Veelgestelde vragen: informatiebeveiliging

Informatiebeveiliging

Informatiebeveiliging is een belangrijke randvoorwaarde om betrouwbare en kwalitatief goede diensten en producten te kunnen leveren. Tegenwoordig zijn alle organisaties verbonden met internet. Hierdoor wordt er (in toenemende mate) een enorme hoeveelheid informatie digitaal opgeslagen en uitgewisseld. Door te werken met een managementsysteem voor informatiebeveiliging kun je als organisatie waarborgen dat vertrouwelijke informatie van jouw eigen organisatie en van cliënten/patiënten vertrouwelijk blijven.

We richten een proces in dat bestaat uit het ontwikkelen, onderhouden en continu verbeteren om te kunnen garanderen dat gegevensverwerking betrouwbaar is. Het resultaat: informatie is beschermd tegen onrechtmatige toegang en bewerking ervan, eventuele gevolgen van beveiligingsincidenten worden beperkt en de continuïteit van de informatie en informatievoorziening wordt geborgd.

Veelgestelde vragen

ISO27001 en NEN7510: overeenkomsten en verschillen?

ISO 27001 is een internationale (algemene) norm voor informatiebeveiliging en niet specifiek bedoeld voor zorgorganisaties. NEN 7510:2017 is de Nederlandse norm voor informatiebeveiliging in de zorg en is van toepassing op zorginstellingen en leveranciers in de zorg die patiëntgegevens verwerken. Beiden normen dragen zorg voor continue verbetering van jouw organisatie en maken aantoonbaar dat er op een vertrouwelijke en zorgvuldige manier met informatie wordt omgegaan. Waarbij NEN 7510 de focus volledig op patiëntgegevens heeft liggen, ligt de focus bij ISO 27001 op de informatie die een organisatie beschouwt als waardevol. Hier ligt het verschil tussen NEN7510 en ISO 27001. Het soort informatie dat jouw organisatie of instelling verwerkt, bepaalt de reikwijdte van certificatie.

Ben ik als zorgorganisatie verplicht om te voldoen aan de NEN7510 middels certificering?

Nee. De Inspectie Gezondheidszorg en Jeugd (IGJ) eist dat zorginstellingen in Nederland aantoonbaar kunnen maken dat zij beschikken over een juist niveau van informatiebeveiliging. NEN 7510 (en ISO27001) certificering maakt dit aantoonbaar, maar certificering is niet verplicht*.

NEN 7510 geldt niet alleen voor zorginstellingen, maar is ook van toepassing op (toe) leveranciers die patiëntgegevens verwerken. Indien (toe) leveranciers andere informatie verwerken, zoals financiële gegevens, persoonsgegevens of andere bedrijfsvertrouwelijke gegevens, dan kunnen zij zich laten certificeren volgens de ISO 27001. NEN 7510 is niet direct noodzakelijk.

De drie opties voor niet zorginstellingen zijn:

• ISO 27001 certificering: Als de organisatie zich voornamelijk focust op organisaties buiten de zorgbranche;
• NEN 7510:2017 certificering: Als de organisatie zich focust op de zorgbranche;
• ISO 27001 & NEN 7510:2017 certificering: Als informatiebeveiliging aantoonbaar moet zijn voor organisaties buiten de zorgbranche, maar ook voor zorginstellingen;

Waarom zou een zorgorganisatie zich ISO27001/NEN 7510:2017 laten certificeren? Wat heb ik er aan?

• Vergroten van vertrouwen. Met een certificaat zijn zaken omtrent informatiebeveiliging aantoonbaar goed geregeld. Ook is aantoonbaar dat je als organisatie op een vertrouwelijke en zorgvuldige manier met informatie omgaat. Het draagt het bij aan het vergroten van vertrouwen bij klanten.
• Reductie van risico’s. Daarnaast toon je aan dat je als organisatie risico’s identificeert en terugbrengt tot een aanvaardbaar niveau. De kans op informatiebeveiligingsrisico’s wordt teruggedrongen, afbreukrisico’s worden beperkt en imagoschade wordt voorkomen.
• Structuur en duidelijkheid. Na het implementatietraject zijn alle processen gestroomlijnd en/of verbeterd. Dit zorgt voor structuur en een duidelijke taakverdeling binnen jouw organisatie, waardoor de effectiviteit en productiviteit toeneemt.
• Uitblinken in dienstverlening door continu verbeteren. Door de focus op continu verbeteren draagt het bij aan het leveren van een zo hoog mogelijke kwaliteit van dienstverlening.

Mijn software leverancier moet toch alleen voldoen aan de ISO27001/NEN7510?

Als jouw software leverancier werkt met zowel organisaties buiten als binnen de zorgbranche, is het raadzaam om te voldoen aan ISO27001 en NEN7510:2017.  Echter, het is de zorginstelling die aantoonbaar aan NEN 7510 moet voldoen. Indien toeleveranciers, zoals leveranciers van software, met patiëntgegevens te maken hebben, zullen opdrachtgevers van deze leveranciers eisen dat zij voldoen aan NEN 7510.

Ik voldoe aan de AVG, dus ook aan de NEN7510/ISO27001?

Nee. De ISO27001 en NEN7510 normen zijn breder dan de Algemene Verordening Gegevensbescherming (AVG). Er is wel een relatie: de ISO-NEN normen eisen namelijk dat je geldende wet- en regelgeving bijhoudt.

De AVG vereist dat organisaties persoonsgegevens beschermen met passende technische en organisatorische maatregelen. Dit houdt in dat je als organisatie alleen noodzakelijke persoonsgegevens verwerkt en dat je dit op aantoonbare zorgvuldige manier doet. Er is in de AVG geen expliciete verwijzing naar de ISO-NEN normen, maar certificering kan wel als hulpmiddel dienen voor het aantoonbaar maken van de eisen en voorschriften vanuit de AVG.

De komst van de AVG heeft ervoor gezorgd dat informatiebeveiliging naar een hoger niveau is getild. Zo moet een datalek verplicht worden gemeld aan de Autoriteit Persoonsgegevens, moet worden voldaan aan de informatieplicht en moeten interne procedures worden ingericht voor o.a. datalekken en het verwerken van persoonsgegevens. Deze zaken zijn geborgd in een informatiebeveiligingssysteem op basis van ISO 27001 of NEN 7510. Voldoen aan de ISO 27001 norm of NEN7510 of het hebben van een certificering is geen verplichting vanuit Nederlandse of Europese wetgeving. Het helpt wel om invulling te geven aan maatregelen voor een passende bescherming van persoonsgegevens en daarmee het voldoen aan de AVG.

Meer informatie over de AVG? Lees ons artikel!

 

Staat het antwoord op jouw vraag er niet bij? Laat het ons dan even weten. Wij zoeken het graag voor je uit!