Onze inspecteurs zien vaak dat zorgaanbieders hun informatiebeveiliging nog niet hebben opgezet volgens de wettelijke norm. Er zijn veel vragen over dit onderwerp. Daarom hebben we de belangrijkste voor u op een rijtje gezet. Deze informatie is vooral bedoeld voor bestuurders en verantwoordelijken voor informatiebeveiliging bij zorgaanbieders. Denk aan: hoofden ICT en security officers.
De gezondheidszorg is sterk afhankelijk van ICT en digitale producten, diensten en informatie. Tegelijk nemen de bedreigingen, zoals ransomware, toe. Informatiebeveiliging moet daarom op orde zijn. Verstoringen door problemen in de informatiebeveiliging of onverwachte gebeurtenissen, zoals stroomuitval, kunnen de continuïteit van zorg direct beïnvloeden. Ook kunnen gezondheidsgegevens lekken op het internet. Informatiebeveiliging is daarom een must.
De IGJ verwacht dan ook dat zorgaanbieders aantoonbaar werk maken van een managementsysteem voor informatiebeveiliging dat voldoet aan de wettelijke norm. En ook dat er een continuïteitsplan is en dat dit regelmatig getest wordt.
Vragen over wat de NEN 7510 is
De NEN 7510 is de norm voor informatiebeveiliging in de zorg. Er staat in hoe organisaties in de zorg hun informatiebeveiliging moeten inrichten. De kern van de NEN 7510 gaat over het managementsysteem voor informatiebeveiliging. Dit heet ook wel een ‘information security management system’ of ISMS. Verder beschrijft de norm een serie beheersmaatregelen. Hiermee kunnen organisaties hun risico’s wegnemen of kleiner maken.
De NEN 7510 gaat uit van een kwaliteitscyclus (plan, do, check, act of PDCA-cyclus). U doet eerst een risicoanalyse. Zo bepaalt u met welke bedreigingen u te maken heeft. Dan besluit u welke maatregelen nodig zijn (plan). U voert de maatregelen uit (do). U controleert regelmatig of de maatregelen het gewenste resultaat opleveren (check). Als het nodig is, zorgt u voor verbeteringen (act).
De gezondheidszorg is sterk afhankelijk van digitale producten, diensten en informatie. Daarmee ontstaan ook meer risico's. Mensen met slechte bedoelingen kunnen systemen gijzelen. Zo kunnen belangrijke informatiesystemen voor lange tijd uitvallen. Ook kunnen ze gezondheidsgegevens lekken op het internet. Informatiebeveiliging is daarom een must. De NEN 7510 is de norm voor informatiebeveiliging in de zorg.
De richtlijn Network and Information Security 2 (NIS2) gaat over het vergroten van de digitale weerbaarheid van organisaties en instellingen (de richtlijn spreekt van entiteiten) in onder meer de zorgsector. Door te voldoen aan de NEN 7510, voldoet u al voor een deel aan de NIS2-richtlijn. Meer informatie over digitale weerbaarheid en de NIS2 vindt u op de website Gegevensuitwisseling in de zorg.
Vragen over de NEN 7510 en uw organisatie
De NEN 7510 geldt voor elke zorgaanbieder die gegevens van personen verwerkt in een zorginformatiesysteem. U moet kunnen laten zien dat u werkt volgens de NEN 7510. Voor aanbieders in de jeugdhulp geldt een norm die sterk lijkt op de NEN 7510, de ISO 27001.
Sinds 2008 staat in de wet dat zorgaanbieders zich moeten houden aan de NEN 7510. Dit volgt uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). De Regeling Gebruik Burgerservicenummer in de zorg verwijst expliciet naar de NEN 7510. Dat geldt ook voor het Besluit elektronische gegevensverwerking door zorgaanbieders. Daarom moeten organisaties zich aan de NEN 7510 houden bij het beheer, de beveiliging en het gebruik van een zorginformatiesysteem.
Daarnaast is er de Algemene Verordening Gegevensbescherming (AVG). De AVG eist 'passende technische of organisatorische maatregelen' om persoonsgegevens te beschermen.
Werken volgens de NEN 7510 betekent dat het information security management system (ISMS) goed werkt. De organisatie kan dan laten zien dat de kwaliteitscyclus voor informatiebeveiliging werkt. Daarvoor is het niet genoeg dat er een beleid en beheersmaatregelen zijn. De organisatie moet ook controleren of ze werken zoals bedoeld. Als het nodig is moet de organisatie verbeteringen uitvoeren. De NEN 7510 zegt dat de organisatie de informatiebeveiliging regelmatig onafhankelijk moet laten beoordelen.
