Om misbruik van persoonsgegevens tegen te gaan, zijn er strikte regels voor informatiebeveiliging waar zorgorganisaties zich aan moeten houden. Hoe zit die regelgeving precies in elkaar? Deel 2 in een serie over informatiebeveiliging in de zorg.
De hack waarbij onlangs persoonsgegevens van honderdduizenden Nederlanders zijn gestolen uit een systeem van het laboratorium Clinical Diagnostics Nederland (dochter van het Franse Eurofins), zet de schijnwerpers op de regels rond informatiebeveiliging in de zorg. Die zijn vastgelegd in de normen NEN 7510 en 7512. Computable vroeg toelichting over de samenhang van de regelgeving aan een woordvoerder van Z-CERT, de officiële organisatie voor het voorkomen en/of tijdig oplossen van cyberincidenten in de zorg.
Welke zorgorganisaties moeten aan NEN 7510 en 7512 voldoen en is certificering verplicht?
‘Alle zorgaanbieders die onder de Wet kwaliteit, klachten en geschillen in de zorg vallen en die persoonsgegevens van patiënten of cliënten verwerken, zijn verplicht om aantoonbaar aan de NEN 7510 te voldoen. ‘Aantoonbaar’ betekent in dit geval bijvoorbeeld certificering of een onafhankelijke audit. Veel zorginstellingen en zelfstandige zorgverleners vallen onder deze wet. Het is dus niet verplicht om te certificeren voor de NEN 7510. Certificeren maakt het aantonen natuurlijk wel makkelijker. De NEN 7512 is een uitwerking van de NEN 7510 en daarom ook verplicht, apart certificeren voor de NEN 7512 is niet mogelijk. De Inspectie Gezondheidszorg en Jeugd is verantwoordelijk voor de naleving.’
Waar overlappen deze normen met andere cybersec-regels zoals NIS2?
‘De NIS2 is een EU-richtlijn. Zo’n richtlijn heeft geen nationale rechtstreekse werking en dient daarom in alle Europese lidstaten te worden omgezet naar nationale wetgeving. In Nederland wordt dat de Cyberbeveiligingswet. Daarin zijn verschillende rechten en plichten opgenomen, waaronder de zorgplicht. Voldoen aan de NEN 7510 geeft voor zorgaanbieders invulling aan deze zorgplicht. De NEN 7510 is een zorgspecifieke verdieping op de – de facto – wereldwijde standaard voor het managen van informatiebeveiliging, de ISO27000. Daarnaast heeft de NIS2 aanvullende eisen. Naast zorgaanbieders vallen ook een aantal leveranciers in de zorg rechtstreeks onder de Cyberbeveiligingswet, zoals vervaardigers van medische hulpmiddelen, vervaardigers van farmaceutische basisproducten en bereidingen en entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen.’
In NEN 7512 staat over de uitwisseling van persoonsgegevens tussen bijvoorbeeld lab en zorgaanbieder onder andere: ‘Communicatiepartijen moeten zijn aangesloten bij een erkende CERT-organisatie die gespecialiseerd is in het voorkomen en/of tijdig oplossen van cyberincidenten.’
Is het lab lid van een CERT-organisatie?
‘Het gehackte lab is geen Z-CERT deelnemer. Geen enkel Eurofins-lab is deelnemer van Z-CERT. Wij zijn de aangewezen CERT voor de gehele zorgsector en maken, om de hele sector te kunnen beschermen, geen onderscheid tussen wie wel of niet voldoen aan de NEN of andere wetgeving. Omdat Z-CERT, in afwachting van de invoering van de Cyberbeveiligingswet, nog geen wettelijk mandaat heeft om partijen te dwingen tot actie, is gekozen voor een zorgvuldige aanpak: eerst de leverancier wijzen op hun ketenverantwoordelijkheid. Toen informatie en communicatie vanuit Clinical Diagnostics Nederland uitbleef, heeft Z-CERT besloten om zelf deelnemers te informeren. Dit gebeurde op basis van zogeheten metadata. Uit respect voor de privacy van patiënten is niet meer informatie ingezien dan nodig is om deelnemers en overige zorginstellingen te identificeren en de aard van het lek te duiden. Hierdoor was de beschikbare informatie beperkt, maar kon toch een aantal deelnemende zorginstellingen worden gewaarschuwd. Ook is er een waarschuwing uitgegaan naar de eerstelijnszorg, met name huisartsen, hoewel zij geen deelnemer zijn van Z-CERT.’
Er zijn dus wettelijk verplichte normen, waarom is het dan fout gegaan?
‘Helaas kunnen wij deze vraag niet beantwoorden. Wij hebben nog geen inzicht in waar het fout heeft kunnen gaan. Wel hebben wij vorige week onze tien tips tegen ransomware opnieuw verspreid. Normaal is deze content exclusief voor onze deelnemers. Gezien de ernst van de situatie hebben wij besloten om deze tien tips met de hele sector te delen.’
Tips tegen ransomware en uitleg staan hier.
De andere delen van deze miniserie zijn hier te vinden.
Cybersec Netherlands
De recente ontwikkelingen op het gebied van cybersecurity komen ruim aan bod komen tijdens Cybersec Netherlands. De vakbeurs vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.
wel moeten voldoen aan norm maar certificering daarvoor niet nodig niet nodig
want onafhankelijke audit mag ook..
ISO270000/NEN7510/NEN751/NIS2/CERT/Z-CERT ?
die is nou deelnemers waarvan en waarom ?
“aangesloten zijn”, wat zou dat precies inhouden, een logo op je website, een contactpersoon ?
“Omdat Z-CERT, in afwachting van de invoering van de Cyberbeveiligingswet, nog geen wettelijk mandaat heeft om partijen te dwingen tot actie, is gekozen voor een zorgvuldige aanpak: eerst de leverancier wijzen op hun ketenverantwoordelijkheid. Toen informatie en communicatie vanuit Clinical Diagnostics Nederland uitbleef, heeft Z-CERT besloten om zelf deelnemers te informeren. Dit gebeurde op basis van zogeheten metadata. ”
blijkbaar wordt er afgewacht, geen wettelijk mandaat en wordt er “gekozen voor een zorgvuldige aanpak” die dan zou bestaan uit “eerst de leverancier wijzen op hun ketenverantwoordelijkheid”.
Zorgvuldig hoor.
Maar daar hoef je als organisatie weer niet op te reageren ?
Zal hun een zorg zijn.