Veelgestelde vragen Steunpunt NEN 7510
Is het gebruik van NEN 7510 verplicht?
Bij verantwoorde zorg hoort ook hoe de zorginstelling en de hulpverlener de informatie verwerken, die noodzakelijk is voor goede patiëntenzorg. Informatieverwerking- en beveiliging is dan ook onderdeel van verantwoorde zorg en valt daarmee onder het toezichtsterrein van de Inspectie voor de Gezondheidszorg (IGZ). Nu er een door het hele zorgveld afgesproken norm is (NEN 7510) kan de toezichthouder bijna niet anders dan de norm als uitgangspunt nemen bij het toezicht. Er is sprake van verantwoorde zorg als de norm wordt gevolgd. Het mag duidelijk zijn dat een norm die afgesproken is ook gevolgd moet worden en als je dat nog niet doet, moet je daar een goed plan bij hebben. Zo zal de Inspectie met de norm omgaan.
Wie is verantwoordelijk voor de informatiebeveiliging in het zorgproces?
De complexiteit van informatiebeveiliging in de zorgsector blijkt duidelijk uit de veelheid van partijen en disciplines, het netwerk van zorginstellingen en andere belanghebbenden die een rol spelen in het verzamelen, opslaan, verwerken en transporteren van gegevens.
Communicatie tussen partijen in de zorg zal gezien moeten worden als (deel van) een proces, zodat duidelijk is bij wie de verantwoordelijkheid voor dat (deel)proces ligt. Daarbij kunnen taken worden gedelegeerd aan derden, kunnen er vormen van samenwerking zijn en kunnen er afspraken zijn over de regels die worden gebruikt bij de onderlinge communicatie.
Hoe kan een organisatie bepalen in hoeverre NEN 7510 op haar procesorganisatie van toepassing is?
U kunt door middel van een self-assessment bepalen of NEN 7510 voor uw organisatie van toepassing is. Wanneer duidelijk is hoe 'volwassen' de procesorganisatie is, kunnen de te nemen maatregelen worden vastgesteld. Het staat de verantwoordelijke dus vrij om te bepalen hoe ver deze wil gaan met de informatiebeveiliging. De gebruikelijke toezichthouders in de gezondheidszorg beoordelen vervolgens of de informatiebeveiliging afdoende is geïmplementeerd.
De norm NEN 7510 helpt de verantwoordelijke de relevante maatregelen te bepalen en in te voeren. Een zorginstelling moet duidelijk kunnen maken dat er een goed beheer wordt gevoerd. Ook biedt deze norm de mogelijkheid om de andere zorgpartijen die nodig zijn in de zorgketens te wijzen op goede maatregelen voor de beveiliging van informatie.
Buiten de NEN 7510 wordt er gebruik gemaakt van de voorschriften voor een Goed Beheerd Zorgsysteem zoals gedefinieerd door NICTIZ. Is dit dubbelop?
De richtlijn voor een Goed Beheerd Zorgsysteem (GBZ) beschrijft de algemene eisen waaraan een systeem minimaal behoort te voldoen op het gebied van beveiliging, “performance”, connectiviteit en toegang, opslag én transport van gegevens. Voor wat betreft de beveiligingseisen zal een GBZ moeten voldoen aan de toetsbare voorschriften van NEN 7510. Voor een GBZ zullen deze voorschriften echter specifieker en concreter behoren te worden ingevuld, zodat voor de basisinfrastructuur een minimaal beveiligingsniveau kan worden gegarandeerd. Meer informatie over dit onderwerp is te vinden in de NEN 7511-norm.
Wat is een geavanceerde elektronische handtekening en is zo’n handtekening wel veilig?
Voor een 'gewone' elektronische handtekening zijn de eisen verbonden:
dat deze op een unieke wijze aan de ondertekenaar verbonden moeten zijn,
het moet mogelijk zijn de ondertekenaar te identificeren
deze moet tot stand komen met middelen die de ondertekenaar onder zijn controle kan houden.
Tevens dient iedere wijziging van de gegevens achteraf te kunnen worden opgespoord. De geavanceerde elektronische handtekening gaat nog een stap verder en moet gebaseerd zijn op een gekwalificeerd certificaat en zijn gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen. Dit is conform de Europese Richtlijn 1999/91/EG.
