faqs

Managed Hosting (2)

Bij de meeste providers draait de server onder het besturingssysteem Linux, met een Apache-webserver, een MySQL-database en de scripttaal PHP. Deze combinatie heet ook wel LAMP, en is met name populair omdat deze software geen licentiekosten met zich meebrengt. Sommige webserver-toepassingen, zoals Active Server Pages (ASP of ASP.NET) en koppeling naar een Microsoft Access-database zijn meer geschikt voor een Microsoft Windows server, wat echter wel meer licentiekosten met zich meebrengt. Tegenwoordig zijn er ook mogelijkheden om ASP op een Linux-server te gebruiken. Om zijn gehoste website te beheren kan een klant vaak gebruikmaken van speciale beheersoftware, zoals cPanel en DirectAdmin.

Please log in to rate this.
0 people found this helpful.


Zorginstellingen horen al vanaf 2006 conform de NEN 7510 te werken, met het oog op de invoering van de wet op de BSN en het EPD.
Op dit moment is het niet verplicht maar er wordt geacht conform de richtlijn te werken, doe dit niet dan heb je een grote kan dat je beboet kan worden door het CPB of zelfs voor de rechter moet verschijnen. Het punt is namelijk zo dat NEN 7510 maatregelen bevat die o.a. de privacy van je patienten moeten waarborgen, wanneer je die maatregelen niet hebt genomen ben je logische wijs onverantwoord bezig met patient gegevens en dit is onacceptabel zowel vanuit het oogpunt van de patient noch het CPB.

2015 Verplichting Functionaris gegevensbescherming hosting – NEN7510

De Europese Algemene Verordening Bescherming Persoonsgegevens is mogelijk al per 2015 van kracht en verplicht zorgaanbieders onder meer om een ‘functionaris gegevensbescherming’ aan te stellen en datalekken te melden. Verder spreekt deze verordening van zeer hoge boetes. Er wordt een beperkte tijd gegeven om de genoemde maatregelen te implementeren.

Vanwege de vele ict-ontwikkelingen in de zorg in de komende jaren, zoals op gebied van gegevensuitwisseling, epd/ecd, domotica en e-health, heeft de Minister van VWS informatiebeveiliging hoog op de agenda staan. NEN7510 is de veldnorm voor informatiebeveiliging in de zorg en staat in de nieuwe ‘Algemene Maatregel van Bestuur bij wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens’, zodat deze in de nabije toekomst wet gaat worden. Het tijdstip van inwerkingtreding van deze AMvB, op grond van artikel 26 Wbp, is gekoppeld aan de inwerkingtreden van de Wet cliëntenrechten bij elektronische verwerking van gegevens (kamerstukken 33 509).

Deze AMvB gaat véél verder dan de Europese regelgeving want het bevat de volledige NEN7510 en is hiermee voor veel zorgaanbieders niet mogelijk deze op korte termijn volledig te implementeren. Samen met intensivering van toezicht en sanctionering, zal dit voor sommige  zorgaanbieders en andere verwerkers van patiëntgegevens, aanleiding zijn om informatiebeveiliging nog dit jaar hoog op de agenda te plaatsen.

Please log in to rate this.
0 people found this helpful.


NEN 7510 (5)

Nee, het is de zorginstelling die aan NEN 7510 moet voldoen. Zij stelt een pakket van eisen samen en legt dit voor aan de softwareleverancier. De leverancier moet via specificaties kunnen aantonen dat hij voldoet aan de gestelde eisen.

Software die is geïntegreerd in een medisch hulpmiddel, moet voldoen aan de eisen van de Richtlijn medische hulpmiddelen (93/42/EEG). De fabrikant van een medisch hulpmiddel bepaalt door de ‘intended use’ van het medisch hulpmiddel te benoemen, in welke risicoklasse zijn product valt. Indien de software is geïntegreerd in het medisch hulpmiddel, dan valt deze software onder dezelfde risicoklasse als het medisch hulpmiddel. Stand-alone software wordt beschouwd als een actief medisch hulpmiddel, wat in beginsel een risicoklasse I product is (bijlage IX van de richtlijn).

