Medische gegevens en andere patiëntgegevens zijn bij uitstek vertrouwelijk. Van zorgverleners wordt dan ook verwacht dat ze hun informatiehuishouding en de beveiliging daarvan goed op orde hebben. Zorgaanbieders moeten conform de kwaliteitsnorm NEN 7510 dan ook zorgdragen voor een veilig en zorgvuldig gebruik van het door hen gebruikte zorginformatiesysteem. Certificering conform deze norm is niet verplicht, maar toont wel aan dat een organisatie werk maakt van informatie- en privacybescherming. Een NEN 7510 certificaat kan worden behaald na een NEN 7510 audit door een onafhankelijke derde partij.
Veilige digitale communicatie
Bij het veilig en zorgvuldig gebruiken van een zorginformatiesysteem worden zorgaanbieders ondersteund door VECOZO, wat staat voor Veilige Communicatie in de Zorg. VECOZO werd in 2000 opgericht door zorgverzekeraars CZ, OZ en VGZ en is intussen uitgegroeid tot landelijk knooppunt voor veilige digitale communicatie in de zorg. VECOZO ondersteunt zorgaanbieders door in de koppeling op VECOZO naar bewijslast te vragen bij de door hen ingeschakelde software- en administratieve dienstverleners over naleving van de NEN 7510.
Aansluiten bij VECOZO
Wilt u als zorgaanbieder aansluiten bij VECOZO? Dan gelden de aansluitvoorwaarden van VECOZO. Afhankelijk van de producten en diensten die u levert, kan het voldoen aan NEN 7510:2017 één van die voorwaarden zijn. Het voldoen aan NEN 7510:2017 kan worden aangetoond met een NEN 7510 certificering maar organisaties die hiervoor niet in aanmerking komen, kunnen hiervoor een verkorte TPM NEN 7510 aanvragen bij Kiwa.
Wat is verkorte TPM-verklaring NEN 7510?
Als u als zorgverlener diensten uitbesteedt, dan wilt u natuurlijk wél graag weten of de leverancier van uw keuze zaken als beveiliging, continuïteit en privacy- en informatiebescherming goed heeft geregeld. Dit kan door Kiwa door middel van een audit worden onderzocht. Het resultaat van het onderzoek wordt verwoord in een TPM. Een verkorte TPM is een samenvatting van de gehele TPM die de eindconclusie van het onderzoek bevat en is daarmee een geschikt middel om, vanuit het oogpunt van zorgplicht, zekerheid te krijgen of een partij voldoet aan een bepaald normenkader zonder dat het noodzakelijk is dat de betreffende partij alle details hierover openbaar maakt.
Om aan de aansluitvoorwaarden van VECOZO te voldoen, moet een verkorte TPM minimaal bestaan uit het volgende (bron: Richtlijn Inhoud van de verkorte TPM voor aansluiting op VECOZO):
- Naam en KvK-nummer van de onderzochte partij;
- Het toegepaste normenkader (NEN7510:2017);
- Object van onderzoek, inclusief organisatorische scope in geval van bijvoorbeeld meerdere vestigingen en/of uitbesteding aan derden. Het object van onderzoek dient te zijn: alle locaties waar persoonsgegevens verwerkt worden (conform de Algemene Verordening Gegevensbescherming) met betrekking tot de (directe of indirecte) verlening van zorg en waarvan de verwerking onder de juridische verantwoordelijkheid van de betreffende partij valt;
- De naam en handtekening van de persoon die de verkorte TPM afgeeft;
- De titel van deze persoon, zijnde RE en/of CISA. Deze titel dient bovendien in het passende register geregistreerd en daarmee verifieerbaar te zijn (zie paragraaf 2.3 Registers);
- Datum waarop het onderzoek is afgerond;
- De uitspraak (conclusie) in hoeverre de onderzochte partij in opzet en bestaan voldoet aan het gestelde normenkader.