De NEN7510 is nader geconcretiseerd (NVZ)

Organisaties die met persoonlijke gezondheidsinformatie werken zijn volgens de Algemene Verordening Gegevensbescherming (AVG) allereerst gehouden om de juiste technische en organisatorische maatregelen te treffen om deze persoonsgegevens te beveiligen. Met de NEN7510 norm – Informatiebeveiliging in de zorg – wordt geprobeerd om een nadere aanvulling aan die maatregelen te geven.

De NEN7510 bevat echter veel algemene beheersmaatregelen die vaak ruimte over laten voor interpretatie. De NVZ en NFU hebben daarom namens de Nederlandse ziekenhuizen met de Autoriteit Persoonsgegevens gewerkt aan concretisering van een aantal eisen uit de NEN7510. De eisen zijn op vier thema’s nader uitgewerkt:

  • Bewustwording
  • Autorisatie
  • Authenticatie
  • Logging en controle

De nadere uitwerking van de NEN7510 eisen (beheersmaatregelen) is opgenomen in de Gedragslijn Toegangsbeveiliging digitale patiëntendossiers.

Deze Gedragslijn is voorgelegd aan de Autoriteit Persoonsgegevens. De Nederlandse ziekenhuizen hebben zich geconformeerd om de voornoemde thema’s volgens deze Gedragslijn vorm te geven.

In het algemeen acht de Autoriteit Persoonsgegevens het zorgen voor bewustwording de belangrijkste maatregel die je als organisatie kunt nemen. In de Gedragslijn is over bewustwording opgenomen:

Medewerkers krijgen op het gebied van informatiebeveiliging een passende bewustzijnsopleiding en ‐training en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.

Daarnaast bevat de gedragslijn enkele specifieke aandachtsgebieden en criteria (zoals malware en phishing) waarop medewerkers moeten worden getraind. Het nieuwe bewustwordingsprogramma van ZCUR Informatiebeveiliging en Privacy, dat speciaal voor deze Gedragslijn en de ziekenhuizen is ontwikkeld, voldoet aan de criteria in deze gedragslijn. Daarmee wordt ziekenhuizen, maar ook andere gezondheidsinstellingen de mogelijkheid geboden om bewustwording voor informatiebeveiliging en privacy eenvoudig te borgen. Zie voor meer informatie: bewustwording-ziekenhuizen.nl.

De ziekenhuizen hebben tot 11 januari 2021 om te onderzoeken in hoeverre zij aan de Gedragslijn voldoen.

Geef als eerste een reactie

Laat een reactie achter

Het e-mailadres wordt niet gepubliceerd.


*