NEN 7510 en de veiligheid van data: van theorie naar praktijk
De veiligheid van data is belangrijk en krijgt steeds meer aandacht en focus binnen (zorg)organisaties. Dit komt onder meer door de toenemende mate van digitalisering en gegevensuitwisseling, maar ook door de wettelijke verplichting voor zorgorganisaties en/of ICT partners. Om de informatieveiligheid te kunnen waarborgen, zijn er verschillende normeringen ontwikkeld waar zorginstellingen voor kunnen kiezen om te verkrijgen. Echter, zorgorganisaties zijn verplicht te voldoen aan de NEN 7510, NEN 7512 en NEN 7513. Meer informatie over de diverse normeringen lees je in eerder gepubliceerde blogs.
In deze blog ga ik dieper in op het totale proces: wat komt er allemaal kijken bij NEN 7510 compliance? Welke stappen zijn cruciaal? En hoe zorg je ervoor dat dit niet een eenmalig proces is, maar wordt verankerd in de manier van werken? Onderstaand neem ik je aan de hand van 4 stappen mee waar je hierbij als zorgorganisatie aan moet denken.
Stap 1: creëer een totaaloverzicht
Om te weten wat NEN 7510 compliant zijn voor jouw organisatie betekent, is het essentieel om de huidige situatie goed in kaart te brengen. Denk bijvoorbeeld aan het hebben van een duidelijke architectuurplaat. Ook het (laten) uitvoeren van een quickscan kan hierbij helpen. Hierbij denk je onder andere na over de volgende punten en bijbehorende vragen:
- Overzicht systemen | Welke systemen bevatten (bijzondere) data? Wat zijn de verschillen tussen de systemen? Wat is de relatie tussen deze systemen en welke koppelingen zijn er?
- Opslag en toegang data | Hoe is de data opgeslagen? Is er wellicht sprake van een gezamenlijk archief? Kan data via andere systemen bekeken worden, bijvoorbeeld beelden in een EPD?
- Procedures voor beheer | Hoe is het beheer ingericht: is er sprake van (de)centraal beheer? Zijn er verschillen tussen de diverse systemen? Weten alle betrokkenen de juiste procedures voor beheer?
Stap 2: breng de risico's in kaart
Door de risico’s in kaart te brengen, heb je zicht op de verbeterpunten binnen de organisatie. Neem hier de investering in mee om een sluitende businesscase te maken. Denk hierbij aan de volgende punten:
- Waar loop je risico | Op basis van een quickscan achterhaal je de zwakke plekken in een organisatie: niet alleen met betrekking tot de technische inrichting, maar ook op het gebied van beleid, gebruik, beheer etc. Dit helpt om te besluiten waar de focus voor verbetering zal moeten liggen.
- Data protection impact assessment (DPIA) | Zijn er DPIA’s uitgevoerd voor de bovengenoemde systemen? Zo ja, zijn de rapporten toegankelijk en zijn er in de DPIA’s adviezen gedaan voor het gebruik van de systemen?
- Sluitende businesscase | Is bekend welke budgetten en stakeholders voor verbeteringen beschikbaar zijn? Hier kijken we ook naar de financiële risico’s die van belang kunnen zijn.
"Een goed beleid hierbij is belangrijk. Dit beleid moet gelden voor de gehele organisatie en bekend zijn bij de medewerkers."
Stap 3: opzetten en/of aanpassen beleid
De NEN 7510 bepaalt niet volledig hoe je de toegang tot data binnen zorgorganisaties moet beheren. Het is belangrijk om zelf goed te kijken naar de mogelijkheden binnen de organisatie. Een goed beleid hierbij is belangrijk. Dit beleid moet gelden voor de gehele organisatie en bekend zijn bij de medewerkers. Daarbij is het belangrijk dat alle medewerkers, bijvoorbeeld door middel van trainingen, op de hoogte zijn en weten wat dit specifiek voor hen betekent.
- Autorisatiematrix, rollen en rechten | Is er een algemene autorisatiematrix waarin staat welke rollen en rechten bij welke functie horen? Hoe sluit het beheer en de techniek hierop aan? En hoe worden de rollen en rechten van gebruikers in de verschillende (deel)systemen gewaarborgd?
- Hoe te handelen bij afwijkingen | Bij een goed beleid hoort dat er gekeken wordt naar hoe je omgaat met afwijkingen. Is er bijvoorbeeld beschreven wat de consequenties zijn voor onterechte inzage van data? En is dit bekend bij de medewerkers?
- Training personeel | Alle medewerkers moeten op de hoogte zijn van het organisatiebeleid. Hiervoor is het van belang dat er goede trainingen gegeven worden, die specifiek ingaan op de impact van informatiebeveiliging binnen de eigen organisatie.
Stap 4: opzetten controleprogramma's
In de eerdere blog ‘Het belang van controle voor de NEN 7510 en veiligheid van data’ zijn we dieper ingegaan op het belang van controles en de relatie met NEN 7513. Hieronder de belangrijkste punten:
- NEN 7513 |Deze normering vereist dat er aangetoond kan worden wie toegang heeft gehad tot welke data en dat dit op periodieke basis getoetst wordt. Het opzetten van deze controles kan complex zijn. Zo dienen bijvoorbeeld ook de ‘breaking the glass’ acties gelogd en gecontroleerd te worden.
- Aantonen acties op verzoek | Een persoon kan bij de organisatie via de functionaris gegevensbescherming een verzoek indienen tot inzage in de toegang tot de data. Het opzetten van een controleprogramma geeft je snel de juiste tools hiervoor.
- Periodieke evaluatie | Het kan voorkomen dat er in het opzetten van het beleid geen rekening is gehouden met specifieke toegangsvragen. Dit betekent dat er een feedbackloop moet worden gecreëerd die ervoor zorgt dat het beleid geüpdatet wordt wanneer dit noodzakelijk is.
Is jouw zorgorganisatie klaar voor een data(be)veilig(d)e toekomst?
Door middel van certificeringen kan je als organisatie aantonen dat je interne procedures op orde zijn. Daarbij is het belangrijk om je te realiseren dat het certificeren niet een eenmalig proces is. NEN 7510 compliance vraagt continue toetsing op de bestaande procedures door middel van een Plan Do Check Act (PDCA) cyclus.
Wil je hiermee aan de slag, dan is het belangrijk om te kijken naar de specifieke situatie binnen je organisatie. Wil je graag weten wat dit voor jullie betekent? Neem contact met ons op, wij denken graag met je mee.