_paars_pos02.png


Clean desk policy

Ook bij Eleos werd al veel aandacht besteed aan informatiebeveiliging. ‘Eigenlijk dachten we dat we al optimaal invulling gaven aan het beveiligen van privacygevoelige gegevens’, vertelt Bas van der Ven. ‘En eerlijk gezegd besloten we ook alleen om op te gaan voor NEN 7510-certificering omdat onze afnemers daar steeds vaker om vragen. Maar hoewel we onze beveiliging goed op orde hadden, bleek aan het begin van het certificeringstraject dat het echt nog wel beter kon. Dat kwam zeker niet door onwil, maar doordat je bepaalde zaken eenvoudigweg niet in beeld hebt. Denk daarbij aan ogenschijnlijk kleine zaken als het afsluiten van kasten en een clean desk policy.’

Zwakke kanten blootgelegd

Eleos koos voor certificering door Kiwa: ‘We hebben verschillende partijen intensief onderzocht. Kiwa staat bekend als een uiterst ervaren en betrouwbare partij. Kiwa durfde bovendien de toezegging te doen voor de opleverdatum en die zijn ze ook nagekomen. Het certificeringstraject was erg intensief. Hierdoor zijn we ons bij Eleos meer bewust geworden van de risico’s op gebied van privacy. Certificering dwong ons, op plezierige wijze, om organisatiebreed aandacht te vragen voor het begrip privacy. Onze zwakke kanten werden blootgelegd en vervolgens konden we daarop acteren.’  

Zelfvertrouwen

Achteraf ziet Van der Ven het certificeringstraject als een pittige periode, maar ook als een unieke manier om extra kritisch te kijken naar Eleos’ informatiebeveiliging. ‘We hebben ons grondig voorbereid, met als uitgangspunt de eisen van de NEN. Kiwa heeft eerst een initiële audit uitgevoerd. Conclusie: we hadden het niet slecht voor elkaar, maar er waren verbeterpunten. Dit gaf ons zelfvertrouwen. We zijn met die verbeterpunten aan de slag gegaan en wisten zeker dat we daarna voorgedragen zouden worden voor certificering.

Prachtig resultaat

Van der Ven is blij dat Eleos het NEN 7510-certificaat in de wacht heeft weten te slepen. ‘Op de eerste plaats is nu voor onze afnemers duidelijk dat we echt alles gedaan hebben om de privacy van cliënten te garanderen. Onze klanten bestaan voornamelijk uit gemeentelijke overheden en verzekeraars en op het gebied van privacy wordt NEN 7510-certificering beschouwd als zegel van betrouwbaarheid. We kijken terug op een intensief traject met prachtig resultaat. Ik verwacht wél dat het een uitdaging zal worden om gecertificeerd te blijven. Het werkveld waarin we actief zijn wordt steeds complexer en de wet- en regelgeving rondom informatiebeveiliging wordt steeds strenger. Dus als de dienstverlening van Kiwa blijft zoals het is, zullen wij elkaar nodig blijven hebben.

Meer informatie

Meer informatie over de kwaliteitsnorm NEN 7510 voor informatiebeveiliging in de gezondheidszorg vindt u op de productpagina NEN 7510. Kiwa verzorgt ook NEN 7510 trainingen.

NEN-min.jpg

Foto: Bas van der Ven (Directeur Bedrijfsvoering), Michiel van Amerongen (Netwerkbeheerder en Coördinator ICT) en Marco Pouwen (Beleidsmedewerker Beleid&Kwaliteit).