Binnen organisaties is veel informatie te vinden en meestal speelt deze een grote rol in de bedrijfsvoering. Zo zijn in de gezondheidszorg patiëntgegevens en data over medische aandoeningen essentieel om fouten te voorkomen, maar tegelijk vormt deze vertrouwelijke informatie een groot bedrijfsrisico. Daarom is het van groot belang te weten welke risico’s je loopt en hoe je wilt dat je medewerkers met deze vertrouwelijke informatie omgaan.
Informatiebeveiliging
Niet alleen voor jezelf en je medewerkers, maar ook voor je klanten en/of patiënten is het belangrijk om te laten zien dat je als organisatie bezig bent om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen je organisatie zeker te stellen. Een van de manieren om hiermee om te gaan is je te certificeren tegen de ISO 27001, een wereldwijd erkende norm op het gebied van informatiebeveiliging. In de ISO 27001 wordt beschreven hoe je procesmatig met het beveiligen van informatie kunt omgaan, zoals het beschermen van gegevens tegen hackers en inbraak. Als ISO 27001 gecertificeerde organisatie laat je dus zien dat je voldoet aan de eisen van informatiebeveiliging.
NEN 7510-certificering
Als zorginstelling wil je eigenlijk een stapje verder gaan. Het is, omdat je met privacygevoelige informatie werkt, belangrijk om te controleren wie er wanneer inlogt in het elektronisch patiëntendossier en wie er eigenlijk allemaal toegang hebben.
Met een www.kiwa.com/nl/nl/service/nen-7510/ certificering geef je aan dat je professioneel omgaat met privacy en informatiebeveiliging en dat je weet wat en waar de gevaren zijn en hoe je daar mee om moet gaan. En niet alleen dat je het weet, maar dat het ook vastgelegd is en getoetst wordt.
De NEN 7510 is speciaal ontwikkeld voor de Nederlandse zorgsituatie en helpt zorgorganisaties passende beveiligingsmaatregelen te nemen. Is de NEN 7510 bedoeld voor de NL zorgsituatie, zijn er ook ziekenhuizen die juist gaan voor ISO 27001. Dat is interessant als je ook internationaal wilt laten zien dat je informatiebeveiliging serieus neemt.
Informatiebeveiliging is sowieso complex, maar binnen een zorgorganisatie speelt privacy een nog grotere rol. Hier worden vele medische- en patiëntgegevens uitgewisseld. De eisen aan informatiebeveiliging worden, onder andere door nieuwe Europese wetgeving, daarom ook steeds strenger. Denk hierbij aan de sinds 2018 geldende AVG (de Algemene Verordening Gegevensbescherming.
Onderwerpen die aan orde komen binnen de NEN 7510 zijn bijvoorbeeld het waarborgen van de beschikbaarheid van gegevens en de integriteit en vertrouwelijkheid van alle informatie ten behoeve van verantwoorde zorg voor patiënten. Binnen de certificering zijn deze maatregelen zo beschreven dat op een adequate manier omgegaan kan worden met de informatie. Een organisatie die werkt volgens de NEN 7510 richt maatregelen zó in dat ze te controleren zijn. Om de vereiste borging van vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te bepalen, is een risicobeoordeling nodig.
Wat zijn ISO en NEN?
ISO staat voor Internationale Organisatie voor Standaardisatie en is een internationale organisatie die normen vaststelt. Zo’n norm (ook wel standaard genoemd) is een document waarin afspraken, specificaties of criteria over een product, een dienst of een methode worden vastgelegd. Om te voorkomen dat de organisatie in elke taal een andere afkorting zou krijgen, heeft de ISO er direct bewust voor gekozen om één aanduiding te hanteren; ISO. ISO is een afgeleide van het Griekse isos, wat gelijk betekent.
ISO is dus een wereldwijd samenwerkingsverband van nationale standaardisatieorganisaties in 163 landen. NEN staat voor Nederlands Normalisatie-instituut en is het nationale orgaan dat de ISO-standaarden en Nederlandse uitgaven daarvan in beheer heeft.