NEN

Veelgestelde vragen

Klik op een van onderstaande vragen om het antwoord te bekijken of dien een nieuwe vraag in.

Is het gebruik van NEN 7510 verplicht?

Bij verantwoorde zorg hoort ook hoe de zorginstelling en de hulpverlener de informatie verwerken, die noodzakelijk is voor goede patiëntenzorg. Informatieverwerking- en beveiliging is dan ook onderdeel van verantwoorde zorg en valt daarmee onder het toezichtsterrein van de Inspectie voor de Gezondheidszorg (IGZ). IGZ heeft aangegeven NEN 7510 ter hand te nemen bij het toetsen van de vraag of zorginstellingen de juiste maatregelen treffen voor invoering en handhaving van adequate informatiebeveiliging.

Wie is verantwoordelijk voor de informatiebeveiliging in het zorgproces?

De complexiteit van informatiebeveiliging in de zorgsector blijkt duidelijk uit de veelheid van partijen en disciplines, het netwerk van zorginstellingen en andere belanghebbenden die een rol spelen in het verzamelen, opslaan, verwerken en transporteren van gegevens. Communicatie tussen partijen in de zorg zal gezien moeten worden als (deel van) een proces, zodat duidelijk is bij wie de verantwoordelijkheid voor dat (deel)proces ligt. Daarbij kunnen taken worden gedelegeerd aan derden, kunnen er vormen van samenwerking zijn en kunnen er afspraken zijn over de regels die worden gebruikt bij de onderlinge communicatie.

Hoe bepaalt een zorginstelling in hoeverre NEN 7510 op haar organisatie van toepassing is?

NEN 7510 beschrijft een set maatregelen dat zorginstellingen moeten treffen om via een gecontroleerd proces op adequate wijze met (medische) gegevens moeten omgaan.

U kunt door middel van een nulmeting bepalen in hoeverre uw organisatie bewust is van informatiebeveiliging en eventueel al voldoet aan de gestelde maatregelen. Wanneer duidelijk is hoe 'volwassen' de organisatie is, kunnen de te nemen maatregelen worden vastgesteld in een zgn. plan van aanpak. Het staat de verantwoordelijke dus vrij om te bepalen hoe ver deze wil gaan met de invoering en handhaving van de maatregelen. De toezichthouders in de gezondheidszorg beoordelen vervolgens of de informatiebeveiliging afdoende is gerealiseerd.

De norm NEN 7510 helpt de verantwoordelijken de relevante maatregelen te bepalen, in te voeren en te beheersen. Zorginstellingen moeten kunnen aantonen dat 'Plan-Do-Check-Act' proces adequaat is geïmplementeerd. De norm biedt de mogelijkheid om de andere zorgpartijen die een rol spelen in de zorgketens te wijzen op te nemen maatregelen voor informatiebeveiliging.

Buiten de NEN 7510 wordt er gebruik gemaakt van de voorschriften voor een Goed Beheerd Zorgsysteem zoals gedefinieerd door NICTIZ. Is dit dubbelop?

Voor de kwalificatie van een Goed Beheerd Zorgsysteem (GBZ) wordt uitgegaan van het gegeven, dat iedere zorgaanbieder voldoet aan gestelde wetten, regelgeving en normen.Toezicht en toetsing hiervan blijft belegd bij de daartoe bevoegde toezichthoudende instanties.

Een volledige toetsing aan alle eisen uit NEN 7510 vormt momenteel dan ook geen onderdeel van de GBZ-kwalificatie. In de praktijk blijkt een aantal concrete eisen voor een GBZ overeen te komen met een deel van de normen uit NEN 7510 en dat daarmee NEN 7510 en het Programma van eisen GBZ elkaar deels overlappen.

Voor meer informatie over GBZ verwijzen wij u naar Nictiz www.nictiz.nl

 

Wat is een geavanceerde elektronische handtekening en is zo’n handtekening wel veilig?

Voor een 'gewone' elektronische handtekening zijn de eisen verbonden:
dat deze op een unieke wijze aan de ondertekenaar verbonden moeten zijn,
het moet mogelijk zijn de ondertekenaar te identificeren 
deze moet tot stand komen met middelen die de ondertekenaar onder zijn controle kan houden.

Tevens dient iedere wijziging van de gegevens achteraf te kunnen worden opgespoord. De geavanceerde elektronische handtekening gaat nog een stap verder en moet gebaseerd zijn op een gekwalificeerd certificaat en zijn gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen. Dit is conform de Europese Richtlijn 1999/91/EG.

Moet in gebruik genomen software gecertificeerd zijn tegen NEN 7510?

Nee. De zorginstelling dient te voldoen aan NEN 7510. Zij stellen een pakket van eisen op en leggen dit voor bij de softwareleverancier. De leverancier moet, via specificaties, kunnen aantonen dat hij kan voldoen aan de gestelde eisen.

Software dat al is geïntegreerd in een medisch hulpmiddel moet voldoen aan de eisen opgenomen in het Besluit Medische Hulpmiddelen. Dit Besluit bevat de eisen van de Richtlijn Medische Hulpmiddelen, 93/42/EEG voor Nederland.

De fabrikant van een medisch hulpmiddel bepaalt door de ‘intended use' van het medisch hulpmiddel te benoemen in welke risicoklasse zijn product valt. Stand-alone software wordt beschouwd als een actief medisch hulpmiddel wat in beginsel een risicoklasse I product is. Fabrikanten van stand-alone software moeten voor bepaling van classificatie annex IX van de genoemde richtlijn volgen. Indien de software geïntegreerd is in het hulpmiddel, dan valt deze software onder dezelfde risicoklasse als het hulpmiddel.

Zoeken
Contact

Mevr. Shirin Golyardi
Telefoon: 015 2 690 313
E-mail: nen7510@nen.nl

Inloggen: