VacaturesIn de zorgsector is informatiebeveiliging cruciaal. Het beschermen van persoonsgegevens, en in het bijzonder medische gegevens, vereist een hoge standaard van beveiligingsmaatregelen. Niet gek dus dat zorginstellingen vaak vragen om een certificering als bewijs dat een leverancier aan deze eisen voldoet. Wat echter regelmatig voorkomt, is dat inkopers standaard vragen om een NEN 7510-certificering, ook aan leveranciers waarvoor dit helemaal niet van toepassing is. Dat zorgt voor verwarring en onnodige eisen in inkooptrajecten. Tijd voor opheldering.
ISO 27001 vs. NEN 7510: wat is het verschil?
ISO 27001 is de internationale norm voor informatiebeveiliging. Deze norm is van toepassing op alle organisaties, in alle sectoren, en vormt de basis voor het opzetten, implementeren en verbeteren van een Information Security Management System (ISMS).
NEN 7510 is een Nederlandse norm, specifiek gericht op informatiebeveiliging in de zorgsector. Deze norm bouwt voort op ISO 27001, maar bevat aanvullende eisen die specifiek zijn voor de omgang met medische persoonsgegevens binnen de zorg.
Met andere woorden: NEN 7510 = ISO 27001 + zorgspecifieke aanvullingen.
Wanneer is NEN 7510 van toepassing?
Een organisatie kan zich alléén laten certificeren voor NEN 7510 als zij daadwerkelijk medische persoonsgegevens verwerkt. Denk aan elektronische patiëntendossiers of andere systemen waarin persoonlijke gezondheidsgegevens worden opgeslagen of bewerkt. Alleen in dat geval ben je formeel een ‘verwerker’ van medische gegevens in de zin van de wet, en is certificering volgens NEN 7510 mogelijk én logisch.
Een IT-dienstverlener die bijvoorbeeld alleen software of infrastructuur levert zonder toegang tot medische data, kan zich niet certificeren voor NEN 7510 – simpelweg omdat de norm dan niet van toepassing is. ISO 27001 is in dat geval de juiste en passende norm.
Let op bij inkoopcontracten
In de praktijk blijkt dat zorginstellingen in hun aanbestedingen of contractvoorwaarden standaard eisen opnemen dat een leverancier NEN 7510-gecertificeerd moet zijn. Dit gebeurt vaak zonder te toetsen of de leverancier überhaupt toegang heeft tot medische gegevens. Dit leidt tot onnodige discussies en kan kleinere leveranciers uitsluiten of op extra kosten jagen.
Onze tip aan zorginkopers: kijk kritisch naar de aard van de dienstverlening en stel alleen NEN 7510 verplicht als er daadwerkelijk medische persoonsgegevens worden verwerkt.
Onze tip aan IT-leveranciers: wees alert op deze eis in contracten. Indien je geen medische data verwerkt, is een ISO 27001-certificering passend én voldoende. Maak dit helder in de communicatie richting je klant.
NEN 7510 is geen universele norm voor alle IT-leveranciers in de zorg, maar specifiek bedoeld voor organisaties die medische persoonsgegevens verwerken. In alle andere gevallen volstaat ISO 27001. Bewust omgaan met deze verschillen voorkomt onduidelijkheid, kosten en verkeerde verwachtingen.
Hulp nodig bij certificering of het beoordelen van contracteisen?
Diks Process Support begeleidt zowel zorginstellingen als leveranciers bij het opzetten van een passend ISMS en het maken van de juiste keuzes rond certificering. Neem gerust contact met ons op voor een vrijblijvend kennismakingsgesprek.