Veilig omgaan met persoonsgegevens hoort ook bij de zorg voor patiënten. Daarom zijn er wettelijke normen voor informatiebeveiliging in de zorg; de NEN 7510 en NEN 7512. Wat houden die normen in en wie controleert of organisaties zich eraan houden? ‘De wetgever stelt dat er aantoonbaar aan de norm voldaan moet worden, maar geeft daar geen duidelijke handvatten voor.’ Deel 3 in een serie over informatiebeveiliging in de zorg.
Het is duidelijk dat bij de hack van de systemen van het laboratorium Clinical Diagnostics, waarbij persoonsgegevens van honderdduizenden Nederlanders zijn gestolen, de nodige beveiligingsregels zijn genegeerd. Deze algemene regels of normen voor informatiebeveiliging in de zorg zijn vastgelegd in de NEN 7510 en NEN 7512. Irma Timmerman, woordvoerder van NEN, de organisatie die de normen opstelt, geeft tekst en uitleg aan Computable over de werking van deze normen.
Wat doet de NEN?
‘Het is de rol van NEN om marktpartijen samen te brengen om met hen normen te ontwikkelen die als basis dienen voor certificering, en certificerende instellingen toetsen bedrijven op basis van die normen. De Raad voor Accreditatie waarborgt dat die certificeringen onafhankelijk, betrouwbaar en consistent worden uitgevoerd. Naast normontwikkeling beheert NEN ook een aantal certificatieschema’s. Deze slaan een brug tussen normen en certificering door praktische richtlijnen te bieden voor implementatie en toetsing.’
Zowel het lab als diens cliënten – zij die de data leverden aan het lab – zijn verplicht om aantoonbaar aan NEN 7510 en NEN 7512 te voldoen. Hoe werkt dat?
‘De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verplicht zorgaanbieders, laboratoria en toeleveranciers die persoonlijke gezondheidsinformatie verwerken om aantoonbaar te voldoen aan NEN 7510 en, waar van toepassing, NEN 7512. Dat betekent dat zij moeten kunnen laten zien dat hun informatiebeveiliging goed is ingericht en werkt in de praktijk.’
‘Concreet houdt dit in dat er een ISMS, een informatiebeveiligingsmanagementsysteem, moet zijn ingericht met beleid, uitgevoerde risicoanalyse, toegepaste beheersmaatregelen en een cyclus van continue check en verbetering. Organisaties moeten de goede werking van het ISMS regelmatig toetsen, onder andere via interne audits, en daarnaast ook onafhankelijk laten beoordelen.’
Dat klinkt vooral als een interne verplichting: je mag jezelf controleren. Klopt dat?
‘De norm vereist dat er een onafhankelijke audit wordt uitgevoerd. Een onafhankelijke beoordeling kan een interne audit zijn door iemand die niet is betrokken bij het opstellen van het informatiebeveiligingsbeleid, een externe audit of certificering. De wetgever heeft de externe beoordeling niet verplicht.’
‘Certificering is niet wettelijk verplicht, maar biedt wel een erkende en objectieve manier om de naleving zichtbaar te maken. Het gaat er dus om dat een organisatie kan onderbouwen dat zij structureel en toetsbaar werkt volgens de normen. De wetgever stelt dat er aantoonbaar aan voldaan moet worden, maar geeft daar geen duidelijke handvatten voor.’
Wat controleert de certificerende instantie dan?
‘Een certificerende instelling toetst of de organisatie daadwerkelijk voldoet aan de eisen van de norm, en de juiste beheersmaatregelen heeft genomen gebaseerd op de uitgevoerde risicoanalyse. De toets van de certificerende instelling gebeurt via een onafhankelijke audit, waarbij beleid, processen en maatregelen uitgebreid worden beoordeeld. Als de uitkomst positief is, wordt een certificaat verstrekt dat bevestigt dat de organisatie werkt volgens NEN 7510. Het certificaat is dus geen stempel op een eigen verklaring, maar een externe beoordeling dat de norm in de praktijk is geïmplementeerd en nageleefd.’
‘Overigens is certificatie geen zekerheid dat er nooit iets fout gaat of dat een organisaties niet gehackt kunnen worden. Certificatie is een betrouwbare manier om te toetsen of een organisatie een goed werkend managementsysteem heeft met beleid op informatiebeveiliging, risico’s in kaart heeft gebracht, hier mitigerende maatregelen voor heeft doorgevoerd en continu werkt aan verbetering van haar prestaties op het gebied van informatiebeveiliging.’
Welke instanties mogen certificeren?
‘In principe mag iedereen beweren dat hij NEN 7510 certificeert, want de term ‘certificatie’ is niet wettelijk beschermd. Het verschil zit in de betrouwbaarheid: alleen certificerende instellingen die werken onder accreditatie – volgens het officiële Nederlands Certificatieschema NCS7510 waarin de spelregels voor beoordeling staan en die onder toezicht staan van de Raad voor Accreditatie – bieden een toetsing waarop zorgorganisaties en hun partners echt kunnen vertrouwen. Dit maakt dat certificatie onder accreditatie een hoge mate van vertrouwen biedt dat gecertificeerde organisaties voldoen aan een norm.’
Het totale aantal gecertificeerde organisaties per mei 2025 is 920
Hoeveel zorgorganisaties moeten aan de normen voldoen en hoeveel laten dat certificeren?
‘Precieze aantallen zijn niet bekend bij ons: alle zorgaanbieders die medische persoonsgegevens verwerken – van huisartsen, ziekenhuizen en ggz-instellingen tot apotheken, thuiszorg en laboratoria – moeten voldoen aan NEN 7510 en, waar relevant, NEN 7512. Ook leveranciers van software en ICT-diensten in de zorg vallen daaronder. Het totale aantal gecertificeerde organisaties per mei 2025 is 920, waarvan 191 zorginstellingen en 729 leveranciers.’
Hoe zit het met NEN 7512?
‘NEN 7512 gaat over het veilig en betrouwbaar uitwisselen van medische gegevens tussen zorgorganisaties. Waar NEN 7510 vooral eisen stelt aan informatiebeveiliging binnen één organisatie, beschrijft NEN 7512 welke afspraken en maatregelen verplicht zijn tussen partijen die gegevens met elkaar delen. De norm werkt met risicoklassen en beveiligingsniveaus, afhankelijk van de gevoeligheid en het doel van de gegevens,’ aldus Timmerman.
In NEN 7512 staat onder andere dat alle partijen die bij de gegevensoverdracht zijn betrokken moeten zijn aangesloten bij een erkende CERT-organisatie die gespecialiseerd is in het voorkomen en/of tijdig oplossen van cyberincidenten. De CERT-organisatie moet werkzaam zijn binnen het landelijk dekkend stelsel voor cybersecurity. De CERT-organisatie moet een formele aanwijzing en taakstelling hebben op grond van de Wet Beveiliging Netwerk- en Informatiesystemen voor Digitale dienstverleners.
NEN zelf heeft geen keurende of controlerende rol. De implementatie van NEN 7510 en NEN 7512, bij het lab of bij welke zorgaanbieder dan ook, is volgens Timmerman ‘de verantwoordelijkheid van organisaties zelf.’
De andere delen van deze miniserie zijn hier te vinden.
Cybersec Netherlands
De recente ontwikkelingen op het gebied van cybersecurity komen ruim aan bod komen tijdens Cybersec Netherlands. De vakbeurs vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.
