De puzzel van NEN en ISO certificeringen in de zorg
De veiligheid van data is belangrijk. Dit krijgt steeds meer aandacht en focus binnen (zorg)organisaties. Maar de certificeringen voor dataveiligheid kunnen soms op een puzzel lijken: er zijn verschillende Nederlandse Norm (NEN) en International Organisation for Standardization (ISO) normeringen waar zorginstellingen voor kunnen kiezen om te verkrijgen. Ieder van deze normeringen heeft zijn eigen focus: zo zegt de NEN7510 wat over de algemene dataveiligheid, focust de NEN7512 zich op uitwisseling van data en beschrijft NEN7513 de logging van systemen en de controle daarop. Waar NEN meer gericht is op Nederland, richten de ISO standaarden zich op internationaal gebied. Denk bijvoorbeeld aan ISO27001 en ISO27701, welke zich focussen op algemene dataveiligheid.
Het is belangrijk om als zorginstelling een keuze te maken. Ga je voor alle certificeringen in een traject, of kies je voor een gefocuste aanpak per normering? De keuze voor de aanpak is afhankelijk van de huidige situatie en zal per zorginstelling anders zijn. Echter, het is vaak lastig om te bepalen wat de huidige situatie is. Dit komt doordat er meerdere applicaties bij betrokken zijn, welke deels decentraal beheerd kunnen worden. Hiervoor is het van belang om te beginnen met een inventarisatie van de belangrijke, huidige systemen die bijzondere persoonsgegevens bevatten. Deze inventarisatie geeft antwoord op vragen zoals:
- Wat is huidige status van deze systemen?
- Hoe zijn deze ingericht?
- Hoe verloopt de toegang tot data?
- Wie heeft toegang tot de data en waarom?
Als de inventarisatie afgerond is kan de focus worden gelegd op de acties welke nodig zijn om de specifieke NEN of ISO normering te behalen. Dit kan per systeem verschillend zijn en is afhankelijk van de huidige status die bepaald is tijdens de inventarisatie. Het is van belang om tijdens de inventarisatie te bepalen of er goede procedures zijn beschreven voor toegang. Denk hierbij aan een rollen-en-rechten structuur.
Het is belangrijk om je te beseffen dat de inrichting voor de normering niet een eenmalig proces is, maar onderdeel moet zijn van de standaard manier van werken. Voor een goede borging is het noodzakelijk om periodieke controles in te richten die volgens een (vastgelegde) standaard worden opgeslagen en gecontroleerd.
Tot slot is goede (interne) communicatie belangrijk voor het laten slagen van een dergelijk project. Zorg er bijvoorbeeld voor dat de (decentrale) functioneel beheerders en eindgebruikers op de hoogte zijn van het certificeringstraject en dat er een goed besef is van het belang van dataveiligheid.
Wil je graag meer weten of heb je ondersteuning nodig op het gebied van NEN of ISO certificeringen? Onze consultants hebben de kennis in huis om je te ondersteunen van A tot Z. Neem contact met ons op, wij denken graag met je mee.