In deze blog gaan we in op de NEN 7510. Dat organisaties moeten voldoen aan de AVG om de persoonsgegevens die zij verwerken te beschermen, wist u wellicht al.
Wist u echter dat organisaties in sommige gevallen óók verplicht zijn om te voldoen aan bepaalde informatiebeveiligingsnormen? (P.S. Onthoudt dit woord ook zéker voor uw volgende potje Scrabble!)
Een voorbeeld van zo’n norm is de NEN 7510 voor organisaties die persoonlijke gezondheidsinformatie verwerken.
Bent u zodoende benieuwd of ú verplicht bent om er aan te voldoen? Lees dan zeker verder!
Wat zijn de NEN 7510 en andere informatiebeveiligingsnormen?
Wereldwijd zijn er verschillende normen beschikbaar op het gebied van informatiebeveiliging.
Informatiebeveiligingsnormen geven een kader voor de manier waarop organisaties om zouden moeten gaan met hun informatiebeveiliging.
Wanneer we kijken naar internationale normen op het gebied van informatiebeveiliging zijn met name de volgende normen van belang:
- ISO 27001
- ISO 27002
- ISO 27799
Daarnaast hebben we in Nederland óók een nationale norm die specifiek gericht is op informatiebeveiliging in de zorg. Namelijk de NEN 7510.
Deze NEN-norm is als het ware een samenvoeging van de hiervoor genoemde drie internationale ISO-normen, maar dan specifiek voor organisaties in de zorgsector.
Sinds de herziening van de richtlijn in 2017 bestaat de Nederlandse Norm 7510 uit twee delen. Het eerste deel is de NEN 7510-1, die veel vergelijkenissen vertoont met de ISO 27001 norm. Ten slotte het tweede deel, de NEN 7510-2, die grotendeels overeenkomt met de ISO 27002- en ISO 27799 norm.
Beide delen van de norm zijn gratis te downloaden via deze website.
Ook spelen de NEN 7512 en de NEN 7513 een rol. Deze twee normen zijn als het ware aanvullingen op specifieke eisen uit de Nederlandse Norm 7510.
De relatie tussen de NEN 7510 en wet- en regelgeving
Laten we nu eens kijken hoe het juridisch in elkaar zit. Zijn informatiebeveiligingsnormen nu wél of niet verplicht?
Het antwoord hierop is: in principe niet. Informatiebeveiligingsnormen geven namelijk een kader en géén wettelijke verplichting.
De relevante informatiebeveiligingsnormen zijn namelijk géén wetten die een organisatie verplicht dient te volgen of te implementeren. Het biedt een organisatie ‘simpelweg’ houvast bij het inrichten van haar informatiebeveiliging.
Er is echter één grote ‘maar’… In een aantal wetten wordt er specifiek verwezen naar informatiebeveiligingsnormen, waardoor het in die situaties wél verplicht is voor een organisatie om de betreffende norm (of specifieke onderdelen ervan) na te leven.
Regeling gebruik burgerservicenummer in de zorg
Zo staat er bijvoorbeeld in de Regeling gebruik burgerservicenummer in de zorg dat gegevensverwerkingen waarbij het BSN-nummer wordt verwerkt, moeten voldoen aan de NEN 7510.
In de praktijk zal deze verplichting meestal voor rekening komen van de leveranciers van het elektronisch patiëntendossier. Dit komt doordat de verwerking van de BSN-nummers van patiënten daar veelal in plaatsvindt.
Besluit elektronische gegevensverwerking door zorgaanbieders
Een ander voorbeeld van wet- en regelgeving waarin de toepassing van de NEN-normen verplicht wordt gesteld, betreft de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
Deze wet regelt onder meer het gebruik van het BSN-nummer en de elektronische uitwisseling van patiëntgegevens tussen zorgverleners. Ook stelt het patiënten in hun recht om hun dossier op een elektronische wijze in te kunnen zien of er een kopie van te ontvangen.
De concrete verplichting om de NEN 7510, NEN 7512 en NEN 7513 te hanteren, staat in artikel 3 en 4 van het Besluit elektronische gegevensverwerking door zorgaanbieders. Dit is het Besluit dat hoort bij de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.
Regeling publieke gezondheid
Nog een wetsartikel die het gebruik van de NEN 7510 norm verplicht stelt, is artikel 5 van de Regeling publieke gezondheid.
Het gevolg van dit artikel is zodoende dat gegevensverwerkingen die betrekking hebben op besmettelijke ziekten óók dienen te voldoen aan de NEN norm.
Dan zijn er nog wetten die de NEN 7510 niet verplichten, maar wel aanwijzen…
De Regeling gebruik burgerservicenummer in de zorg, het Besluit elektronische gegevensverwerking door zorgaanbieders en de Regeling publieke gezondheid zijn enkele voorbeelden van wet- en regelgeving waarin het gebruik van de NEN 7510 verplicht wordt gesteld.
Daarmee zijn we er echter nog niet. Er zijn namelijk ook verschillende wetten waarin de NEN 7510 niet verplicht is, maar waarbij er wél naar wordt verwezen als “te hanteren norm“. Dit is bijvoorbeeld het geval met de Algemene Verordening Gegevensbescherming.
In een eerdere blog is duidelijk geworden dat één van de verplichtingen vanuit de AVG is dat een organisatie passende technische en organisatorische beheersmaatregelen dient te nemen. Dit om de persoonsgegevens die zij verwerken te beveiligen.
De maatregelen die voor een organisatie als passend worden gezien, zijn afhankelijk van de situatie en de risico’s die de betreffende gegevensverwerking met zich meebrengt. In de gezondheidszorg wordt bijvoorbeeld vooral gewerkt met patiëntgegevens. Dergelijke gegevens vallen onder de AVG in de categorie “bijzondere gegevens”. Hierdoor moeten dergelijke gegevens méér beschermd worden.
Een zorgorganisatie mag zodoende niet te makkelijk denken over de maatregelen die zij in zou moeten zetten.
Sterker nog, de NEN 7510 is hierbij een leidraad waarin wordt aangegeven welke beheersmaatregelen als passend worden gezien in de gezondheidszorg.
Besteed hier zodoende zeker aandacht aan!
Toezicht door de Inspectie voor de Gezondheidszorg
Tot slot komen we nog bij het toezicht. In artikel 2 van de Algemene Maatregel van Bestuur (AMvB) die hoort bij de Wet gebruik burgerservicenummer in de zorg wordt de NEN 7510 specifiék genoemd.
En dát is precies waar de NEN 7510 om de hoek komt kijken.
Wanneer een zorginstelling de NEN 7510 naleeft, kan verondersteld worden dat zij haar persoonsgegevens op een goede manier heeft beveiligd.
Het gevolg van het hierboven genoemde artikel is zodoende dat de NEN 7510 voor zorgorganisaties een verplichtend karakter heeft gekregen.
Een belangrijk aspect hierbij is dat informatiebeveiliging tevens onder het toezicht van de Inspectie voor de Gezondheidszorg (IGZ) valt.
De IGZ hanteert óók de NEN 7510 bij de beoordeling of de informatiebeveiliging op orde is binnen een zorginstelling. Met andere woorden; de IGZ toetst aan de hand van de NEN 7510 of een zorginstelling haar informatiebeveiliging op orde heeft.
Kortom: bent u een zorgaanbieder? Schenk dan voldoende aandacht aan de NEN 7510!