Het belang van controle voor de NEN7510 en veiligheid van data

De veiligheid van data is belangrijk. Dit krijgt steeds meer aandacht en focus binnen (zorg)organisaties. Om deze veiligheid te waarborgen, zijn er verschillende Nederlandse Norm (NEN) en International Organisation for Standardization (ISO) normeringen ontwikkeld waar zorginstellingen voor kunnen kiezen om te verkrijgen. Hierover lees je meer in mijn eerder gepubliceerde blog ‘De puzzel van NEN en ISO certificeringen in de zorg’. In dit blog ga ik graag wat dieper in op het belang van controles op systemen en het effect hiervan.

Van datarisico naar informatiebeveiliging
Er zijn diverse wetten die zorginstellingen wijzen op een goede dataveiligheid, waarin regelmatig verwezen wordt naar NEN710-certificeringen. Denk hierbij aan de wet geneeskundige behandelingsovereenkomst (WGBO), de aanstaande wet elektronische gegevensuitwisseling in de zorg (Wegiz), maar ook uitwisselingsprogramma’s zoals MedMij. Is er sprake van een datalek? Dan kan de Autoriteit Persoonsgegevens onderzoek doen naar de aanleiding hiervan, waarbij ze nadrukkelijk kijken naar NEN7510 certificeringen.

Een goede veiligheid van data is in praktijk makkelijker gezegd dan gedaan. Denk aan het uitvoeren van geld- en tijdrovende controles op informatiesystemen. Het is daarom belangrijk om een goede businesscase te maken over de veiligheid van data voordat je ermee aan de slag gaat. Belangrijk is daarbij dat je kijkt naar wat je moet beveiligen en waarom.

De verschillen: door de bomen het bos weer zien
Het is belangrijk om als zorginstelling een keuze te maken. Ga je voor alle certificeringen in een traject, of kies je voor een gefocuste aanpak per normering? De keuze voor de aanpak is afhankelijk van de huidige situatie en zal per zorginstelling anders zijn.
Iedere normering heeft zijn eigen focus. De NEN7510 normering (gebaseerd op de ISO 27001 en ISO 27002) zegt met name wat over de algemene dataveiligheid. Deze regelgeving beschrijft hoe een zorgorganisatie veiligheid van data borgt binnen haar eigen systemen. Hierbij is het belangrijk dat er gekeken wordt naar de eigen situatie en hoe je in deze omgeving data optimaal kan beveiligen.

De NEN7510 normering is onlosmakelijk verbonden met twee andere normeringen, namelijk de NEN7512 (focust zich op uitwisseling van data) en de NEN7513 (beschrijft de logging van systemen en de controle daarop). Hieronder ga ik graag wat dieper in op de NEN7513 en wat dit praktisch voor jouw organisatie betekent.

“Voor een goede borging is het noodzakelijk om periodieke controles in te richten die volgens een (vastgelegde) standaard worden opgeslagen en gecontroleerd.”


NEN7513 en de inzet van controleprogramma’s

Zoals ik schreef in mijn vorige blog, is het is belangrijk om je te beseffen dat de inrichting voor de normering niet een eenmalig proces is, maar onderdeel moet zijn van de standaard manier van werken. Voor een goede borging is het noodzakelijk om periodieke controles in te richten die volgens een (vastgelegde) standaard worden opgeslagen en gecontroleerd. Deze controleprogramma’s kunnen verschillende doelen hebben:

  • Controle achteraf (of de toegang conform beleid is geweest);
  • Mogelijkheid tot ingrijpen bij verkeerde toegang (denk aan het bekijken van data van een familielid of een bekend persoon);
  • Procedure om op verzoek van een patiënt aan te kunnen tonen wie er bij de data is geweest.

Idealiter zijn dit geautomatiseerde controles waarbij je kijkt naar gedrag van gebruikers, breaking the glass redenen, achternamen, tijdstip van toegang, etc. Het kan een complexe uitdaging zijn om de loggingen te combineren met andere data om een goed overzicht te krijgen. Zo kan het natuurlijk voorkomen dat een medewerker tijdens de nachtdienst data bekijkt. Maar gebeurt dit buiten diensten om, dan moet je hier gericht naar kijken. Daarnaast heb je te maken met technische (on)mogelijkheden van systemen: wellicht kan een legacy systeem de logging niet standaard aantonen. Al met al betekent dit dat er geen één standaard manier van controleren is, maar dat je altijd moet kijken hoe dit het beste past binnen je eigen omgeving.

Samengevat vereist de NEN7513 dat je controleert en kan aantonen wie toegang heeft (gehad) tot welke data en of dit conform het eigen beleid is geweest. Maar wat is nu een goed beleid? En hoe stel je dit als zorgorganisatie op? Op vragen als deze en meer, kom ik in mijn volgende blog graag op terug.

Is jouw zorgorganisatie klaar voor een data(be)veilig(d)e toekomst?
Onze consultants hebben ervaring met het opzetten van controleprogramma’s en hebben kennis van de diverse NEN- en ISO-certificeringen. Denk hierbij aan:

  • Het creëren van een totaaloverzicht, het uitvoeren van een risicoanalyse, het opzetten van beleid, rollen-en-rechten structuur en autorisatiematrix;
  • Het opzetten van controleprogramma’s en het geven van trainingen aan medewerkers;
  • Ondersteunen bij certificering.
Wil je graag weten wat we in jouw situatie kunnen betekenen? Wij kijken graag waar we jouw organisatie bij kunnen ondersteunen. Neem contact met ons op, we denken graag met je mee.