Waarom voldoen aan de NEN 7510?
13-06-2023 | Een NEN 7510 certificaat is nóg geen verplichting, dus waarom zouden wij dat doen? Dat hoor ik regelmatig bij dit onderwerp. Maar het gaat niet om het voldoen aan normen hét gaat om informatiebeveiliging. Dat is niet meer weg te denken uit het dagelijks leven, als je de berichtgeving in de media over datalekken en ransomware etc. leest. Daardoor komt dit onderwerp steeds hoger op de bestuurs-agenda’s te staan.
Ook verschillende wetten een goede informatiebeveiliging, denk bijvoorbeeld aan de Algemene Verordening Gegevensbescherming (AVG), Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz).
Voor de zorgsector geldt daarnaast specifiek de NEN 7510 norm, gebaseerd op de internationale norm ISO 27001 voor informatiebeveiliging, die beschrijft welke maatregelen genomen moeten worden om op de juiste manier om te kunnen gaan met patiëntgegevens. Zorgorganisaties dienen wel aan te tonen dat aan deze norm wordt voldaan. Een stap verder is een audit én de certificering. Wat is de meerwaarde hiervan?
Niet omdat het moet; maar………
Het geeft structuur en houvast voor medewerkers
De NEN 7510 norm geldt voor de gehele zorginstelling, en is dus niet alleen van belang voor de IT-afdeling. De NEN 7510 norm biedt jullie organisatie een basis van waaruit te werken en waar medewerkers op terug kunnen vallen bij vragen.
Focus op continue verbetering
Eén van de centrale punten in ISO-normen en ook de NEN 7510 normen is continu en structureel verbeteren volgens de Plan-Do-Check-Act-cyclus. Dat ondersteunt jullie in het up-to-date houden van risicoanalyses, maatregelen en het privacy- en informatiebeveiligingsbeleid.
Aantoonbaar compliant
Met een NEN 7510 certificering wordt aangetoond dat jullie organisatie voldoet aan de wettelijke bepalingen voor patiëntengegevens en aanbestedingscriteria. Hiermee is direct aantoonbaar dat aan de gestelde eisen van een gedegen informatiebeveiliging is voldaan.
Certificering schept vertrouwen
Het certificaat van de NEN 7510 norm geeft aan dat je organisatie vertrouwelijk en integer omgaat met de patiëntgegevens. Ook laat je zien aan patiënten, leveranciers, zorgverzekeraars en andere belanghebbenden dat de juiste maatregelen getroffen worden. Dit vertrouwen is belangrijk.
Waar begin je?
Certificering en compliant zijn, kan en moet nooit een doel op zichzelf zijn! HET GAAT OM GESTRUCTUREERD EN INFORMATIEVEILIG WERKEN!
Waar dat proces begint is soms een moeilijk punt. Zoals alle begin moeilijk is. Tóch is het begin eenvoudig; met een groepje collega’s én een flipover. Schrijf je op wat ‘goed’ gaat en wat ‘beter’ kan. Al snel resulteert dit in een zogenaamde SWOT analyse. (sterktes, zwaktes, kansen, bedreigingen).
De SWOT-analyse is de eerste stap waaraan je (verbeter-)doelen kunt stellen. Én als je die dan SMART-V (Specifiek, Meetbaar, Aanvaardbaar, Realistisch, Tijdsgebonden en Verantwoordelijk?) formuleert; heb je het PLAN al klaar van de eerder genoemde PDCA-cyclus (Plan, Do, Check, Act)!
DO is niets anders dan het Plan uitvoeren.
CHECK is nagaan of het geformuleerde verbeterdoel in de DO fase zijn gehaald? ACT is het standaardiseren van maatregelen die goed werken én het bijstellen van verbeterdoelen die nog niet goed werken.
Volgende ontwikkelstap
Natuurlijk kun je periodiek opnieuw een SWOT- analyse en PDCA-cyclus gaan uitvoeren, maar op een bepaald moment voldoet het bijhouden en borgen van veranderingen in een Excelbestand niet meer. Dan is het tijd, voor bijvoorbeeld, een Information Security Management System (ISMS) of ander systeem waarin normenkaders volgens o.a. NEN 7510, NTA 7516 en AVG zijn opgenomen, waaraan je de organisatie kunt toetsen op informatiebeveiliging, cybersecurity en bescherming van privacygegevens.
Met een dergelijk systeem wordt het normenkader beheert voor jullie organisatie. Daarnaast heb je inzicht in nieuwe en lopende acties om te voldoen aan de eisen uit de norm. Voor zorginstellingen en -organisaties biedt dit een goede basisbescherming én o.a. monitoring van genomen en nog te nemen maatregelen.
Meer weten hoe wij uw organisatie kunnen helpen met deze drie normenkaders, kijk dan op onze pagina https://avgcare.nl/nen-7510/ óf maakt gelijk een afspraak via per telefoon 0317-617070 óf https://avgcare.nl/contact/