Correct omgaan met patiëntgegevens: een zeer belangrijke zaak voor zorginstellingen. Vanwege de privacy van de patiënten, maar ook omdat het lekken van informatie kan leiden tot reputatieschade en zelfs tot financiële schade. Om de privacy en veiligheid van patiëntgegevens te waarborgen, moet je als zorginstelling voldoen aan verschillende normen en regelgeving. Een van deze normen is NEN 7510: wat houdt deze in en is hij verplicht voor de zorg? Wij leggen het uit.
NEN 7510 is een Nederlandse norm voor de informatiebeveiliging in de zorg. De norm is opgesteld door het Nederlands Normalisatie-instituut en beschrijft de eisen waaraan zorginstellingen moeten voldoen om patiëntgegevens te beschermen. De norm is gebaseerd op de internationale norm ISO 27001 en specifiek gericht op de zorgsector.
Het korte antwoord? Nee, op grond van de Algemene Verordening Gegevensbescherming (AVG) is een NEN 7510 certificering niet verplicht, ongeacht de rechtsvorm en de omvang van je organisatie. Maar let op: NEN 7510 is wél een belangrijke norm voor informatiebeveiliging in de zorg en wordt daarom sterk aanbevolen voor jou als zorginstelling. Onder andere om aan de verantwoordingsplicht van de AVG-richtlijnen te voldoen. Je moet hiervoor kunnen aantonen dat je patiëntgegevens goed beveiligt middels de juiste organisatorische en technische maatregelen.
De norm is bovendien gebaseerd op internationaal erkende standaarden en is ontwikkeld in nauwe samenwerking met de zorgsector zelf. Het voldoen aan de norm kan dan ook bijdragen aan het vertrouwen van patiënten en andere belanghebbenden in de veiligheid en betrouwbaarheid van de zorginstelling. Het kan bovendien zo zijn dat belanghebbenden, zoals zorgverzekeraars, het hebben van het NEN 7510-certificaat verplicht stellen als voorwaarde voor een samenwerking.
Om aan de norm NEN 7510 te voldoen, moet je je als zorginstelling aan verschillende eisen houden.
Organisatie en beleid
Als zorginstelling moet je een informatiebeveiligingsbeleid hebben dat is gebaseerd op een risicoanalyse. De directie heeft dit goedgekeurd en het wordt regelmatig geëvalueerd.
Personeel
Je bent verplicht ervoor te zorgen dat al je personeel bewust is van het belang van informatiebeveiliging. Bovendien moet je passende maatregelen nemen om de risico’s van menselijk handelen te beperken.
Fysieke beveiliging
Je moet zorgen voor een veilige omgeving waarin patiëntgegevens niet zomaar kunnen worden ingezien of gestolen. Dit betekent onder meer dat de toegang tot ruimtes en apparatuur beperkt moet zijn en dat gegevensdragers veilig moeten worden opgeslagen.
ICT-beveiliging
Ook moet je zorgen voor een goede ICT-beveiliging. Je computersystemen moeten zo beveiligd zijn dat patiëntgegevens niet zomer kunnen worden gestolen of gewijzigd. Dit betekent bovendien ook dat je je systemen regelmatig moet (laten) updaten, dat wachtwoorden veilig moeten worden opgeslagen en dat je regelmatig back-ups moet maken.
Om volledig te voldoen aan de NEN 7510-norm, is het dus van belang dat je je ICT-zaken goed op orde en beveiligd hebt. Daar helpen we je graag bij! We zorgen voor een passende ICT-omgeving met de juiste hardware en software en dat deze goed beveiligd zijn. Bovendien houden we alles up-to-date, zodat je nooit achter de feiten aan loopt. Meer weten? Neem contact met ons op!