De NVZ Routekaart Informatiebeveiliging is het overkoepelende beleidsplan van het implementatietraject voor ziekenhuizen om aan de informatiebeveiligingseisen ten aanzien van de toegang tot digitale patiëntendossiers te voldoen. De Routekaart bestaat uit twee sporen:
1. Het beleidsmatige kader: Gebaseerd op de bestuurlijke afspraken met de Autoriteit Persoonsgegevens (AP) voor de ontwikkeling van de Gedragslijn Toegangsbeveiliging digitale patiëntendossiers (en het bijbehorende auditkader). De Gedragslijn is gebaseerd op de wettelijke regels voor informatiebeveiliging zoals vastgelegd in de AVG en vormt een uitwerking van een aantal bepalingen uit de NEN 7510. Het is een vorm van zelfregulering waarbinnen branchespecifieke eisen worden opgesteld binnen de bestaande kaders van wet- en regelgeving;
2. De planning van implementatie (route) van de Gedragslijn met toetsing en rapportagemomenten (nulmeting, resultaat- of 1-meting):
- Ziekenhuizen die de NEN 7510 geïmplementeerd hebben (gecertificeerd zijn) of aan het implementeren zijn, moeten aantonen dat hun implementatie aan de specifieke eisen voldoet en zij de Gedragslijn als toetsingskader hanteren;
- Ziekenhuizen die de NEN 7510 nog niet (aantoonbaar) hebben geïmplementeerd, zullen in ieder geval de onderdelen van de Gedragslijn aantoonbaar moeten implementeren.
1-meting verplicht vanaf eind mei 2021
Vanaf eind mei 2021 moeten ziekenhuizen en zorginstellingen verplicht de 1-meting ingediend hebben. Met deze toetsing kunt u laten zien dat aan de Gedragslijn wordt voldaan. De ‘1-meting’ wordt uitgevoerd volgens de NOREA Richtlijn 3000A Assurance-opdrachten. Neem voor meer informatie over deze verplichting contact op via telefoon (+31 (0)88 998 49 00) of ons contactformulier.
Hulpmiddel bij implementatie WGZ
De routekaart is een hulpmiddel voor bestuurders, kwartiermakers en projectleiders die willen starten met de implementatie van WGZ. Uitgangspunt van deze gedragslijn is dat de zorginstelling beschikt over een managementsysteem voor informatiebeveiliging (Information Security Management System (ISMS)), zoals beschreven in de NEN 7510. De Gedragslijn Toegangsbeveiliging digitale patiëntendossiers moet geïntegreerd zijn in dit ISMS en beoogde beveiligingsmaatregelen moeten tot stand komen op basis van een risicoanalyse. Het uitgangspunt moet zijn dat de maatregelen passend zijn, ook vanuit een kosten/baten afweging.
Assurance-audit
De NVZ heeft besloten dat zorginstellingen die in aanmerking willen komen voor ondersteuning volgens de NVZ Routekaart moeten worden beoordeeld door een geregistreerde IT-auditor (RE-auditor). Deze zal na een audit een assurance-rapport opleveren waarin onderstaande elementen aan bod komen:
- Autorisatie: Logische toegangsbeveiliging tot gegevens en systeem uitreiking en intrekken van bevoegdheden;
- Authenticatie van toegang: Is degene die toegang heeft verkregen daadwerkelijk wie hij zegt dat hij is;
- Logging: Worden (geclassificeerde) gebeurtenissen geregistreerd en is deze registratie betrouwbaar;
- Monitoring: Zijn er mechanismes om (geclassificeerde) gebeurtenissen te monitoren en werken deze ook?
- Bewustzijn: Bestaan er trainingen, opleidingen en is er een toets op het bewustzijn van medewerkers tav informatiebeveiliging.
Wat kan Kiwa voor u betekenen?
Kiwa kan zorginstellingen die in aanmerking willen komen voor ondersteuning via de NVZ Routekaart Informatiebeveiliging helpen te voldoen aan de NVZ-eisen. Dat doen we met:
- Proefaudit: Kiwa kan voorafgaand aan de audit een proefaudit bij u uitvoeren. Hierdoor weet u waar u staat als organisatie en wat u nog moet doen om aan de eisen van de NVZ Routekaart te voldoen. Na afloop van de audit ontvangt u een auditrapportage met de bevindingen, zodat u hier direct mee aan de slag kunt gaan.
- Assurance-opdracht door een RE-auditor: Kiwa kan de certificering voor u uitvoeren en daarmee een assuranceverklaring afgeven die erkend is binnen de branche. De audit wordt door een NOREA-erkende RE-auditor uitgevoerd en voldoet daarmee ook aan de gestelde toetsingseisen voor de NVZ Routekaart.
Meer informatie?
Wilt u meer informatie of een vrijblijvende offerte? Neem contact met ons op via het contactformulier of bel +31 (0)88 998 49 00.