Informatiebeveiliging en privacy in de zorg (NEN 7510)

Digitalisering patiëntgegevens vergt nieuwe eisen informatiebeveiliging en privacy

De digitalisering van zorgprocessen zorgt voor een verbetering van beschikbare informatie en een meer efficiënte uitvoering van zorgprocessen. Noodzakelijk daarbij is dat er nieuwe waarborgen rondom de kwaliteit van de informatieverwerking worden vastgesteld. Voor de aansluiting op het landelijk Elektronisch Patiëntendossier (EPD) zijn die waarborgen onder meer vastgelegd in de eisen ten aanzien van een Goed Beheerd Zorgsysteem (GBZ) en een Zorg Service Provider (ZSP).

In aanloop naar de invoering van het Landelijk Elektronisch Patiëntendossier (EPD) moeten zorginstellingen voldoen aan de Wet voor de invoering van het Burgerservicenummer in de zorg. Deze wet beschrijft dat de minister bepaalt aan welke beveiligingseisen de gegevensverwerking binnen het EPD moet voldoen. Zorginstellingen moeten, met de eisen van GBZ in het achterhoofd, voldoen aan de NEN 7510 norm. Verwachting is dat zorginstellingen deze norm in het voorjaar van 2010 moeten implementeren om zo aan te kunnen sluiten bij het EPD. Daarnaast zijn er vanuit de Wet op de Geneeskundige Behandelovereenkomst (WGBO) en de Wet Bescherming Persoonsgegevens (Wbp) specifieke eisen gesteld aan de manier waarop zorginstellingen omgaan met persoonsgegevens en hoe deze worden beschermd en beveiligd.

Prioriteren informatiebeveiliging

Uit diverse onderzoeken blijkt dat informatiebeveiliging niet altijd de juiste prioriteit heeft binnen zorginstellingen. Enkele oorzaken hiervoor zijn:

• de risico’s van het ontbreken van adequate informatiebeveiliging zijn niet bekend of worden onderschat;
• de impact van de huidige en nog in ontwikkeling zijnde wet- en regelgeving rond de eisen aan informatiebeveiliging en privacy is vaak nog onduidelijk;
• concreet te nemen maatregelen zijn niet duidelijk, evenals de prioriteit rond de uitvoering van deze maatregelen op basis van risico, inspanning en beschikbare middelen.

Toegevoegde waarde informatiebeveiliging als proactief proces

Hoewel de NEN 7510-norm zich specifiek richt op informatiebeveiliging in de Nederlandse zorg, gaat er binnen die norm weinig aandacht uit naar informatiebeveiliging als proactief proces. Volgens PwC heeft de inrichting van informatiebeveiliging als proactief proces een aantal voordelen:

• Het is mogelijk om op basis van beveiligingsrisico’s te bepalen welke beveiligingsmaatregelen meer prioriteit hebben en hoe beschikbare middelen daarvoor optimaal ingezet kunnen worden;
• De toegevoegde waarde van informatiebeveiliging wordt transparant. Immers, door beveiligingsrisico’s ten aanzien van de kwaliteitsaspecten betrouwbaarheid, integriteit en beschikbaarheid voor informatie te reduceren draagt dit bij aan de kwaliteit van de zorgprocessen waarin deze informatie wordt gebruikt;
• Een beleidsplan maakt noodzakelijke stappen voor het implementeren van beveiligingsmaatregelen concreet.

PricewaterhouseCoopers ziet beveiliging als een bedrijfsproces, waarbij maatregelen worden afgestemd en bijgesteld op basis van beleid, risicoanalyses en periodieke controles. Dit is dan ook het uitgangspunt bij de dienstverlening op het gebied van informatiebeveiliging en privacy.

Relatie NEN 7510 en andere normen

De NEN 7510 norm is sterk verwant aan de internationale ISO 27001 norm, een ISO standaard voor informatiebeveiliging. Deze ISO 27001 norm beschrijft een managementproces voor informatiebeveiliging aan de hand van de zogenoemde Deming Cyclus met daarin de stappen Plan’ (Inventariseren benodigde maatregelen), ‘Do’ (implementeren maatregelen), ‘Check’ (toetsen beveiligingsniveau) en ‘Act’ (bijsturen). Voor de implementatie van specifieke beveiligingsmaatregelen in de ’Act’ fase verwijst de ISO 27001 norm naar de ISO 27002 norm. Deze bevat een lijst met (133) maatregelen voor informatiebeveiliging. PwC heeft mede door PricewaterhouseCoopers Certification B.V. uitstekende kennis van en ervaring met certificeringtrajecten voor normen op het gebied van informatiebeveiliging.

Wat kunt u van PricewaterhouseCoopers verwachten?

PwC heeft ruime ervaring met het adviseren over en controleren van de NEN 7510 norm en de Wbp, zowel voor organisatorische als technische vraagstukken op het gebied van informatiebeveiliging en privacy.

PwC voert bijvoorbeeld NEN 7510 statusmetingen uit. Hiermee tilt u uw beveiliging zeer concreet naar een hoger niveau. PwC:

• inventariseert uw huidige NEN 7510-status met efficiënte en eenvoudige vragenlijsten, meetmethoden en volwassenheidsniveaus;
• brengt maatregelen in lijn brengen met bestaande risico’s, beschikbare middelen en technische knowhow binnen uw organisatie;
• stelt een roadmap op voor nog te implementeren maatregelen.

U beschikt hierdoor over duidelijke, goed onderbouwde handvatten en bent voorbereid op toekomstige interne en externe verantwoording van informatiebeveiliging en privacy.

Overige voorbeelden van dienstverlening van PwC zijn:

• advisering over implementatie van GBZ, LSP en BSN-eisen voor systemen en bedrijfsprocessen binnen zorginstellingenopstellen van een organisatiebrede bewustwording campagne (awareness)
• ontwerpen en implementeren van organisatorische oplossingen (bijvoorbeeld informatiebeveiligingsbeleid, procedures en werkinstructies);
• ontwerpen en implementeren van technische oplossingen (bijvoorbeeld identity management, versleuteling van gegevens);
• training voor medewerkers over de uitvoering van informatiebeveiligingactiviteiten;
• assistentie bij het opzetten en inrichten van een security managementsysteem.

Overigens heeft PricewaterhouseCoopers een specifieke groep professionals gezondheidszorg in dienst. Zij ondersteunen uw organisatie op organisatorisch, fiscaal-juridisch, personeel en financieel-administratief gebied. Tevens geeft PwC advies bij het inrichten van ICT-systemen en informatiestromen op de strategische ontwikkelingen van uw organisatie. Kijk voor meer informatie op www.pwc.nl/gezondheidszorg.

Download