Please log in to rate this.
0 people found this helpful.


Indien uw gehandicaptenzorginstelling patiëntgegevens verwerkt, dan moet uw organisatie voor adequate informatiebeveiliging zorgen. NEN 7510 geeft hiertoe een kader, maar is niet verplicht. De norm adviseert zorgorganisaties een risico-inventarisatie en -analyse uit te voeren en op basis daarvan maatregelen vast te stellen, in te voeren en te borgen.

Indien uw zorginstelling gebruikmaakt van burgerservicenummers, dan moet uw organisatie zich houden aan de Wet bescherming persoonsgegevens (Wbp). Het beveiligen van persoonsgegevens is op basis van deze wet verplicht.

Please log in to rate this.
0 people found this helpful.


NEN 7510 INVOEREN IS EENVOUDIGER DAN U DENKT

Inhoudsopgave

  1. De feiten over NEN 7510
  2. Geen keurslijf voor beveiliging van patiëntgegevens
  3. Hoe gaat u hiermee om?

1. De feiten over NEN 7510

Werken met NEN 7510De toch al veel geplaagde zorginstellingen worden nu weer belast met de NEN 7510 voor informatiebeveiliging. Aan ZBC zijn hierover vragen gesteld. Graag willen we deze in dit artikel klip en klaar beantwoorden.
De NEN 7510 norm is afgeleid van de ISO 27002 norm met een snuifje ISO 27001, maar toegespitst op zorginstellingen. Voor de invoering van deze NEN 7510 kunt u daarom het schema voor de pragmatische invoering van ISO 27001 of  27002 gebruiken. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’).
Invoering van NEN 7510 is door het IGZ voor zorginstellingen verplicht gesteld. Dat betekent echter niet, dat alle maatregelen die in NEN 7510 beschreven staan, daadwerkelijk ingevoerd moeten worden. Het gaat erom dat de doelstellingen uit NEN 7510 gehaald worden. De maatregelen zijn best practices die afhankelijk van het risicoprofiel van de zorginstelling en haar beleidsuitgangspunten gebruikt kunnen worden. Slechts de audit is verplicht en deze wordt uitgevoerd op basis van de door de zorginstelling zelf opgezette norm. (Zie ook ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’.) Hierbij geldt het principe ‘Pas toe of leg uit’.
Adviseurs van grote bureaus op dit gebied leggen dit vaak anders uit. Uiteraard valt er voor hen veel meer te halen uit een complexere normatieve aanpak. Zij zeggen veelal dat de volledige invoering van maatregelen zoals die in ISO 27001 worden beschreven noodzakelijk is. (Zie ook ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging’.) Maar het Steunpunt NEN 7510 schrijft niet voor niets op zijn site:

“De norm NEN 7510 helpt de verantwoordelijke (zorginstelling) de (voor haar) relevante maatregelen te bepalen en in te voeren. Een zorginstelling moet duidelijk kunnen maken dat er een goed beheer wordt gevoerd.”

Ook al zou u uit diverse andere uitlatingen op de site van het Steunpunt NEN 7510 misschien de conclusie kunnen trekken dat het wel gaat om verplichte maatregelen, toch is dat niet het geval!

2. Geen keurslijf voor beveiliging van patiëntgegevens

Ook Salo van Berg, manager bij Ernst & Young Advisory, en Peter Kits, advocaat bij Holland Van Gijzen Advocaten en Notarissen zijn er duidelijk over. Onder de kop ‘Geen keurslijf voor beveiliging van patiëntgegevens’ schrijven ze op maandag 19 november in het FD naar aanleiding van een incident waarbij ze klaarblijkelijk betrokken waren het volgende:

“De Inspectie voor de Gezondheidszorg en het College bescherming persoonsgegevens hebben twintig ziekenhuizen getoetst op informatiebeveiliging. Aan vier ziekenhuizen is een last onder dwangsom opgelegd. Het niveau van informatiebeveiliging zou niet voldoen aan ‘de norm’.

