Herziene NEN 7510 wat verandert er?

NEN 7510-1 en NEN 7510-2 beschrijven de eisen en maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie, moeten treffen om op adequate wijze met persoonlijke gezondheidsinformatie om te gaan. Doel is dat persoonlijke gezondheidsinformatie beschikbaar is en blijft, vertrouwelijk behandeld wordt en dat de integriteit van de gegevens geborgd blijft.

De NEN 7510 is een Nederlandse norm gebaseerd op de internationale standaard ISO 27001, maar richt zich specifiek op de zorgsector. Recent is de NEN 7510 vernieuwd. Hiermee sluit de norm weer beter aan bij de huidige praktijk. Hieronder lees je de belangrijkste wijzigingen.

Belangrijkste veranderingen NEN 7510

1. Betere aansluiting op ISO normen en de HS

De vernieuwde NEN 7510 sluit weer aan bij de inhoud van de nieuwste ISO 27001-norm en in zijn geheel op de nieuwe Harmonized Structure (HS). Deze nieuwe structuur zorgt voor betere afstemming en consistentie tussen verschillende managementsysteemnormen en maakt het voor organisaties makkelijker meerdere normen op een eenduidige manier invulling te geven.

2. Meer focus op risico’s en incidentmanagement

Er wordt meer aandacht besteed aan risicomanagement. Dat betekent dat organisaties beter moeten aantonen dat ze veiligheidsrisico’s herkennen en aanpakken. Van reactief naar proactief. Daarachter ligt de vraag om wanneer zicht een incident voordoet deze tijdig te identificeren en beheersen. Dit kan ook inhouden het melden van datalekken en andere beveiligingsincidenten, zowel intern als naar toezichthouders.

3. Bijlage A: Beheersmaatregelen

Bijlage A, die de meeste beheersmaatregelen bevat, is grondig vernieuwd. De nieuwe versie bevat 14 nieuwe aanvullingen op de bestaande ISO-maatregelen en 8 nieuwe maatregelen die specifiek gericht zijn op de zorgsector. De maatregelen zijn verdeeld over vier categorieën: organisatie, mensen, fysiek en technologie. Dit maakt de structuur logischer en is het eenvoudiger om relevante maatregelen te vinden en toe te passen.

4. Sterkere bescherming tegen cyberaanvallen

Omdat zorginstellingen vaak worden aangevallen door hackers, zijn de eisen voor back-ups, logbestanden en beveiligingstests aangescherpt. Dit helpt om sneller problemen op te sporen en schade te beperken.

5. Strengere eisen voor cloudbeveiliging

Veel zorgorganisaties gebruiken cloudoplossingen om gegevens op te slaan. De nieuwe NEN 7510 heeft meer dan in vorige versies aandacht voor de beveiliging van deze cloudomgeving leveranciers, zodat patiëntgegevens goed beschermd blijven.

6. Meer aandacht voor wetgeving

De regels houden nu nog beter rekening met bestaande wetten, zoals de AVG (Algemene Verordening Gegevensbescherming) en de komende NIS2. Zorgorganisaties moeten duidelijker laten zien hoe ze patiëntgegevens beschermen en hoe ze voldoen aan de wet.

7. Training en bewustwording bedrijfsbreed

Veel beveiligingsproblemen ontstaan door menselijke fouten. Daarom is er meer nadruk op bedrijfscultuur en bewustwording van medewerkers. Het is nu expliciet vereist dat zorginstellingen zorgen voor regelmatige trainingen en bewustwordingscampagnes voor hun personeel, zodat medewerkers goed begrijpen hoe zij de beveiliging van patiëntgegevens kunnen ondersteunen en hoe zij risico’s kunnen minimaliseren in hun dagelijks werk. Dit dient niet enkel vanuit de IT-afdeling worden ingevuld maar door de gehele directie/ management aangestuurd.

Conclusie en advies

De nieuwe versie van de NEN 7510 maakt de beveiliging van patiëntgegevens actueel en beter. Zorgorganisaties moeten meer doen om risico’s te herkennen, cyberaanvallen te voorkomen en hun medewerkers goed op te leiden. Door deze verbeteringen wordt de zorg veiliger voor iedereen.

Meer weten of advies hoe je de NEN 7510:2024 invulling kunt geven? Neem gerust contact met ons op voor een vrijblijvend adviesgesprek.