In de huidige digitale wereld is informatiebeveiliging een cruciale pijler geworden binnen en tussen zorginstellingen. Goede bescherming is van bijzonder belang gezien de aard van de informatie die wordt verwerkt – informatie die niet alleen vertrouwelijk, maar vaak ook levensreddend is.
De recente herziening van de NEN 7510-norm voor informatiebeveiliging in de zorg, samen met de wijzigingen binnen de EN-ISO/IEC 27799 en de eisen vanuit de Europese NIS2-richtlijn, onderstrepen nogmaals hoe belangrijk het is om adequaat om te gaan met informatiebeveiliging in de zorg. Zorginstellingen zullen de wijzigingen moeten doorvoeren in hun managementsysteem.
De impact van een datalek
Laten we een concreet voorbeeld nemen. Een middelgroot ziekenhuis had enkele jaren geleden te maken met een ernstig datalek, waardoor duizenden patiëntendossiers tijdelijk toegankelijk waren voor onbevoegden. Dit incident toonde de kwetsbaarheid van de IT-infrastructuur en leidde tot een juridische en financiële nachtmerrie voor het ziekenhuis. Sindsdien heeft het ziekenhuis geïnvesteerd in het aanscherpen en monitoren van zijn informatiebeveiligingsmaatregelen en heeft het NEN 7510 volledig geïmplementeerd. Dit heeft geleid tot een significante verbetering van de beveiliging en daarmee het vertrouwen van patiënten.
Wat is NEN 7510?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. Deze norm is bedoeld om te waarborgen dat informatie in de zorg betrouwbaar, vertrouwelijk en beschikbaar is. De norm bestaat uit twee delen: NEN 7510-1+A1 bevat de normatieve voorschriften voor het managementsysteem en NEN 7510-2 voorziet in de daaraan gerelateerde beheersmaatregelen. Technologische ontwikkelingen en de opkomst van nieuwe bedreigingen zorgen voor een veranderend landschap op het gebied van informatiebeveiliging. De herziene versie van NEN 7510 is bedoeld om beter aan te sluiten op de huidige situatie en nieuwe risico’s.
Herziening van de norm
De herziening van NEN 7510 brengt een aantal significante wijzigingen met zich mee. Zorginstellingen moeten bepalen wat de impact is voor hun specifieke situatie en hun informatiebeveiligingsbeleid hierop aanpassen. Een overzicht van de belangrijkste veranderingen:
NEN 7510-1 is gebaseerd op ISO 27001, de internationale norm voor informatiebeveiliging en bevat de volgende wijzigingen:
- Van High Level Structure naar Harmonized Structure
De HLS bevat de gemeenschappelijke structuur en kerneisen voor alle ISO-managementsysteemnormen waardoor deze normen naadloos op elkaar aansluiten. In mei 2021 is ‘de nieuwe HLS’ gepubliceerd. De naam is gewijzigd in Harmonized Structure. NEN 7510 is nu aangepast naar deze Harmonized Structure. Deze wijziging zorgt voor betere afstemming met andere managementsysteemnormen, waardoor integratie en implementatie eenvoudiger wordt. - Amendement klimaatverandering
Klimaatverandering is toegevoegd als verplicht aandachtspunt in de contextanalyse. Dit betekent dat zorginstellingen ook de impact van klimaatverandering op informatiebeveiliging moeten overwegen.
NEN 7510-2 is gebaseerd op ISO 27002 en ISO 27799 en kent een aantal belangrijke aanpassingen:
- Wijziging in structuur en tekst
De norm is geactualiseerd om aan te sluiten bij de nieuwste technologische ontwikkelingen. Daarnaast is de structuur van de norm flink aangepast, waardoor deze nu overzichtelijker is. Hoofdstukken zijn herschikt van 5–15 naar 5–8, en de teksten zijn aangescherpt om de norm gebruiksvriendelijker en duidelijker te maken. - Samenvoeging van maatregelen
Diverse maatregelen zijn samengevoegd en voorzien van een duidelijke doelstelling en kenmerken, wat de selectie en implementatie voor zorginstellingen en softwareleveranciers vereenvoudigt. - Comply-or-explain
De implementatierichtlijn is niet meer vrijblijvend, maar hanteert een comply-or-explain-benadering. Dit betekent dat zorginstellingen verplicht zijn uit te leggen waarom bepaalde maatregelen niet zijn geïmplementeerd.
Aanvullingen vanuit NIS2-richtlijn
NIS2 (Network and Information Systems Directive) is een Europese richtlijn die zich richt op de beveiliging van netwerk- en informatiesystemen in kritieke sectoren, waaronder de zorg. Voldoen aan NEN 7510 is een belangrijke stap richting voldoen aan NIS2. Temeer omdat een aantal beheersmaatregelen zijn opgenomen naar aanleiding van de NIS2:
- Noodcommunicatie
Zorg voor robuuste communicatiekanalen in noodsituaties. - Extern incidentrapportage
Vergelijkbaar met de meldplicht van datalekken onder de AVG, maar nu specifiek gericht op beveiligingsincidenten. - Managementtraining
Leidinggevenden moeten beter worden getraind om met beveiligingskwesties om te gaan. - Zero Trust Principles
Het segmenteren van interne netwerken om te voorkomen dat één zwak punt een hele organisatie kan compromitteren.
Om de relatie tussen beiden te benadrukken is in NEN 7510-2 een informatieve bijlage opgenomen die de relatie aangeeft tussen NIS2 en de relevante eisen uit NEN 7510.
Publieke consultatie van de nieuwe norm
Op dit moment is er een publieke consultatie gaande voor de herziene versie van NEN 7510. Dit is een kans voor zorginstellingen, zorgmedewerkers en softwareleveranciers om hun stem te laten horen en input te leveren voor de definitieve versie van de norm.
Commentaar geven op de voorgestelde wijzigingen kan tot uiterlijk 22 september 2024. Ga hiervoor naar de website van NEN: ‘Informatiebeveiliging in de zorg – Deel 1: Managementsysteem’ en ‘Deel 2: Beheersmaatregelen’.
Door Lysette Meuleman, Consultant normalisatie zorg, consument en maatschappij