Als patiënt ga je ervan uit dat jouw persoonlijke en medische gegevens veilig worden opgeslagen en verwerkt. Een gedegen informatiebeveiliging is immers een verantwoordelijkheid van zorginstellingen én bedrijven volgens de AVG-wetgeving. Toch kun je het pas echt zeker weten als de zorginstelling waar jij patiënt bent een keurmerk heeft dat bewijst dat de informatiebeveiliging op orde is. Een goede manier om dit aan te tonen is NEN 7510 certificering. Deze standaard voor informatiebeveiliging is, op basis van de internationale norm ISO 27001, speciaal ontwikkeld voor de Nederlandse gezondheidszorg. Maar hoe werkt NEN 7510-certificering eigenlijk?
Voorbereiding voor de audit
Nederlandse zorginstellingen hoeven zich (nog) niet verplicht te certificeren tegen de NEN 7510, maar moeten wél werken volgens de richtlijnen uit de norm. Zorginstellingen kunnen er dus zelf voor kiezen om NEN 7510 certificering te behalen. Wanneer men daarvoor kiest, moet de instelling zich voorbereiden op een audit. Om te weten te komen wat er verbeterd moet worden, kan een proefaudit of nulmeting gedaan worden. Met de resultaten daarvan kan men aan de slag met eventuele verbeterpunten.
De officiële audit
Als de zorginstelling zich voldoende voorbereid heeft voor de officiële audit, kan deze worden ingepland. Men krijgt dan één of meerdere gekwalificeerde auditors over de vloer die aan de hand van de eisen uit de norm NEN 7510 alle relevante processen en systemen binnen de organisatie nalopen. Er wordt dan ook letterlijk meegekeken over de schouders van medewerkers op de werkvloer. Blijkt de zorginstelling bij deze audit aan alle eisen te voldoen, dan wordt men beloond met NEN 7510-certificering.
Gezakt! Wat nu?
Het kan natuurlijk ook dat de zorginstelling niet direct slaagt voor de audit. In dat geval wordt tijd geboden zodat men verbetermaatregelen kan nemen. Er vindt dan nog een tweede audit plaats, waarbij men wel alle zaakjes op orde dient te hebben. Is dat het geval, dan kan alsnog NEN 7510 certificering toegekend worden, of ISO 27001 voor informatiebeveiliging in het geval van bedrijven. Nu mag het keurmerk gevoerd worden, zodat ook de buitenwereld kan zien dat de informatiebeveiliging aan alle eisen voldoet.
Periodieke controles
Het is niet zo dat een zorginstelling maar één keer hoeft te slagen voor een audit en dan tot in het einde der tijden het NEN 7510-keurmerk mag voeren. De certificering is juist opgezet om continu te werken aan het verbeteren van informatiebeveiliging. Om het certificaat te kunnen behouden, worden daarom periodieke controles uitgevoerd. Er komt dan regelmatig een auditor aangekondigd óf onaangekondigd langs om te controleren of de processen en system nog steeds aan de eisen voldoen. Is dat het geval, dan mag men het certificaat behouden.
Het NEN 7510 certificaat geeft zorginstellingen dus het recht om een keurmerk te voeren. Wel wordt verwacht dat men dan wel rekening blijft houden met de eisen die bij dat keurmerk van toepassing zijn. Dat betekent namelijk niet alleen dat de informatiebeveiliging op orde is, maar ook dat het keurmerk zijn waarde blijft behouden.