Deze actie heeft het nodige stof doen opwaaien, maar is aanvechtbaar. Artikel 13 van de Wet bescherming persoonsgegeven (Wbp) verplicht een organisatie ‘passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen’. De Inspectie voor de Gezondheidszorg (IGZ) en het College bescherming persoonsgegevens (Cbp) zien voor de zorg de NEN norm 7510 die over informatiebeveiliging binnen de zorgsector gaat, als een gezaghebbende sectorale uitwerking hiervan en daarom als dé norm waaraan getoetst moet worden.

Voldoet een zorginstelling aan de NEN 7510, dan wordt voldaan aan artikel 13 Wbp. Er zouden dan eveneens voldoende waarborgen zijn om verantwoorde en veilige zorg te bieden in de zin van artikel 2 Kaderwet Zorginstellingen (KZ). Hoewel de IGZ en het CBP in het Rapport Informatiebeveiliging in ziekenhuizen stellen dat ook op andere wijze aangetoond mag worden dat informatiebeveiliging in orde is, toetsen zij uitsluitend aan de NEN7510.”

Dan vervolgen Van Berg en Kits met wat ik in hoofdstuk 1 al heb verwoord:

“Deze norm wordt door de toezichthouders als dwingendrechtelijk behandeld. Het ministerie van Volksgezondheid, Welzijn en Sport houdt dit in stand, aangezien alle ziekenhuizen in 2010 een externe audit – systematische controle – moeten laten uitvoeren op implementatie van de norm 7510.

De norm als dwingend te hanteren is onjuist en aanvechtbaar. Op de eerste plaats geeft de NEN7510 een kader en geen concrete(re) invulling van de termen ‘passende maatregelen’ en ‘verantwoorde zorg’. In de Wbp en Kw zijn door de wetgever bewust open normen opgenomen. Dit betekent dat de verantwoordelijke voor de verwerking van persoonsgegevens zelf mag bepalen wat een passend beveiligingsniveau is.”

Ook Van Berg en Kits constateren dus dat het de zorginstelling zelf is, die de norm bepaalt. Daarom gaan ze verder:

“Binnen dat kader kan de NEN7510 niet als dwingendrechtelijk worden gehanteerd. De NEN7510 is niet publiekrechtelijk, maar ontstaan vanuit een maatschappelijke behoefte van zelfregulering. Het is ongewenst dat een norm ‘wet’ wordt zonder democratische controle. Een dynamische verwijzing – zonder versienummer – in een wet is vanuit staatsrechtelijk oogpunt ontoelaatbaar.”

 3. Hoe gaat u hiermee om?

Voor mij is de discussie niet nieuw. Ik heb hem eerder gevoerd namens een productschap, dat in het kader van de toewijzing van Europese subsidies ook ISO 27002 gecertificeerd moesten worden. De begeleiders vanuit het ministerie van LNV kwamen destijds met allerlei dwingende eisen. Productschappen die daarop ingingen, moesten meer dan 2000 maatregelen invoeren. Het productschap dat ik begeleid heb, kon volstaan met 16 maatregelen en kwam net als de andere productschappen door de audit. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)
Alleen als de directie alle best practices van toepassing verklaart op de eigen zorginstelling, dan zal die zorginstelling aan al die best practices moeten voldoen. De maatregelen liggen dan aan de bovenkant van het volgende plaatje.

NEN 7510

Dat dat tevens leidt tot een forse verspilling, is volstrekt evident. Echter, als het gaat om informatiebeveiliging moet de organisatie ‘in control’ zijn. Om dat te bereiken dient men te kiezen voor de gele diagonaal. Het management moet primair het systeem bewaken. En niet door verstand te krijgen van informatiebeveiliging of van NEN 7510, maar door de kleurtjes te bewaken en hierop zo nodig bij te sturen. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002′.)
De Wet bescherming persoongegevens spreekt over een passende beveiliging van persoongegevens. 100% beveiliging bestaat niet en zelfs het streven hiernaar is vanuit het perspectief van kostenbesparing ongewenst. Slim beveiligen helpt daarom veel beter. (Zie ook ‘Preventie dataverlies (DLP) geeft een betere beveiliging’.)

