NEN 7510:2024

De NEN 7510 is dé nationale standaard voor informatie beveiliging in de zorg met als speerpunt de bescherming van gezondheidsinformatie. Deze norm is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en het continu verbeteren van een managementsysteem voor informatie beveiliging. Dit management systeem wordt ook wel een information security management system (ISMS) genoemd.

Deze norm heeft sinds december 2024 een nieuwe versie waarbij de structuur van het ISMS en de bijlage A in grote delen is overgenomen van de nieuwe versie van ISO 27001:2022. De uitzondering zit hem voornamelijk in een aantal zorgspecifieke maatregelen die bedoeld zijn extra diepgang in beveiliging te geven in de zorg sector.

Deze zorgspecifieke maatregelen zijn feitelijk opgedeeld in twee categorieën:

• “Zorgspecifieke” maatregelen
• “HLT” maatregelen

De zorgspecifieke maatregelen zijn meer van generieke aard maar wel een verdieping als er gekeken wordt naar ISO 27001:2022 en vereisen dus strengere maatregelen. De zorgspecifieke maatregelen daarentegen worden aangemerkt als “HLT” wat staat voor de Engels term “Health” wat direct impliceert dat het raakvlak heeft met de bescherming van gezondheidsinformatie. Dit type maatregelen zijn niet direct gebaseerd op ISO 27001:2022 en zijn specifiek in het leven geroepen om extra bescherming te bieden aan organisatie die zich bevinden in de zorg.

De oorsprong

De NEN 7510 stamt vanuit de kern af van de ISO 27001 norm waarbij velen elementen, zoals de eisen aan het ISMS en de structuur van de beheersmaatregelen uit de bijlage A, overeenkomen. Er ontstond een behoefte aan informatie beveiligingsrichtlijnen die specifiek op situaties waar zorgverleners, zorgaanbieders en zorg-IT leveranciers zich in bevinden met als focus de bescherming van gezondheidsinformatie. Om deze reden is de NEN 7510 in het leven geroepen om in deze behoefte te kunnen voorzien.   

Het ISMS & de bijlage A

Ook dit management systeem is, net zoals de ISO 27001:2022, gebaseerd op de plan-do-check-act werkwijze waarbij een risicobeheerproces, incl. het uitvoeren van een risicoanalyse, ingericht dient te worden. Er dient vervolgens naar twee sets aan beheersmaatregelen gekeken te worden;

• Een algemene set aan maatregelen die identiek is aan de bijlage A van ISO 27001:2022;
• Een zorgspecifieke set aan maatregelen die ingaat op situaties waar zorgverleners, zorgaanbieders en IT leveranciers in de zorg zich bevinden.

Hierdoor kunnen twee primaire onderdelen erkend worden in de ISO 27001:2022 norm, het ISMS en de bijlage A. Het ISMS zorgt voor een werkwijze die continue verbetering waarborgt, waardoor de geselecteerde maatregelen uit de bijlage A ten aller tijden up-to-date blijven ongeacht de situatie waar u in zit of verandering die u doormaakt. Hierdoor is de NEN 7510 dé manier om informatie beveiliging in controle te hebben.

Verwevenheid NEN 7510 & ISO 27001

Door de verwevenheid van de NEN 7510:2024 met de ISO 27001:2022 worden deze normen vaak gecombineerd geïmplementeerd zodat zowel op nationaal als internationaal niveau erkenning zal zijn van uw management systeem. Dit kan bijvoorbeeld interessant zijn als uw organisatie zaken doet in het buitenland of indien u klanten heeft zowel in de zorgsector als in andere sectoren.

Waarom certificeren voor de NEN 7510?

U heeft vast uw redenen waarom u interesse heeft naar informatie over de NEN 7510, wij van DigiSecur hebben echter alle voordelen van certificering op een rijtje gezet zodat u wellicht op basis hiervan de knoop durft door te hakken om voor deze standaard te gaan. 

• Klantvertrouwen: Certificering voor NEN 7510 geeft aantoonbaarheid voor het in controle zijn over uw informatie beveiliging in de zorg. Deze aantoonbaarheid is vaak essentieel om zaken te kunnen doen met uw (potentiële) klanten of zelfs leveranciers.
• Lagere kosten door risicomanagement: De richtlijnen van NEN 7510 stellen dat er een risico analyse informatiebeveiliging dient te worden uitgevoerd, hierdoor kijkt u vanuit een risico perspectief naar uw organisatie en zorgt u dat u weloverwogen keuzes maakt over de risico’s die uw organisatie loopt. Dit heeft als gevolg dat u beter voorbereid bent op het moment dat risico’s realiteit worden. 
• Effectievere bedrijfsprocessen: Doordat informatie beveiliging binnen uw organisatie geborgd moet worden zult u er niet aan ontkomen om kritisch te moeten kijken naar uw bedrijfsprocessen. Hierdoor zullen ad-hoc aangelegenheden, zoals een indiensttredingsproces of een wijzigingsbeheerproces, gedocumenteerd moeten worden en verantwoordelijkheden moeten worden toegewezen. Door deze inrichting zult u ervaren dat uw medewerkers processen gestroomlijnder kunnen uitvoeren wat leidt tot effectiviteit en efficiëntie hiervan.  
• Juridische vereisten: Voldoen aan de NEN 7510 betekent ook voldoen aan alle van toepassing zijnde wet- en regelgevingen op het gebied van misbruik, databescherming en privacy. Hierdoor bent u ervan verzekert dat u voldoet aan (inter)nationale wetgeving.
• Veilige werkomgeving: Tot slot biedt NEN 7510 zekerheid dat alle mogelijk voorzorgsmaatregelen genomen zijn om gezondheidsinformatie en persoonsgegevens te beschermen.

NEN 7512 & 7513

De NEN 7512 & NEN 7513 zijn normen die kunnen worden toegevoegd aan uw fundament dat is opgezet middels de NEN 7510.  Beiden normen zullen ten aller tijden moeten worden gecombineerd met een management systeem conform de NEN 7510.

De NEN 7512 bestaat uit een set van maatregelen die richtlijnen geven over elektronische communicatie in de zorg waarbij er criteria gesteld worden tussen zorgverleners en zorginstellingen maar ook tussen patiënten, cliënten, zorgverzekeraars en andere partijen die betrokken zijn bij zorg.

De NEN 7513 heeft echter de focus op loggen van informatie, waarbij er eisen zijn gesteld rondom het gebruik van patiëntendossiers. Daarnaast wordt er criteria gesteld aan de ontwikkelaars van informatiesystemen die raakvlak hebben met deze patiëntendossiers.

Contact

Heeft u behoefte aan een offerte? Wij komen graag met u in contact.

    Contact         Offerte