Voldoe jij al aan de NEN7510?
Wanneer we die vraag ergens stellen, volgt er vaak een twijfelend antwoord. Men kijkt naar elkaar, verwijst naar de EPD-leverancier of haalt de AVG aan. Slechts zelden volgt er een overtuigend antwoord. Toch zijn zorgaanbieders al jaren wettelijk verplicht om de NEN7510 (de norm voor informatiebeveiliging in de zorg) te volgen. Certificering is niet verplicht maar dat ontslaat je er niet van om wel volledig naar de norm te handelen. De IGJ heeft onlangs aangekondigd het toezicht op de naleving te intensiveren.
Informatiebeveiliging gaat niet alleen over persoonsgegevens
Van oudsher zijn zorgaanbieders zich zeer bewust van de gevoelige informatie waarmee ze werken. Dit is immers verankerd in het beroepsgeheim. De beleving is vaak dat daarmee grotendeels aan de AVG en ook aan de NEN7510 voldaan is. De NEN7510 gaat echter over alle vormen van informatie, niet alleen over persoonsgegevens. De norm gaat uit van de classificatie van gegevens op grond van hun beschikbaarheid, integriteit en vertrouwelijkheid. Of het nu gaat om patiëntdossiers, financiële gegevens, personeelsgegevens of de data die verwerkt worden door medische technologie. Want wat als blijkt dat meetapparatuur niet goed gekalibreerd is en van elke 1 en 10 maakt? Of wat als een bepaalde database frequent niet beschikbaar is? Wat is de impact daarvan op de patiëntveiligheid, de continuïteit van de zorg en leidt tot mogelijk tot extra kosten of erger, handhaving? Wie is hiervoor verantwoordelijk en hoe zorg je als bestuurder dat je hierover in control bent?
Het gaat verder dan alleen ICT
De NEN7510 biedt hiervoor een belangrijk kader en reikt bovendien te nemen maatregelen aan. Die maatregelen gaan verder dan alleen de beveiliging van patiëntdossiers en het gebruik van beveiligde e-mail. Veelal wordt bij informatiebeveiliging aan technische maatregelen gedacht en naar systeembeheerder gekeken maar de norm gaat ook over leiderschap, beleid en managementsystemen. De implementatie vraagt om een team-effort van bestuur, kwaliteit en beleid, HR, inkoop en ICT. Voor beveiliging geldt ook: deze is zo sterk als ze zwakste schakel. Het beleid en de maatregelen kunnen op papier nog zo goed zijn maar als deze niet uitvoerbaar zijn of het belang ervan niet begrepen wordt door de werkvloer, zijn ze kansloos. Het is daarom belangrijk bewustwording te creëren bij de eindgebruikers.
Reputatieschade en financiële risico’s
Informatiebeveiliging is dus een complex en breed thema. Het is begrijpelijk dat zorgaanbieders hiermee worstelen en wanneer er keuzes gemaakt moeten worden over de besteding van schaarse middelen als tijd en geld, dit thema vaak van de kar valt. Toch is het blind hopen dat het wel goed komt, een onverstandige keuze. De gevolgen van het niet volgen de norm brengt zowel financiële als reputatie risico’s met zich mee.
Wat kan je doen?
Abaud helpt zorgaanbieders met het duiden van de norm en het stapsgewijs, proportioneel en risico gestuurd implementeren hiervan. Zou je willen weten waar jij staat op gebied van informatiebeveiliging en privacycompliance, laat ons een interne audit uitvoeren. Ook die is verplicht op grond van de norm en het toetsingskader eHealth. Meer weten? Neem contact op met Maud de Wildt of plan direct een kennismaking in haar agenda.
