NEN 7510

NEN 7510:2017

Met de NEN 7510:2017 (hierna: NEN 7510) toot uw organisatie aan dat u op een zorgvuldige, vertrouwelijke en adequate wijze omgaat met medische gegevens. NEN 7510 is een norm voor informatiebeveiliging in de gezondheidszorg. Het NEN 7510-certificaat laat zien dat uw organisatie voldoet aan de wettelijke bepalingen voor de bescherming van patiëntengegevens en informatiebeveiliging.

NEN 7510 is een Nederlandse norm, welke is gebaseerd op de internationale norm ISO 27001. Hierin is beschreven welke maatregelen u als organisatie moet nemen om op de juiste manier, adequaat om te gaan met de aanwezige patiëntgegevens binnen uw organisatie. Dit wordt ook wel informatiebeveiliging en privacybescherming in de zorg genoemd. De genomen maatregelen moeten ertoe leiden dat informatiebeveiliging adequaat is ingericht en privacy van de patiënten bij interne gegevensverwerkingen en gegevensuitwisseling met externe partijen goed is geborgd.

NEN 7510 wettelijk verplicht?

De norm NEN 7510 wordt benoemd in de Algemene Maatregel van Bestuur (AMvB) bij de Wet voor het gebruik van het BurgerServiceNummer (BSN) in de zorg. Doordat er in de Nederlandse wet- en regelgeving wordt verwezen naar certificaat, is het wettelijk verplicht om NEN 7510-certificaat te hebben. Deze verplichting vloeit voort uit het gegeven dat bijzonder gevoelige patiëntengegevens op een adequate wijze wijzen beveiligd moeten worden voor het verlenen van verantwoorde zorg. Dit brengt met zich mee dat u aandacht moet besteden aan informatiebeveiliging en bescherming van de privacy van patiënten. NEN 7510-norm is bij uitstek het juiste middel hiervoor. Als zorginstelling heeft u niet alleen te maken met de Autoriteit Persoonsgegevens, maar ook de Inspectie Gezondheidszorg en Jeugd (IGJ) als het gaat om het toezicht op naleving van NEN 7510-norm. De IGJ kan uw organisatie controleren op het naleven van de NEN 7510-norm voor het toetsen van adequate informatiebeveiliging en bescherming van de privacy. Omdat iedere organisatie anders is, bestaat er niet een algemene werkwijze om informatiebeveiliging in te richten. Iedere organisatie moet voldoen aan de inhoud van NEN 7510, maar de manier waarop dit gebeurt verschilt per organisatie. Dit is afhankelijk van onder andere de omvang van de organisatie, aantal locaties, aantal cliënten en de hoeveelheid aan data die binnen de organisatie wordt verwerkt.

Geldt NEN 7510 enkel voor de zorginstellingen?

De NEN 7510 is van toepassing op alle organisaties binnen de gezondheidszorg. Dit betekent dat NEN 7510 van toepassing is op zowel de individuele zorgverlener als zorginstellingen in georganiseerd verband. Tevens is NEN 7510 van toepassing op organisaties die zich richten op de informatievoorziening van de gezondheidszorg. Zo dient een hostingbedrijf of online marketingbureau met zorgorganisaties als klant, te voldoen aan de bepalingen uit NEN 7510.

Voor toeleveranciers van de zorginstellingen, zoals organisaties die patiënteninformatie verwerken, is de norm in beginsel niet verplicht. De bepalingen uit de NEN 7510 hebben primair betrekking op de zorginstellingen. In de praktijk zien we dat veel zorginstellingen ook van hun leveranciers verwachten dat evenals zij aan de NEN 7510 voldoen.

NEN 7510 in relatie tot NEN 7512 en NEN 7513

Naast de bepalingen uit de NEN 7510-norm, heeft u als zorginstelling ook te maken met NEN 7512 en NEN 7513. Als zorginstelling, ongeacht uw organisatievorm, omvang en de geleverde zorg, dient u ook aan deze normen te voldoen. NEN 7512 bevat bepalingen omtrent de maatregelen die u als zorginstelling moet nemen bij het uitwisselen van patiëntgegevens. In NEN 7513 zijn specifieke bepalingen opgenomen over het vastleggen van acties in de elektronische patiëntendossiers. Zowel de wetgever als brancheorganisaties in de gezondheidszorg hebben het over ‘logging’. De normen NEN 7510, NEN 7512 en NEN 7513 worden in een keer ge-audit, organisaties worden niet afzonderlijk ge-audit voor drie verschillende normen.

Onze werkwijze

Is uw organisatie nog niet in het bezit van het NEN 7510-certificaat? Dan hanteren wij het volgende stappenplan:

  1. Start: nulmeting, waarmee wij inzicht krijgen in verwachte tijdsbesteding, taakverdeling, rollen en kosten.
  2. Inrichten managementsysteem: een praktisch, werkbaar Informatie Management en Management Systeem (ISMS) conform de NEN 7510-norm en de behoeften van uw organisatie.
  3. Interne audit: toetsing van het managementsysteem aan de NEN 7510-norm, toepasselijke wet- en regelgeving en de interne procedures.
  4. Directiebeoordeling: beoordeling van effectiviteit van het managementsysteem door de directie of het management.
  5. Begeleiding bij certificering: Begeleiding bij de externe audit door een certificerende instelling (PrivacyDirect is niet erkend als certificerende instelling en is zodoende niet bevoegd om zelfstandig NEN-certificaten af te geven).
  6. Onderhoud: periodiek bijhouden en -werken van het managementsysteem, zodat uw organisatie blijft voldoen aan de NEN 7510-norm, maar ook de toepasselijke wet- en regelgeving.

PrivacyDirect begeleidt opdrachtgevers in uiteenlopende branches, van de gezondheidszorg tot IT en marketingbureaus bij het behalen en behouden van hun certificaat. Afhankelijk van de behoeften van uw organisatie, kunnen wij tevens optreden als Functionaris voor de Gegevensbescherming (FG) of als Kwaliteitsmanager. In veel gevallen ondersteunen wij onder opdrachtgevers ook na het certificeringstraject, zodat zij blijvend voldoen aan de NEN-normen en de toepasselijke wet- en regelgeving. Met onze dienstverlening voegen wij graag waarde toe aan uw organisatie, zodat u zich kunt focussen op uw kerntaken zonder omkijken naar beleid.

HULP NODIG MET PRIVACY?

CONTACTEER ONS

Scroll to Top