NEN 7510 en NEN 7513
Informatiebeveiliging in de Zorg
De NEN 7510 en NEN 7513, die gaan over Informatiebeveiliging in de Zorg, zijn van essentieel belang in een tijd waarin digitale transformatie de zorgsector ingrijpend verandert. Ze bieden een stevige basis voor het beschermen van cliënt- en patiëntgegevens en het bevorderen van veilige en efficiënte zorgprocessen. De uitdagingen binnen de zorg zijn talrijk, variërend van het beveiligen van medische apparatuur tegen cyberaanvallen tot het trainen van personeel om steeds geavanceerdere phishing-e-mails te herkennen. Zorginstellingen dienen niet alleen te voldoen aan de normen, maar ook een cultuur van informatiebeveiliging bevorderen binnen hun organisaties.
De structuur van NEN 7510 is vrijwel identiek aan die van de ISO 27001, met als verschil dat ISO 27001 een internationale norm is en NEN 7510 een nationale norm die specifiek gericht is op de zorgsector. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de naleving van de NEN 7510 en NEN 7513. Deze inspectie bewaakt de kwaliteit van de zorg in Nederland en gebruikt de NEN-normen als leidraad bij inspecties om te controleren of zorginstellingen hun informatiebeveiliging op orde hebben. Hoewel NEN-certificering niet wettelijk verplicht is, verwacht de IGJ wel dat zorgaanbieders aantoonbaar werken aan een managementsysteem voor informatiebeveiliging dat voldoet aan deze normen.
De meest recente versie van de NEN 7510 en NEN 7513 is de 2021 versie. Laten we deze normen nader bekijken en antwoord geven op een aantal vragen.
Overzicht NEN 7510 en NEN 7513: waar ben je naar op zoek?
Welke acties moeten zorgorganisaties ondernemen?
Wat is het toepassingsgebied?
NEN 7510 richt zich op informatiebeveiliging binnen de zorgsector, inclusief alle aspecten van gegevensbescherming, van elektronische cliënt- en patiëntdossiers tot medische apparatuur en informatie- en communicatiesystemen. NEN 7513 is een aanvullende norm die specifiek ingaat op het vastleggen van acties in elektronische cliënt- en patiëntdossiers. Voor controle op rechtmatig gebruik voorziet de norm onder andere in geautomatiseerde logging van gegevens rondom de toegang tot cliënt- en patiëntdossiers.
Waarom NEN 7510 en NEN 7513?
NEN 7510 stelt hoge eisen aan het Informatie Security Management Systeem van zorginstellingen. Het waarborgt dat persoonlijke gezondheidsinformatie beschikbaar is, vertrouwelijk wordt behandeld en dat gegevensintegriteit is gewaarborgd. NEN 7513 vult NEN 7510 aan door specifieke richtlijnen te geven voor logging. Het legt vast welke gebeurtenissen gelogd moeten worden en hoelang logbestanden bewaard mogen worden. Zorgaanbieders krijgen richtlijnen voor het gebruik van logging om te voldoen aan wettelijke verplichtingen, terwijl ontwikkelaars van informatiesystemen eisen krijgen waaraan hun systemen moeten voldoen.
Managed eXtended Detection and Response
Hoe zet je een duurzaam security programma op
Wat houden NEN7510 en NEN7513 precies in?
Dit leggen we graag uit aan de hand van vijf pijlers met elk een specifieke focus.
Pijler I: Beleid en organisatie
Zorginstellingen moeten een duidelijk informatiebeveiligingsbeleid opstellen en heldere verantwoordelijkheden toewijzen voor informatiebeveiliging.
Pijler 2: Personeel en bewustwording
Zorginstellingen moeten hun medewerkers en management regelmatig trainen in het herkennen van de risico's van cyberincidenten, datadiefstal/-verlies en ongeoorloofde toegang tot bepaalde data.
Pijler 3: Fysieke beveiliging
Zorginstellingen moeten maatregelen nemen om de toegang tot vitale ruimtes te beperken en hoog-risico ziekteverwekkers te beschermen. Dit omvat het gebruik van fysieke beveiligingsmaatregelen zoals toegangsdeuren, hekken, sloten, barrières, beveiligingscamera's en biometrische identificatie, samen met het controleren van de toegang, het identificeren van bezoekers en ervoor zorgen dat alleen geautoriseerde personen de faciliteit betreden.
Pijler 4: Basis security maatregelen
Zorginstellingen moeten een reeks basisbeveiligingsmaatregelen nemen, zoals het gebruik van data-encryptie, netwerksegmentatie, firewalls, endpoint-detectie en het beheren van de toegang tot data.
Pijler 5: Incidentbeheer en continuïteit
Zorginstellingen moeten preventieve en detectieve maatregelen nemen om security-incidenten vroegtijdig te identificeren, onderzoeken en af te wenden. Ook moeten ze planmatig handelen in geval van een calamiteit en reactieve maatregelen nemen om systemen en processen snel te herstellen.
Conclusie
NEN 7510 en NEN 7513 zijn essentieel voor de zorgsector om de vertrouwelijkheid van patiëntgegevens te waarborgen en de kwaliteit van zorg te verbeteren. Dankzij een overeenkomst tussen het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) en NEN zijn deze normen nu kosteloos beschikbaar voor zorginstellingen.
Wortell Enterprise Security is een strategische en snelgroeiende tak binnen Wortell, gericht op het waarborgen van informatiebeveiliging in de zorgsector volgens de richtlijnen van NEN 7510 en NEN 7513. Onze divisie staat voor een holistische en geïntegreerde aanpak, waarbij we geen onderscheid maken tussen basis- en aanvullende securitymaatregelen, zoals voorgeschreven door deze normen. Of het nu gaat om risicoanalyses, identiteits- en toegangsbeheer, netwerksegmentatie, dataversleuteling, vulnerability management, security awareness, of het 24/7 monitoren en detecteren van potentiële cyberincidenten - onze benadering verbindt ze naadloos met elkaar. We begrijpen dat al deze elementen essentieel zijn voor de optimale bescherming van patiëntgegevens en het waarborgen van de kwaliteit van zorg in overeenstemming met de normen van NEN 7510 en NEN 7513.
Wortell Enterprise Security een uitgebreid scala aan diensten. Van het opstellen van een duurzaam en dynamisch securityprogramma, tot het implementeren van basis securitymaatregelen, monitoren en detecteren van kwetsbaarheden en securityincidenten, en het inrichten van duurzaam crisismanagement - wij staan samen met jouw zorginstelling klaar om te bepalen wat relevant en de meest effectieve benadering is.
Heb je hulp nodig bij het interpreteren van deze regelgeving of het nemen van maatregelen? Aarzel dan niet om contact met ons op te nemen. We zijn er om jouw zorginstelling te ondersteunen bij het veiligstellen van jouw gegevens en het beschermen van jouw organisatie tegen cyberdreigingen.