De scope van de nieuwe NEN 7510

Afgelopen dinsdag mocht ik deelnemen aan een informatiebijeenkomst over de komende nieuwe NEN 7510 in Delft. De NEN 7510 norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening. De organisaties waarop de norm zich in beginsel richt, variëren van individuele zorgverleners tot grote zorginstellingen en andere organisaties die bij de informatievoorziening in de gezondheidszorg zijn betrokken, zoals netwerkorganisaties en zorgverzekeraars.

Ook de nieuwe NEN 7510 lijkt op het eerste gezicht niet meer dan een samenvoegsel van de ISO 27001 (normen voor managementsystemen), ISO 27002 (normen voor beheersmaatregelen) en ISO 27799:2016 (specifiek voor healthcare). De toegevoegde waarde van de NEN 7510 lijkt dan ook het 'sterke merk' te zijn, aangevuld met praktische handvatten voor zorginstellingen. Internationaal gezien heeft NEN 7510 weinig allure en moeten zorginstellingen zich nog steeds verantwoorden onder genoemde ISO normen. Daarnaast lijkt de nieuwe NEN 7510 niet heel veel meer te bieden dan een hoop samengevoegde, verwijderde en toegevoegde kopjes. Wat ook opvalt is dat het normenkader erg open blijft.

Enerzijds niet vreemd als je bedenkt dat veel verschillende instellingen met de norm uit de voeten moeten kunnen. Anderzijds rijst wèl de vraag of de nieuwe NEN 7510 voor alle zorginstellingen (groot en klein) genoeg praktische handvatten geeft om sector breed te worden geaccepteerd en doorgevoerd.

Tijdens de bijeenkomst had ik natuurlijk mijn privacybril op. Voorziet de nieuwe NEN 7510 ook in de nieuwe/aangescherpte eisen van de nieuwe Algemene Verordening Gegevensbescherming (‘AVG’)? Hoe sluit deze aan bij de verplichte Privacy Impact Assessment en versterkte rechten van betrokkenen? Volgens de commissie wordt dit uitgewerkt in de nieuwe NEN. Uiteraard heeft ook de meldplicht datalekken de nodige invloed.

Opvallend was dat er in de zaal (voornamelijk zorginstellingen) nog weinig besef was van de scope van de NEN 7510 als het gaat om de verwerking van (medische) persoonsgegevens. Zo dacht men dat de NEN 7510 alleen zou gelden tot de voordeur van de zorginstelling en niet per definitie voor leveranciers en andere ontvangers van informatie. Eigen verantwoordelijkheid, zo dacht men.

Maar in een (concept) AMvB van afgelopen week is opgenomen dat de NEN 7510 (en 7512 en 7513) de verplichte gedragscode zal vormen voor zorginstellingen en zorgserviceproviders bij de verwerking van (medische) persoonsgegevens. Niet alleen bij de verwerking van BSN nummers in de zorg, maar als algemene gedragscode. De Autoriteit Persoonsgegevens verwees in 2013 al naar de NEN 7510 in haar richtsnoeren. Nu wordt deze gedragscode dus ook wettelijk verplicht. Zorginstellingen zullen bij de hun elektronische gegevensverwerking voldoende (functionele) technische en organisatorische maatregelen moeten nemen voor de beveiliging van persoonsgegevens. Ook wordt de aanstelling van een functionaris voor de gegevensbescherming (in de AVG een ‘Data Protection Officer’ genoemd) verplicht.

Voor zover zorginstellingen informatie met persoonsgegevens mogen uitwisselen met verschillende partijen ('bewerkers') is volgens de wet in beginsel een bewerkersovereenkomst nodig. Verplichte toepassing van de NEN 7510 door zorgaanbieders leidt er dan ook toe dat deze verplichting zal moeten doorgeven aan bewerkers. Iets waar veel zorginstellingen kennelijk nog niet goed van op de hoogte zijn.

Uit ervaring weten wij dat de Autoriteit Persoonsgevens veel waarde hecht aan het bestaan van goede bewerkersovereenkomsten. Ook de nieuwe AVG geeft meer inzicht waar zo’n bewerkersovereenkomst aan moet voldoen om compliant te zijn. Besteed daarom voldoende aandacht aan zowel de nieuwe NEN 7510 als het bestaan van juiste contractuele afspraken met alle ontvangers van gevoelige (patiënt)informatie.

Op de hoogte blijven?

Schrijf je in en ontvang de laatste nieuwsupdates, artikelen, blogs en evenement notificaties.