Meer weten?
Neem contact met ons op voor meer informatie.

Bron:
http://zbc.nu/security/nen-7510-informatiebeveiliging-in-de-zorg/invoering-nen-7510-is-eenvoudiger-dan-u-denkt/
Salo van Berg en Peter Kits, ‘Geen keurslijf voor beveiliging van patiëntgegevens’. In: Het Financieele Dagblad.

Please log in to rate this.
0 people found this helpful.


NEN 7510 HOSTING VAN RAM Infotechnology

NEN 7510 informatiebeveiliging

RAM Infotechnology heeft zijn informatiebeveiliging volgens de norm NEN 7510 ingericht; het waarborgen van de beschikbaarheid, integratie en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoordelijke zorg te bieden.

hostingprocessen volgens norm NEN 7510

Processen volgens de norm
RAM Infotechnology heeft zijn hostingprocessen mede ingericht aan de hand van de norm. Middels de NEN-norm voor informatiebeveiliging stelt RAM Infotechnology zijn klanten in staat de keten van beschikbaarheid, integratie en vertrouwelijkheid eenvoudig te borgen.

 

Voordelen NEN 7510 Hosting

  • Kennis over beveiligingsrisico’s.
  • Voldoen aan de internationale wettelijke bepalingen voor patiëntgegevens.
  • Controleerbare informatiebeveiligingsmaatregelen.
  • Informatiebeveiliging volgens de wettelijke eisen rond het Elektronisch Patiënten Dossier.

Voordelen NEN 7510 hosting bij RAM Infotechnology

  • Hoogste standaard voor beveiliging van informatie.
  • Informatiebeheer en beheersbaar maken.
  • Vertrouwen creëren en waarborgen omtrent de informatiebeveiliging.
  • Conformiteit aan de wet- en regelgeving.
  • Datatoegang autorisatie.

OVER NEN 7510

Historie NEN 7510

De eerste NEN 7510 norm is in 2004 gepubliceerd. De norm is gebaseerd op de ‘Code voor informatiebeveiliging’ en is toegesneden op de Nederlandse gezondheidssector. In 2009 is besloten de norm te reviseren en op 14 oktober 2011 is deze vernieuwde norm van NEN 7510 gepubliceerd. NEN heeft het normalisatieproces begeleid waarbij de betrokken partijen met hun uiteenlopende belangen onder consensus de afspraken voor informatiebeveiliging in de zorg hebben vastgelegd.

Uitgangspunten NEN 7510

De NEN 7510 norm is in het leven geroepen om het bewustzijn in de zorgsector te creëeren met betrekking tot informatiebeveiliging en het beter hanteerbaar maken van de toepassing. NEN 7510 omschrijft het begrip informatiebeveiliging in de zorg als volgt: waarborging van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om verantwoorde zorg te kunnen bieden aan patiënten.

De norm omvat als eerste een aantal kwaliteitscriteria. Naast het borgen van deze criteria vereist de norm dat de maatregelen op het gebied van informatiebeveiliging op controleerbare wijze zijn ingericht. Pas als dat is ingeregeld, kan er worden gesproken over adequate informatiebeveiliging. Van zorginstellingen wordt verlangd dat zij binnen het kader van de norm, de informatiebeveiliging specificeren die relevant is voor het betreffende proces met bijhorende maatregelen.

Please log in to rate this.
1 person found this helpful.


NEN 7510 is een managementsysteemnorm die een kader stelt voor het organiseren en borgen van informatiebeveiliging binnen een zorginstelling of toeleverancier. NEN 7512 en NEN 7513 zijn aanvullingen op (specifieke eisen uit) NEN 7510.

Toepassingsgebied NEN 7512

Het toepassingsgebied van NEN 7512 is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten, cliënten, zorgverzekeraars en andere partijen die bij de zorg zijn betrokken.

Please log in to rate this.
0 people found this helpful.