Omdat de NEN 7510 de ISO 27001 “overlapt”, is het zelfs mogelijk in één keer voor beide normen tegelijk gecertificeerd te worden. En als de organisatie al ISO 27001 gecertificeerd was, is het relatief eenvoudig om hier ook een NEN 7510-certificering aan toe te voegen.

Voor wie is NEN 7510 relevant?

Het behalen van een NEN 7510-certificering wordt voor steeds meer zorginstellingen en organisaties verplicht gesteld, onder meer wanneer informatiesystemen worden aangesloten op het LSPVecozo en MedMij. Maar zorginstellingen dienen vanuit de Algemene verordening gegevensbescherming (AVG) de persoonlijke zorginformatie, waar patiëntgegevens zeker onder vallen, “passend” te beschermen. En omdat deze informatie in de gehele keten beschermd dient te zijn, wordt de eis om te voldoen aan NEN 7510 ook steeds vaker aan leveranciers gesteld.

We zien in de praktijk steeds meer dat niet alleen ontwikkelaars van zorginformatiesystemen, maar ook leveranciers van content management systemen en zelfs telefonieoplossingen hun ISO 27001-certificering wensen aan te vullen met NEN 7510-certificering.

Het is daarbij wel belangrijk te zorgen dat het certificaat bruikbaar is voor je klanten. Met andere woorden, het moet duidelijk zijn (vanuit de scopeomschrijving en de Verklaring van Toepasselijkheid, VvT) op welke plaatsen medische gegevens verwerkt (kunnen) worden en de auditor zal toetsen of hier wordt voldaan aan de extra eisen vanuit de NEN 7510.

Voorbeeld: A.9.4.1

Als voorbeeld neem ik weer maatregel A.9.4.1 (Beperking toegang tot informatie). ISO 27001 zegt hier dat de toegang tot informatie moet worden beperkt in overeenstemming met het beleid van de organisatie. NEN 7510 bepaalt echter dat de toegang tenminste met two factor dient te geschieden en dat de toegang tot patiëntgegevens moet worden gescheiden van de toegang tot andere gegevens.

Zorggegevens

Het zou nu heel gemakkelijk zijn om als leverancier te zeggen “maar ik verwerk geen persoonlijke zorggegevens, dus hier hoef ik niet aan te voldoen”. Belangrijk is om je te verplaatsen in de klant. Deze stelt de eis NEN 7510 immers niet voor niets.

De leverancier dient hier dus de mogelijkheid in overweging te nemen dat een zorginstelling zijn systeem gaat inzetten om medische gegevens in op te slaan. Het systeem moet dus two-factor authenticatie kunnen ondersteunen. Dit hoeft natuurlijk niet voor alle klanten, maar voor een zorginstelling moet deze optie wel aangeboden worden, omdat zij anders zelf ook niet kunnen voldoen aan hun wettelijke eisen.

Ondubbelzinnig

Om te zorgen dat het NEN 7510-certificaat voor de zorginstelling bruikbaar is, dient dit ondubbelzinnig te blijken uit de scopeomschrijving op het certificaat. Dit kan bijvoorbeeld door het opnemen van de toevoeging “Zorggegevens kunnen worden verwerkt in het content management systeem en worden passend beschermd”. Op de VvT kan dan aangegeven worden dat deze maatregel is ingesloten vanwege een contractuele of zelfs wettelijke eis.

Omdat de NEN 7510-norm in alle opzichten de ISO 27001 overlapt, kan deze scopeomschrijving en VvT nog steeds voor beide normen gebruikt worden.

Conclusie

Ook als u geen zorginformatiesysteem levert, kan het behalen van het NEN 7510-certificaat relevant zijn, bijvoorbeeld wanneer u zorginstellingen tot uw klantenkring wilt kunnen rekenen, of indien niet uit te sluiten is dat uw systeem gebruikt wordt voor de verwerking van persoonlijke zorggegevens.

Om te zorgen dat uw NEN 7510 certificaat bruikbaar is voor de doelgroep is het daarbij wel van belang te identificeren op welke plekken dit gebeurt, de juiste beveiligingsmaatregelen te treffen en hier transparant over te zijn op het certificaat en de VvT.