NEN 7510

NEN 7510 is een Nederlandse norm die betrekking heeft op informatiebeveiliging in de gezondheidszorg. De NEN 7510 is gebaseerd op internationale standaarden voor informatiebeveiliging, de ISO / IEC 27000-reeks. De norm is echter specifiek gericht op de gezondheidszorg en houdt rekening met de specifieke uitdagingen en risico's die zich voordoen bij het verwerken van medische gegevens.

De Nederlandse zorgsector verschilt van die in andere landen. In Nederland zijn veel nationaal georiënteerde zorgprogramma’s actief. De daarin gemaakte afspraken moeten uiteindelijk worden geïncorporeerd in actuele normen. De toegevoegde waarde van nationale normen voor gegevensuitwisseling en informatiebeveiliging, speciaal voor de zorg- en welzijnssector, is daarom groot. De NEN 7510 norm is ontwikkeld door het NEN in samenwerking met vertegenwoordigers uit de gezondheidszorg en de informatiebeveiligingsindustrie. In tegenstelling tot diverse andere NEN normen, is deze norm gratis beschikbaar bij het instituut.^[1]

Het doel van de NEN 7510 is om een uniforme en gestandaardiseerde aanpak voor informatiebeveiliging te bieden die specifiek is gericht op de gezondheidszorg. De NEN 7510 heeft betrekking op alle informatie die wordt verwerkt in de gezondheidszorg, inclusief persoonlijke en medische gegevens.

Vanwege de ‘Regeling gebruik burgerservicenummer in de zorg’ behorend bij de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg moeten zorgorganisaties sinds 2008 voldoen aan NEN 7510, waarmee de norm wettelijk verplicht is geworden. Organisaties die vallen onder de reikwijdte van de NEN 7510 moeten kunnen aantonen dat zij voldoen aan de norm. Dit houdt in dat zij een certificering moeten behalen of op een andere manier kunnen aantonen dat zij de richtlijnen en aanbevolen praktijken van de NEN 7510 hebben geïmplementeerd en naleven. Deze verplichting is opgenomen in de Algemene Maatregel van Bestuur (AMvB)^[2] die hoort bij de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg.^[bron?] Ook hebben zorgorganisaties wel de verantwoordingsplicht onder de Algemene verordening gegevensbescherming (AVG) om aan te tonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om te voldoen aan de AVG. De Autoriteit Persoonsgegevens geeft aan dat de NEN 7510 wel een belangrijke norm is om dit te kunnen aantonen. De Inspectie Gezondheidszorg en Jeugd voert regelmatig controles uit om te zorgen dat organisaties zich aan de norm houden en de privacy van patiënten beschermen. Organisaties die niet voldoen aan de NEN 7510 kunnen boetes krijgen of andere sancties opgelegd krijgen.

De norm is van toepassing op alle organisaties die betrokken zijn bij de gezondheidszorg, waaronder zorgverleners, zorgverzekeraars, apotheken en medische onderzoeksinstituten. De NEN 7510 is ontworpen om de privacy van patiënten te beschermen en de veiligheid van de gezondheidszorggegevens te waarborgen. Naast de wettelijke verplichting kan het implementeren ook bijdragen aan het opbouwen van vertrouwen bij patiënten en andere belanghebbenden.

De norm bevat een reeks richtlijnen en aanbevelingen voor informatiebeveiliging, waaronder procedures voor het beheren van toegangsrechten, het versleutelen van gegevens, het monitoren van netwerkactiviteit en het opstellen van noodplannen. De NEN 7510 vereist dat organisaties die betrokken zijn bij de gezondheidszorg een informatiebeveiligingsbeleid opstellen en implementeren dat voldoet aan de richtlijnen van de norm.

Een belangrijk aspect van de NEN 7510 is het bevorderen van bewustwording rondom informatiebeveiliging in de gezondheidszorg. Organisaties dienen ervoor te zorgen dat alle medewerkers op de hoogte zijn van de richtlijnen en aanbevolen praktijken van de norm. Trainingen en bewustwordingscampagnes zijn hierbij van groot belang. Een ander belangrijk aspect van de NEN 7510 is de verplichting om regelmatig risicoanalyses uit te voeren en passende maatregelen te nemen om de risico's te beperken. Deze maatregelen kunnen bijvoorbeeld betrekking hebben op de toegangsbeveiliging van systemen, de opslag van gegevens en de beveiliging van communicatiekanalen.

De NEN 7510 wordt regelmatig herzien en bijgewerkt om te blijven voldoen aan de nieuwste ontwikkelingen en uitdagingen op het gebied van informatiebeveiliging in de gezondheidszorg. Organisaties die de norm hebben geïmplementeerd, moeten zich bewust zijn van deze veranderingen en ervoor zorgen dat hun informatiebeveiligingsbeleid up-to-date blijft.

In 2020 is een nieuwe versie van de NEN 7510 gepubliceerd, genaamd NEN 7510:2020. Deze versie bevat enkele wijzigingen ten opzichte van de vorige versie, zoals een verduidelijking van de verantwoordelijkheden van de verschillende partijen die betrokken zijn bij de verwerking van medische gegevens. Ook is er meer aandacht voor de bescherming van persoonsgegevens en de uitwisseling van gegevens tussen zorgverleners.

De NEN 7510 wordt aangevuld met de verbijzondering van enkele normelementen uit de NEN 7510:

NEN 7511:2017 nl - In 2017 ingetrokken en maakt nu onderdeel uit van NEN 7510
NEN 7512:2022 nl - Vertrouwensbasis voor gegevensuitwisseling
NEN 7513:2018 nl - Logging - Vastleggen van acties op elektronische patiëntdossiers
NTA 7516:2020 nl - Eisen voor veilige e-mail en chatapplicaties
NEN 7521:2014 nl - Toegang tot patiëntgegevens – Grondslagen voor uitwisseling

Bronnen, noten en/of referenties

↑ (nl) NEN 7510-1:2017+A1:2020 op NEN.nl - Geraadpleegd op 7 april 2023
↑ (nl) Elektronische gegevensuitwisseling in de zorg - Geraadpleegd op 28 maart 2023

[1] (nl) NEN 7510-1:2017+A1:2020 op NEN.nl - Geraadpleegd op 7 april 2023

[2] (nl) Elektronische gegevensuitwisseling in de zorg - Geraadpleegd op 28 maart 2023

[1]

[2]