Volg Software Zaken

NEN 7510: een overzicht van de norm voor informatiebeveiliging in de zorg

| Diederik Merkens | Security

De norm NEN 7510 is een door het Nederlands Normalisatie Instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland. Informatie in deze sector is vaak vertrouwelijk en gevoelig van aard en heeft daarom extra aandacht nodig, zie ook Security in de gezondheidszorg is een zorgpunt.

Doelgroep zijn alle organisaties die werkzaam zijn binnen de gezondheidszorg, variërend van individuele zorgverleners tot grote zorginstellingen en organisaties die bij de informatievoorziening betrokken zijn. Zorginstellingen zullen van ook toeleveranciers van patiëntgegevens eisen dat ze voldoen aan NEN7510.

Deze norm bestaat uit twee delen en is gratis verkrijgbaar bij de NEN. Beide delen zijn gratis te downloaden op de site van de NEN. Deel 1 beschrijft normen voor een informatiebeveiligingsmanagementsysteem (Engels:ISMS). Dit deel komt vrijwel volledig overeen met de bestaande norm NEN-ISO 27001 voor informatiebeveiliging, die hier is samengevat.

Deel 2 bevat beheersmaatregelen, is gebaseerd op NEN-ISO 27002 en NEN-EN-ISO 27799. De laatste internationale norm is een aanvulling op ISO 27002 en verschaft implementatierichtlijnen voor de maatregelen zoals omschreven in ISO 27002. Ze vult ze waar nodig aan zodat ze effectief gebruikt kunnen worden om gezondheidsinformatiebeveiliging te beheren.

De NEN 7510 wordt aangevuld met:

  • NEN 7512: Vertrouwensbasis voor gegevensuitwisseling
  • NEN 7513: Logging, dat wil zeggen het vastleggen van acties op het elektronisch patiëntendossier, zodat achterhaald kan worden wie er toegang heeft gehad tot het dossier

Een speciale norm voor de zorg

Waarom is er voor de zorg een aangepaste versie van NEN-ISO 27001/2? De eisen zoals in hoofdstuk 4 t/m 10 van NEN 7510 – deel 1 worden genoemd komen volledig overeen met ISO 27001. Maar in deel 2 zijn er wel degelijk een flink aantal zorgspecifieke beheersmaatregelen en implementatierichtlijnen toegevoegd aan de standaardopbouw van ISO 27002 en ligt de focus meer op patiëntgegevens met specifieke extra aandachtspunten zoals privacybescherming.

Een voorbeeld van zo´n zorgspecifieke beheersmaatregel, in dit geval bij de informatiebeveiliging in projectbeheer, is: ‘Bij het management van projecten moet de patiëntveiligheid als projectrisico in aanmerking worden genomen voor elk project dat gepaard gaat met het verwerken van persoonlijke gezondheidsinformatie’. De bijbehorende zorgspecifieke implementatierichtlijn luidt: ‘De patiëntveiligheid is een kritisch bestanddeel van de risicobeoordeling van elk project dat gepaard gaat met het verwerken van persoonlijke gezondheidsinformatie. Risico’s voor de veiligheid van cliënten behoren zorgvuldig te worden geanalyseerd en er behoort expliciet aandacht aan te worden besteed’.  

De aanvulling op ISO 27002 zie je in deel 2 ook aan de opbouw van de categorieën van hoofdbeveiligingsbeheersmaatregelen (Hoofdstuk 5 tot en met 18), waarin de volgende zorgspecifieke onderdelen extra zijn opgenomen:

  • de zorgspecifieke beheersmaatregel genoemd volgens de NEN-EN-ISO-27799
  • de zorgspecifieke implementatierichtlijn
  • overige zorgspecifieke informatie

36 van de 114 beheersmaatregelen van ISO 27002 zijn aangevuld met één of meerdere zorgspecifieke maatregelen (in totaal 61). Daarvoor zijn 42 zorgspecifieke implementatierichtlijnen aangegeven, waarvan er 25 in de norm zijn opgenomen zonder een zorgspecifieke beheersmaatregel.

Overigens is het ook mogelijk dat niet in alle situaties de hierboven genoemde implementatierichtlijnen geheel passend zijn en mogelijk niet voldoet aan de specifieke eisen m.b.t. de beheersmaatregelen van de organisatie.

Overzicht van de zorgspecifieke beheersmaatregelen

Voor wie er behoefte heeft aan een overzicht van de zorgspecifieke beheersmaatregelen, dan is dat in deze norm op twee plaatsen terug te vinden:

  • In Bijlage A ‘Referentiebeheersdoelstellingen en -maatregelen’ van deel 1 is een tabel te vinden waarin alle beheersmaatregelen, zowel zorgspecifieke als niet-zorgspecifieke, uit Hoofdstuk 5 t/m 18 van deel 2 zijn opgenomen. Deze bijlage A is normatief in die zin dat de door de organisatie vastgestelde beheersmaatregelen op basis van de risicoanalyse moet worden vergeleken met Bijlage A om te verifiëren of er geen noodzakelijke beheersmaatregelen zijn weggelaten.
  • In bijlage C ‘Checklist voor naleving van zorgspecifieke maatregelen’ van deel 2 waarin alle mogelijke zorgspecifieke beheersmaatregelen en -richtlijnen in een tabel zijn opgenomen. De lijst is informatief en kan gebruikt worden bij controle of voldaan is aan de noodzakelijke beheersmaatregelen en is goed te gebruiken bij interne en externe audits en overige beoordelingen van situaties waar informatiebeveiliging een rol speelt.

Er zijn dus meerdere variaties van beheersmaatregelen en richtlijnen zijn die in eerste instantie niet allemaal verplicht zijn, maar als er na de risicoanalyse door de organisatie voor een bepaald onderwerp noodzakelijke beheersmaatregelen vastgesteld zijn, dan moeten deze voldoen aan de beheersmaatregelen zoals aangegeven voor dat onderwerp in Bijlage A.

Image credit: @jairlazarofuentes via Unsplash

Diederik Merkens
Author: Diederik Merkens
Diederik Merkens is consultant bij SoftwareZaken en CTPP gecertificeerd. Eerder werkte hij voor diverse adviesbureau’s als proces- of business analist, projectleider en coach op het snijvlak van business en IT. Diederik is lid van de European Association for Data Privacy Professionals (EADPP).