Vanaf mei volgend jaar moeten alle organisaties voldoen aan de regels van de General Data Protection Regulation, de GDPR. De nieuwe Europese wetgeving dwingt bedrijven zorgvuldig met persoonsgegevens om te gaan. Gezien alle recentelijke berichtgeving over datalekken is deze wet geen overbodige maatregel.
In de zorgsector is het veilig omgaan met persoonlijke gegevens en het afschermen van patiëntendossiers voor onbevoegden niets nieuws. Zorginstellingen beseffen het belang van databeveiliging en streven ernaar te voldoen aan NEN normeringen of zijn in het bezit van ISO certificeringen. Maar is dit voldoende?
NEN
Zorginstellingen die gebruik maken van een elektronisch patiëntdossier (epd) zijn verplicht om te voldoen aan de NEN 7510 normering. De NEN 7510 is een algemene norm; NEN 7512 (vertrouwensbasis voor gegevensuitwisseling in de zorg) en NEN 7513 (het vastlegging van acties in elektronische patiëntendossiers d.m.v. logging) werken deze norm verder uit voor een specifiek aandachtsgebied. De NEN 7510 heeft een optimale beveiliging van informatie als doel.
Oftewel, gegevens van patiënten en cliënten moeten toegankelijk zijn voor de juiste zorgverleners, correct opgeslagen zijn en het informatiesysteem moet zo ingericht zijn dat privacygevoelige informatie niet gelekt of gestolen kan worden. Bij de NEN 7510 kan een organisatie ervoor kiezen niet alle richtlijnen door te voeren. Bijvoorbeeld als de kosten van de beveiligingsmaatregelen niet opwegen tegen de risico’s.
Deze keuzes moeten goed gedocumenteerd en onderbouwd zijn, en komen vaak voort uit een uitvoerige risico-analyse.
ISO
Ook bij de internationale norm ISO 27001 staat informatiebeveiliging centraal, bijvoorbeeld die van financiële gegevens. Van toeleveranciers in de zorg wordt verwacht dat zij voldoen aan deze ISO-normering. In ISO 27001 staat hoe een organisatie procesmatig met informatiebeveiliging omgaat. Echter, een van de uitgangspunten luidt: “Het managementsysteem voor informatiebeveiliging beschermt de vertrouwelijkheid, de integriteit en de beschikbaarheid van informatie door een risicobeheersproces toe te passen, en geeft belanghebbenden het vertrouwen dat risico’s adequaat worden beheerd.”
In de praktijk blijkt dat het risicobeheersproces maatregelen bevat die risico’s afdekken die vooral binnen de scope van een audit vallen, zoals het beveiligen van vertrouwelijke data die eigendom is van de klant. Dit is voor veel bedrijven namelijk essentieel om de relatie met hun opdrachtgevers te continueren. Dat betekent natuurlijk niet dat andere data niet goed beschermd wordt. Maar als deze maatregelen voor de ISO 27001 audit niet relevant zijn, worden ze niet beschreven en blijft het dus onduidelijk wat er óók voldoet aan de security norm. Of wat niet.
Gezond verstand
Zijn organisaties die voldoen aan de NEN 7510 of ISO 271001 klaar voor de GDPR? Nee. Zoals beschreven zijn de beveiligingsnormeringen op sommige punten flexibel en combineren ze een paar harde security-eisen met de veronderstelling dat organisaties genoeg gezond verstand hebben om een veilige dataomgeving te beheren. De GDPR daarentegen is een niet mis te verstane lijst van regels waaraan voldaan moet worden door elke organisatie die persoonsgegevens verzamelt, beheert of verwerkt. Het is een wet en geen norm, en deze wet is níet flexibel. Er wordt dus niet gekeken naar bedrijfsomstandigheden of goede intenties.
Is het voldoen aan de NEN 7510 of ISO 271001 vanaf mei 2018 dus verspilde moeite? Zeker niet! De eerste stap in de richting van het waarborgen van de bescherming van persoonlijke gegevens en het minimaliseren van datalekken is tenslotte al gezet. De normeringen bieden een uitstekend raamwerk voor de naleving van GDPR. Bovendien zorgen technische controles, gestructureerde documentatie, monitoring en het streven naar continue verbeteringen ervoor dat er een cultuur ontstaat waarin medewerkers zich bewust zijn en meer kennis hebben van beveiligingsincidenten. Doordat medewerkers beveiligingsproblemen kunnen detecteren en melden, is de organisatie stukken veiliger. Tenslotte gaat informatiebeveiliging niet alleen over technologie, maar ook over mensen en processen.
Manager marketing & business development bij Eurocom Group