NEN 7510: Is het complex NEN7510 in te voeren?

NEN 7510 INVOEREN IS EENVOUDIGER DAN U DENKT

Inhoudsopgave

  1. De feiten over NEN 7510
  2. Geen keurslijf voor beveiliging van patiëntgegevens
  3. Hoe gaat u hiermee om?

1. De feiten over NEN 7510

Werken met NEN 7510De toch al veel geplaagde zorginstellingen worden nu weer belast met de NEN 7510 voor informatiebeveiliging. Aan ZBC zijn hierover vragen gesteld. Graag willen we deze in dit artikel klip en klaar beantwoorden.
De NEN 7510 norm is afgeleid van de ISO 27002 norm met een snuifje ISO 27001, maar toegespitst op zorginstellingen. Voor de invoering van deze NEN 7510 kunt u daarom het schema voor de pragmatische invoering van ISO 27001 of  27002 gebruiken. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’).
Invoering van NEN 7510 is door het IGZ voor zorginstellingen verplicht gesteld. Dat betekent echter niet, dat alle maatregelen die in NEN 7510 beschreven staan, daadwerkelijk ingevoerd moeten worden. Het gaat erom dat de doelstellingen uit NEN 7510 gehaald worden. De maatregelen zijn best practices die afhankelijk van het risicoprofiel van de zorginstelling en haar beleidsuitgangspunten gebruikt kunnen worden. Slechts de audit is verplicht en deze wordt uitgevoerd op basis van de door de zorginstelling zelf opgezette norm. (Zie ook ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’.) Hierbij geldt het principe ‘Pas toe of leg uit’.
Adviseurs van grote bureaus op dit gebied leggen dit vaak anders uit. Uiteraard valt er voor hen veel meer te halen uit een complexere normatieve aanpak. Zij zeggen veelal dat de volledige invoering van maatregelen zoals die in ISO 27001 worden beschreven noodzakelijk is. (Zie ook ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging’.) Maar het Steunpunt NEN 7510 schrijft niet voor niets op zijn site:

“De norm NEN 7510 helpt de verantwoordelijke (zorginstelling) de (voor haar) relevante maatregelen te bepalen en in te voeren. Een zorginstelling moet duidelijk kunnen maken dat er een goed beheer wordt gevoerd.”

Ook al zou u uit diverse andere uitlatingen op de site van het Steunpunt NEN 7510 misschien de conclusie kunnen trekken dat het wel gaat om verplichte maatregelen, toch is dat niet het geval!

2. Geen keurslijf voor beveiliging van patiëntgegevens

Ook Salo van Berg, manager bij Ernst & Young Advisory, en Peter Kits, advocaat bij Holland Van Gijzen Advocaten en Notarissen zijn er duidelijk over. Onder de kop ‘Geen keurslijf voor beveiliging van patiëntgegevens’ schrijven ze op maandag 19 november in het FD naar aanleiding van een incident waarbij ze klaarblijkelijk betrokken waren het volgende:

“De Inspectie voor de Gezondheidszorg en het College bescherming persoonsgegevens hebben twintig ziekenhuizen getoetst op informatiebeveiliging. Aan vier ziekenhuizen is een last onder dwangsom opgelegd. Het niveau van informatiebeveiliging zou niet voldoen aan ‘de norm’.

Deze actie heeft het nodige stof doen opwaaien, maar is aanvechtbaar. Artikel 13 van de Wet bescherming persoonsgegeven (Wbp) verplicht een organisatie ‘passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen’. De Inspectie voor de Gezondheidszorg (IGZ) en het College bescherming persoonsgegevens (Cbp) zien voor de zorg de NEN norm 7510 die over informatiebeveiliging binnen de zorgsector gaat, als een gezaghebbende sectorale uitwerking hiervan en daarom als dé norm waaraan getoetst moet worden.

