23-01-2012 11:21:31

De laatste jaren zien we opvallend veel aandacht voor certificering van de informatiebeveiliging. Diverse ISP’s en datacenters hebben zich laten certificeren, maar ook bijvoorbeeld een partij als SIDN.

Voor vrijwel elke organisatie is informatiebeveiliging in meer of mindere mate van belang. Informatiebeveiliging zorgt ervoor dat, bepaalde informatie, in de door u bepaalde vorm, voor door u bepaalde personen juist wel of juist niet beschikbaar is en dan ook nog eens wanneer u dat nodig vindt.

Om dat te bereiken dient u voor uw eigen informatie en informatie van uw klanten maatregelen te treffen. Voor zorginstellingen geldt dit in het bijzonder. Bijvoorbeeld omdat zij verantwoordelijkheid dragen over
allerlei privacy gevoelige gegevens, maar ook omdat het Elektronisch PatiëntenDossier (EPD) toch een doorstart lijkt te maken.

NEN 7510:2011
NEN 7510:2011 is dé Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is in huidige vorm actief sinds september 2011 en is gebaseerd op een aantal reeds bestaande internationale normen:

NEN 7510:2011 is, in tegenstelling tot de voorganger NEN 7510:2004, wel te certificeren. Het was weliswaar mogelijk een externe toetsing uit te laten voeren om te bepalen of een instelling voldeed aan NEN 7510:2004.

Dit was dan niet een door de Raad van Accreditatie verstrekt certificaat. Certificering is ook met deze nieuwe norm niet altijd verplicht, het werken volgens de norm door zorginstellingen wel. Desondanks verwacht ik na de hoos aan meldingen over ISO 27001 gecertificeerde organisaties de komende jaren veel nieuws rondom NEN 7510 certificeringen.

ISO 27001 en NEN 7510
Het in ISO 27001 beschreven ISMS (Information Security Management System) komt één op één terug in NEN 7510. Beiden vereisen een procesmatige aanpak van informatiebeveiliging. Er moet een cyclisch proces zijn (PDCA – Plan, Do, Check, Act) voor het bepalen van beveiligingsdoelstellingen op basis van risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten. Het zijn vooral de patiëntspecifieke aanvullingen in de beheersmaatregelen uit NEN 7510 die het verschil maken met de voor ISO 27001 in ISO 27002 beschreven beheersmaatregelen.

Advies
Zorg ervoor dat informatie die u buiten de deur plaatst, ondergebracht is bij een partij waarvan u zeker weet dat zij correct en zorgvuldig omgaan met uw informatie. Partijen die ISO 27001 gecertificeerd zijn voldoen daar waarschijnlijk aan, maar let daarbij wel op het ‘toepassingsgebied’ van dat ISO 27001 certificaat en de bijbehorende toepasselijkheidsverklaring. Voor organisaties die moeten voldoen aan NEN 7510 (zorginstellingen) hoeft de keuze voor leveranciers dus niet beperkt te blijven tot NEN 7510 gecertificeerde bedrijven, want wanneer die leverancier zelf geen patiëntgegevens verwerkt is ISO 27001 afdoende.