Heel NORMaal: NEN 7510 en de AVG

3 min lezen - gepubliceerd op 25 juni 2018

In Artikel 9 van de AVG zijn gezondheidsgegevens geclassificeerd als bijzondere persoonsgegevens. De verwerking daarvan is aan strikte voorwaarden verbonden. Het lekken van gezondheidsgegevens kan voor een patiënt, maar ook voor zorgaanbieders behoorlijke gevolgen hebben. In de zorg, waar men op grote schaal met gevoelige gegevens werkt, is het dus essentieel om informatiebeveiliging op orde te hebben.

Om de informatiebeveiliging in de zorg goed te regelen, moeten alle zorginstellingen in Nederland voldoen aan NEN 7510: ‘Informatiebeveiliging in de zorg’. In dit blog lees je wat deze norm precies inhoudt en hoe deze zich verhoudt tot de AVG.

Welke normen kent de zorg?

Op 1 juli 2017 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg in werking getreden. Deze wet verplicht zorginstellingen om hun informatiebeveiliging in te richten volgens de NEderlandse Normen (NEN). De NEN zijn opgesteld door de stichting Nederlands Normalisatie-instituut en zijn specifiek gericht op de zorg. Het instituut onderscheidt drie normen:

  1. NEN 7510: norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg;
  2. NEN 7512: nadere invulling van NEN 7510 wat betreft de veiligheid van gegevensuitwisseling tussen partijen in de zorg;
  3. NEN 7513: nadere invulling van NEN 7510 wat betreft het vastleggen van acties op elektronische cliëntendossiers.
  4. NTA 7516: de norm voor veilige ad hoc communicatie van gezondheidsinformatie.

De norm NEN 7510 is gebaseerd op de zogenaamde Code voor Informatiebeveiliging, een internationale standaard voor informatiebeveiliging in organisaties. Voor de zorgsector is deze code aangepast.


Wat is NEN 7510?

Het uitgangspunt van deze norm is het managementsysteem dat zich continu richt op verbeteren. Dit werkt als volgt: een organisatie bepaalt door middel van een analyse wat de risico’s zijn op het gebied van informatiebeveiliging. Op basis van de risico’s neemt de organisatie passende maatregelen. De risicoanalyse en het doorvoeren van de maatregelen wordt regelmatig herhaald. Daardoor houdt de organisatie de maatregelen op peil of verbetert ze.

NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van de te nemen maatregelen. De norm bevat een uitgebreide inleiding, die ingaat op de specifiek Nederlandse context van wet- en regelgeving en actuele ontwikkelingen. Verder besteedt deze norm uitgebreid aandacht aan het managementsysteem voor informatiebeveiliging en het risicomanagement dat daar deel van uitmaakt.

Toezicht door de Inspectie voor de Gezondheidszorg

NEN 7510 wordt genoemd in artikel 2 van de Algemene Maatregel van Bestuur (AMvB) die hoort bij de Wet gebruik burgerservicenummer in de zorg. Hierdoor heeft NEN 7510 een verplichtend karakter. De verplichting voor de zorginstellingen houdt in dat zij bij het leveren van verantwoorde zorg de patiëntgegevens adequaat moeten beveiligen. Informatiebeveiliging valt daarmee onder het toezicht van de Inspectie voor de Gezondheidszorg (IGZ). IGZ neemt NEN 7510 ter hand bij het toetsen of zorginstellingen de juiste maatregelen treffen voor het invoeren en handhaven van adequate informatiebeveiliging.

NEN 7510 en de AVG: de verantwoordingsplicht

Voor het vertrouwen van de patiënt in zorgaanbieders is het belangrijk om de beveiliging van zijn/haar persoonsgegevens goed te regelen. Dat verandert niet met de komst van de Algemene verordening gegevensbescherming (AVG). Nieuw onder de AVG is wel de verantwoordingsplicht.

De verantwoordingsplicht houdt in dat organisaties moeten aantonen dat ze de juiste technische en organisatorische maatregelen hebben genomen om de persoonsgegevens van patiënten te beveiligen. Dat betekent bijvoorbeeld dat de organisatie:

  • niet méér persoonsgegevens verwerkt dan noodzakelijk is;
  • de toegang van medewerkers tot de persoonsgegevens beperkt;
  • de persoonsgegevens niet langer bewaart dan nodig is.

In de AVG staan een aantal verplichte maatregelen genoemd waarmee je aan de verantwoordingsplicht voldoet. Naast de verplichte maatregelen kan het nodig zijn om extra maatregelen te nemen. Dit houdt onder andere in dat:

  • NEN 7510 een belangrijke norm blijft voor informatiebeveiliging in de zorg.
  • Men registreert van elke individuele medewerker wanneer hij/zij een dossier heeft bekeken en van welke patiënt. Dit heet logging.
  • Het nodig kan zijn om een gegevensbeschermingsbeleid op te stellen. Daarin regel je onder meer welke medewerkers toegang mogen hebben tot welke gegevens.

In de zorg is het maken van afspraken over dit soort autorisaties extra belangrijk omdat het vaak om gevoelige persoonsgegevens gaat. Medewerkers die geen behandelrelatie hebben met een patiënt, hebben ook geen toegang nodig tot het dossier van die patiënt.


AVG checklist: Weet zeker dat je voldoet aan de Europese wetgeving

De AVG schrijft dus voor dat alle organisaties in control moeten zijn van hun data en daar passende maatregelen voor moeten nemen. Dit is niet specifiek voor de zorg. NEN 7510 is echter een norm speciaal voor de zorg waarin wordt gespecificeerd welke passende maatregelen men in deze branche kan nemen. Daarmee is NEN 7510 een goed antwoord op de vraag: hoe maak ik mijn zorgorganisatie AVG-proof? Let er daarbij op dat voldoen aan de norm niet één op één gelijk staat aan klaar zijn voor de AVG. Waar NEN 7510 gericht is op het in kaart brengen van de risico’s en continue verbetering van maatregelen, stelt de AVG eisen aan wat er al geregeld moet zijn. Wil je weten welke eisen dit precies zijn? Bekijk dan onze checklist!

Klik hier om de checklist GDPR te downloaden

Picture of Eva Malten

Eva Malten

Eva studeerde Nederlandse taal en cultuur in haar favoriete stad: Utrecht. Daarna ontwikkelde ze zich tot communicatiemedewerker en werkte bij diverse uitgeverijen en de Bibliotheek Utrecht. Ze houdt van lezen en schrijven en is gespecialiseerd in compacte teksten met een heldere boodschap. Ze voelt zich thuis in het energieke en enthousiaste team van ZIVVER. In haar vrije tijd gaat Eva met haar gezin op stap in Utrecht of staat ze in de keuken om een taart te bakken.