Wat is NEN 7510?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm is afgeleid van de internationale standaard ISO/IEC 27001 en voegt zorgspecifieke eisen toe, met name op het gebied van toegangscontrole, logging van inzage in patiëntdossiers en het beheer van medische apparatuur. NEN 7510 is in 2017 herzien en bestaat uit drie delen: deel 1 (managementsysteem), deel 2 (beheersmaatregelen) en deel 3 (praktische richtlijnen).
Voor wie geldt de norm?
Alle organisaties die persoonlijke gezondheidsgegevens verwerken moeten zich aan NEN 7510 houden. Dit volgt uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz, art. 3). Het gaat dan om ziekenhuizen, ggz-instellingen, huisartsen, apothekers en alle leveranciers van zorgsoftware. Ook bewindvoerders die zorgdossiers beheren en schuldhulpverleners die financiële stress in een ggz-context begeleiden, vallen in toenemende mate onder de norm.
Certificering en toezicht
Certificering tegen NEN 7510 is niet wettelijk verplicht, maar wordt in de praktijk geëist door inkopers, zorgverzekeraars en gemeenten. De certificering wordt afgegeven door erkende certificerende instellingen na een audit. Toezicht op de naleving ligt bij de Inspectie Gezondheidszorg en Jeugd (IGJ) en de Autoriteit Persoonsgegevens. Bij datalekken met zorggegevens kan een ontbrekende NEN 7510-implementatie als verzwarende omstandigheid worden meegewogen.
Relatie met AVG
NEN 7510 vult de AVG aan op het gebied van techniek en organisatie. De AVG vraagt om passende technische en organisatorische maatregelen (art. 32); NEN 7510 concretiseert wat dat in een zorgcontext betekent. Het naleven van NEN 7510 helpt aantoonbaar te maken dat aan de AVG-verplichtingen wordt voldaan.