Voldoet een zorginstelling aan de NEN 7510, dan wordt voldaan aan artikel 13 Wbp. Er zouden dan eveneens voldoende waarborgen zijn om verantwoorde en veilige zorg te bieden in de zin van artikel 2 Kaderwet Zorginstellingen (KZ). Hoewel de IGZ en het CBP in het Rapport Informatiebeveiliging in ziekenhuizen stellen dat ook op andere wijze aangetoond mag worden dat informatiebeveiliging in orde is, toetsen zij uitsluitend aan de NEN7510.”

Dan vervolgen Van Berg en Kits met wat ik in hoofdstuk 1 al heb verwoord:

“Deze norm wordt door de toezichthouders als dwingendrechtelijk behandeld. Het ministerie van Volksgezondheid, Welzijn en Sport houdt dit in stand, aangezien alle ziekenhuizen in 2010 een externe audit – systematische controle – moeten laten uitvoeren op implementatie van de norm 7510.

De norm als dwingend te hanteren is onjuist en aanvechtbaar. Op de eerste plaats geeft de NEN7510 een kader en geen concrete(re) invulling van de termen ‘passende maatregelen’ en ‘verantwoorde zorg’. In de Wbp en Kw zijn door de wetgever bewust open normen opgenomen. Dit betekent dat de verantwoordelijke voor de verwerking van persoonsgegevens zelf mag bepalen wat een passend beveiligingsniveau is.”

Ook Van Berg en Kits constateren dus dat het de zorginstelling zelf is, die de norm bepaalt. Daarom gaan ze verder:

“Binnen dat kader kan de NEN7510 niet als dwingendrechtelijk worden gehanteerd. De NEN7510 is niet publiekrechtelijk, maar ontstaan vanuit een maatschappelijke behoefte van zelfregulering. Het is ongewenst dat een norm ‘wet’ wordt zonder democratische controle. Een dynamische verwijzing – zonder versienummer – in een wet is vanuit staatsrechtelijk oogpunt ontoelaatbaar.”

 3. Hoe gaat u hiermee om?

Voor mij is de discussie niet nieuw. Ik heb hem eerder gevoerd namens een productschap, dat in het kader van de toewijzing van Europese subsidies ook ISO 27002 gecertificeerd moesten worden. De begeleiders vanuit het ministerie van LNV kwamen destijds met allerlei dwingende eisen. Productschappen die daarop ingingen, moesten meer dan 2000 maatregelen invoeren. Het productschap dat ik begeleid heb, kon volstaan met 16 maatregelen en kwam net als de andere productschappen door de audit. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)
Alleen als de directie alle best practices van toepassing verklaart op de eigen zorginstelling, dan zal die zorginstelling aan al die best practices moeten voldoen. De maatregelen liggen dan aan de bovenkant van het volgende plaatje.

NEN 7510

Dat dat tevens leidt tot een forse verspilling, is volstrekt evident. Echter, als het gaat om informatiebeveiliging moet de organisatie ‘in control’ zijn. Om dat te bereiken dient men te kiezen voor de gele diagonaal. Het management moet primair het systeem bewaken. En niet door verstand te krijgen van informatiebeveiliging of van NEN 7510, maar door de kleurtjes te bewaken en hierop zo nodig bij te sturen. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002′.)
De Wet bescherming persoongegevens spreekt over een passende beveiliging van persoongegevens. 100% beveiliging bestaat niet en zelfs het streven hiernaar is vanuit het perspectief van kostenbesparing ongewenst. Slim beveiligen helpt daarom veel beter. (Zie ook ‘Preventie dataverlies (DLP) geeft een betere beveiliging’.)

Meer weten?
Neem contact met ons op voor meer informatie.

Bron:
http://zbc.nu/security/nen-7510-informatiebeveiliging-in-de-zorg/invoering-nen-7510-is-eenvoudiger-dan-u-denkt/
Salo van Berg en Peter Kits, ‘Geen keurslijf voor beveiliging van patiëntgegevens’. In: Het Financieele Dagblad.

Please log in to rate this.
0 people found this helpful.


Category: NEN 7510
Tags:

← faqs