Afgelopen dagen werd bekend dat de hack waarbij persoonsgegevens zijn gestolen uit een systeem van een laboratorium nog groter is dan eerder gemeld. De hackers hebben mogelijk de gegevens van bijna 1 miljoen personen ingezien die sinds 2017 meededen aan een bevolkingsonderzoek. De regels rondom informatiebeveiliging in de zorg zijn de afgelopen weken dan ook volop in het nieuws. In deze blog beantwoorden wij een aantal veel gestelde vragen.
Wat is NEN 7510?
NEN 7510 is dé norm voor informatiebeveiliging in de zorg. Hierin staat hoe zorgorganisaties de informatiebeveiliging moeten inrichten, met name met betrekking tot het ‘Information Security Management System’ ook wel ISMS. Verder beschrijft de norm verschillende beheersmaatregelen. De norm is opgenomen in de Wet aanvullende bepalingen voor persoonsgegevens in de zorg (Wabvpz). De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de naleving van deze norm. De IGJ is ook een onderzoek gestart naar de informatiebeveiliging bij het laboratorium waarbij de hack plaatsvond.
Is een NEN 7510 certificaat verplicht?
Om maar meteen antwoord te geven op de meest voorkomende vraag: Nee, een NEN 7510 certificaat is niet wettelijk verplicht. De NEN 7510 eist dit zelf óók niet.
Het aantoonbaar voldoen aan de norm zelf is echter voor de meeste zorgaanbieders wél verplicht. Aantoonbaarheid kan bijvoorbeeld ook door middel van een onafhankelijke audit plaatsvinden. Een NEN 7510 certificaat maakt het aantonen natuurlijk wel gemakkelijker.
Als ik als zorgorganisatie voldoe aan de AVG, voldoe ik dan ook aan NEN 7510?
Nee, dit is niet direct het geval. De AVG ziet specifiek op hoe organisaties moeten omgaan met persoonsgegevens. De AVG vereist ‘passende technische of organisatorische maatregelen' om de persoonsgegevens die de organisatie verwerkt te beschermen. De NEN 7510 beschrijft die passende maatregelen voor de zorg. Daarnaast staan er in de NEN 7510 nog andere maatregelen over informatiebeveiliging.
Overigens is ook de Autoriteit Persoonsgegevens een onderzoek gestart naar de hack bij het laboratorium. Dit onderzoek zal moeten uitwijzen of het lab de AVG heeft overtreden.
Is het ook voldoende als alleen de ICT-leveranciers van een zorgorganisatie aan NEN 7510 voldoen?
Nee, zorgorganisaties blijven zelf verantwoordelijk voor de informatiebeveiliging. Ook de eigen bedrijfsprocessen hebben invloed op de veiligheid van de informatie. ICT-leveranciers moeten meestal zelf ook voldoen, omdat zij cruciale onderdelen van de informatievoorziening beheren. Vaak wordt dit geborgd in contracten en verwerkersovereenkomsten waarin staat dat de leverancier de norm NEN 7510 (of bijv. ISO 27001) moet naleven.
Hoe verhoudt NEN 7510 zich tot andere regelgeving gericht op beveiliging zoals NIS2?
De NEN 7510 en de NIS2-richtlijn raken elkaar zeker, want beide eisen aantoonbare informatiebeveiliging met o.a. risicoanalyses en technische en organisatorische maatregelen. NIS2 is echter een stuk breder, zowel qua toepassingsgebied als qua verplichtingen.
In Nederland wordt momenteel de NIS2-richtlijn omgezet in de Cyberbeveiligingswet. Daarin zijn verschillende rechten en plichten opgenomen, waaronder de zorgplicht. Voldoen aan de NEN 7510 geeft voor zorgaanbieders voor een groot deel al invulling aan deze zorgplicht. Een zorgorganisatie die aantoonbaar aan NEN 7510 voldoet, legt daarmee al een sterke basis voor NIS2/de Cyberbeveiligingswet maar het is nog niet voldoende om volledig aan de wetgeving te voldoen.
Heeft u nog andere vragen over informatiebeveiliging? Neem dan contact met ons op.
Blijf op de hoogte!
Zeker weten dat u niks mist? Abonneert u zich dan op onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.