In de AVG staat hoe organisaties moeten omgaan met persoonsgegevens. De AVG eist 'passende technische of organisatorische maatregelen' om persoonsgegevens te beschermen. De NEN 7510 beschrijft zulke maatregelen. Maar u werkt alleen zoals bedoeld in de NEN 7510 als u de informatiebeveiliging steeds controleert en verbetert. Daarvoor moeten er ook onafhankelijke beoordelingen zijn.
Vragen over het aantoonbaar voldoen aan NEN 7510
Nee. De wet stelt dit niet verplicht. De NEN 7510 eist dit óók niet. Een NEN 7510-certificaat is één manier om te laten zien dat u werkt volgens de norm. Maar het is niet de enige manier. U moet wél regelmatig het information security management system (ISMS) en de beheersmaatregelen onafhankelijk laten beoordelen.
Een NEN 7510-certificaat is een goede manier om te laten zien dat u werkt volgens de norm. Zolang het certificaat geldig is, komt de certificerende organisatie regelmatig controleren. De certificerende organisatie moet zichzelf ook aan regels houden. De Raad voor de Accreditatie controleert dat. Zo geeft een certificaat extra vertrouwen, ook voor derde partijen.
Bij een onafhankelijke beoordeling kijkt een expert naar het information security management system (ISMS) en de beheersmaatregelen. De expert moet iemand zijn met genoeg kennis van informatiebeveiliging en de NEN 7510. De expert was niet zelf betrokken bij uw informatiebeveiligingsbeleid en de uitvoering ervan. De expert kan een interne auditor zijn, een externe deskundige of een in audits gespecialiseerde organisatie. Het kan ook een medewerker van een andere zorgorganisatie zijn.
De IGJ let bij een onafhankelijke beoordeling op het volgende:
Het is duidelijk dat de beoordelaar deskundig en onafhankelijk was.
In het rapport is de indeling van de NEN 7510 duidelijk te herkennen. Dat betekent dat duidelijk is hoe het staat met:
a) elk onderdeel van het information security management system (ISMS) (hoofdstuk 4 tot en met 10 van de NEN 7510) en
b) de beheersmaatregelen (bijlage A van de NEN 7510).
De auditor kijkt niet alleen naar de plannen op papier. De auditor kijkt ook naar (bewijs voor) hoe de informatiebeveiliging werkt in de praktijk.
In het rapport staat:
hoe de controle is uitgevoerd;
met wie is gesproken (en in welke rol);
welk bewijs is gebruikt;
hoe het bewijs is verzameld.
hoe de zorgaanbieder meet en bijstuurt, ook op de beheersmaatregelen uit bijlage A van de NEN 7510.
Het is duidelijk hoe de organisatie (ook in de toekomst) onafhankelijke beoordelingen regelt.
Nee. De norm gaat ervan uit dat een organisatie intern én extern de informatiebeveiliging laat beoordelen (zie o.a. onderdeel 18.1.1 in NEN 7510-2). Dit hoort bij een proces van steeds opnieuw verbeteren (de plan, do, check, act of PDCA-cyclus). Omdat dit proces steeds doorgaat, zijn regelmatige interne en externe beoordelingen nodig. Hoe vaak is afhankelijk van de snelheid van wijzigingen in een organisatie.
Nee. U blijft als zorgaanbieder zélf verantwoordelijk voor de informatiebeveiliging. Ook uw eigen bedrijfsprocessen hebben invloed op de informatieveiligheid. Bijvoorbeeld welke controles u doet als u personeel aanneemt. Of wie u toegang geeft tot informatiesystemen. Ook moet u de eisen voor informatiebeveiliging opnemen in de contracten met uw leveranciers. Verder moet u de dienstverlening van uw leveranciers beoordelen. Het kan voorkomen dat sommige beheersmaatregelen niet nodig zijn, bijvoorbeeld omdat u zelf geen computerprogramma’s maakt.
Vragen over het toezicht van de IGJ op de NEN 7510
De IGJ en de AP zien beiden toe op informatiebeveiliging. Ze hebben daarbij allebei een eigen rol. De AP let vooral op de beveiliging van persoonsgegevens. De IGJ let op de invloed op de kwaliteit van zorg. Daarvoor is belangrijk dat informatie beschikbaar is wanneer deze nodig is. De AP en de IGJ hebben samenwerkingsafspraken
De IGJ verwacht dat zorgaanbieders kunnen laten zien dat ze werk maken van informatiebeveiliging in de zorg. De NEN 7510 is daarvoor de norm. De IGJ vraagt zorgaanbieders te laten zien dat hun information security management system (ISMS) werkt. Ook moet de zorgaanbieder laten zien dat de beheersmaatregelen werken zoals bedoeld. Zorgaanbieders kunnen dit laten zien met een onafhankelijke beoordeling
Heeft u een andere vraag?
Staat uw vraag er niet bij, mail dan naar: nen7510@igj.nl