NEN7510-norm

De NEN7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm beschrijft hoe zorgorganisaties, zoals apotheken, op een gestructureerde manier kunnen zorgen voor de bescherming van medische en persoonlijke gegevens. De NEN7510 is gebaseerd op internationale standaarden en sluit aan bij wetgeving zoals de AVG (privacywetgeving) en de Cyberbeveiligingswet (NIS2).

• Beschikbaarheid: Informatie moet altijd op het juiste moment beschikbaar zijn voor bevoegde medewerkers, zodat de zorgverlening niet in gevaar komt.
• Integriteit: Gegevens moeten juist, volledig en actueel zijn, zodat zorgprofessionals kunnen vertrouwen op de informatie die zij gebruiken.
• Vertrouwelijkheid: Alleen bevoegde personen mogen toegang hebben tot gevoelige informatie, om de privacy van patiënten en medewerkers te waarborgen.

Volgens NEN7510 moeten informatiebeveiligingsmaatregelen aantoonbaar zijn ingericht voordat sprake is van adequate informatiebeveiliging. Toezichthouder Inspectie Gezondheidszorg en Jeugd (IGJ) verwacht dan ook dat zorgaanbieders aantoonbaar werk maken van een managementsysteem voor informatiebeveiliging dat voldoet aan de wettelijke norm en dat er een continuïteitsplan is dat regelmatig wordt getest.  Wat is daarvoor nodig?

• Apotheken stellen een informatiebeveiligingsbeleid op, waarin afspraken en maatregelen zijn vastgelegd.
• Er worden organisatorische, technische en mensgerichte maatregelen genomen, zoals toegangscontrole, encryptie, training van medewerkers en duidelijke procedures voor incidenten.
• Jaarlijks wordt het beleid geëvalueerd en waar nodig aangepast, bijvoorbeeld bij nieuwe wetgeving of technologische ontwikkelingen.
• Iedereen in de apotheek – van medewerker tot bestuurder – heeft een rol en verantwoordelijkheid in het naleven van het beleid.

Elke apotheek moet aantoonbaar voldoen aan de NEN7510 doormiddel van een externe audit of het behalen van het NEN7510-certificaat. NEN7510 certificering is niet verplicht. Elke IT-leverancier die gegevens van patiënten verwerkt moet wél NEN7510-gecertificeerd zijn. Dit geldt bijvoorbeeld voor de leverancier van het AIS, het factureringssysteem en eventuele andere apps. Het certificaat van de leverancier kan gecontroleerd worden op de website van NEN.

De NEN7510-implementatie kan een grote opgave zijn om in de dagelijkse praktijk toe te passen, maar in veel gevallen hebben apotheken al een groot deel van de norm geïmplementeerd door de HKZ-certificering. Om onze leden te helpen, werkt de KNMP samen met Booozt.

Booozt (Basis Op Orde & Ondersteuning Zorgtoepassingen) werkt sectoroverstijgend samen met landelijke en regionale koepelorganisaties, zodat zorgaanbieders eenduidige ondersteuning krijgen bij de NEN7510-implementatie.

Booozt maakt gebruik van de ActiZ-routekaart voor NEN7510-implementatie. Dit is een vertaling van de norm naar bruikbare en handige tools die zorgverleners helpen om de norm te implementeren. De KNMP en Booozt hebben deze routekaart geoptimaliseerd zodat deze toepasbaar is binnen apotheken. Daarnaast gaat Booozt stapgewijs begeleiding aanbieden aan de Regionale Apothekersorganisaties (RAO’s) om de NEN7510 aan de hand van de routekaart te implementeren in uw apotheek.