ZBC Kennisbank

NEN 7510 voor kleine praktijkhouders in de zorg

 

In Nederland zijn er op medisch gebied vele duizenden praktijkhouders die bijzondere persoonsgegevens verwerken in de vorm van medische dossiers. Denk bijvoorbeeld aan huisartsen, tandartsen, apotheken, fysiotherapeuten, zorgboerderijen, zzp’ers in de thuiszorg enzovoort.

Essentieel onderdeel van een goede en efficiënte zorg is dat informatie gedeeld wordt. En daarbij gaat het om vertrouwelijke informatie. Dat moet dan wel wel op een veilige manier gebeuren, waarbij de privacy van betrokkenen wordt geborgd. De norm hiervoor is de NEN 7510. Alle  partijen in de zorg, en dus ook kleine praktijkhouders, zouden aantoonbaar aan deze norm moeten voldoen, zodat patiënten en ketenpartners er vanuit kunnen gaan, dat hun data vertrouwelijk en veilig behandeld worden. Dat klinkt heel logisch. Maar in de praktijk is dit niet haalbaar. Ook een kleine praktijkhouder moet dan aantonen dat hij meer dan 100 maatregelen heeft doorgevoerd. En dat naast alle tijdrovende procedures, waar hij ook mee te maken heeft om alleen al het werk, dat hij doet, vergoed te krijgen door de zorgverzekeraars en gemeenten.
Het is voor kleine praktijkhouders onmogelijk te voldoen aan dezelfde eisen als ziekenhuizen of grote zorginstellingen, die beschikken over een uitgebreide staf om dit probleem te tackelen. Maar het is ook niet nodig. Het kan anders worden opgelost.

Hoe lost de praktijkhouder dit meestal op

De meeste praktijkhouders zijn goed in hun vak. Hun interesse ligt ook primair daar. Natuurlijk vinden ze zaken als ICT, informatiebeveiliging en privacy ook wel belangrijk. Dat betekent echter nog niet dat ze er verstand van willen hebben. Ze gaan daarom voor dit soort issues meestal in zee met partijen, die er wel verstand van hebben en die de risico’s op dit gebied voor hen afdekken. Helaas is dit wel vaak een lappendeken. Een praktijkhouder heeft te maken met verschillende leveranciers. Allemaal doen ze dingen waar hij zelf geen verstand van heeft. Hij moet er dus maar op hopen, dat zijn zaken goed worden geregeld.
Om de risico’s af te dekken besteedt de kleine praktijkhouder daarom meestal zoveel mogelijk zaken uit, aan zo weinig mogelijk partijen. De kern is dat vertrouwelijke data niet meer in de praktijk zelf zijn opgeslagen en dat ze op een veilige manier benaderd kunnen worden. Dat is precies wat leveranciers moeten bieden. En dat ze dat inderdaad bieden, moeten ze kunnen aantonen. Wanneer ze beschikken over een NEN 7510 of een gelijkwaardig ISO 27001 certificaat kunnen ze dat. Dit ligt ook volledig in lijn met bijvoorbeeld de VECOZO aansluitvoorwaarden. Deze zijn niet gericht op de zorgverleners zelf maar juist op hun toeleveranciers. Helaas weten maar weinig praktijkhouders, dat ze de eis van een NEN 7510 of een ISO 27001 certificaat moeten stellen aan hun dienstverleners. Veel grotere dienstverleners op ICT gebied voldoen inmiddels aan deze eis. Helaas zijn er ook nog steeds leveranciers die hier niet aan voldoen, die zelf niet willen investeren om hun klanten -kleine praktijkhouders – te ontzorgen.

De NEN 7510 is vernieuwd

In december 2017 is de nieuwe NEN 7510 van kracht geworden. Belangrijkste vernieuwing is, dat de NEN 7510 nu risk based is. Alleen die beveiligingsrisico’s moeten afgedekt moeten worden, die ook daadwerkelijk een bedrijfsrisico vormen. (Zie ook ‘Aanpak implementatie NEN 7510 kan nu ook pragmatisch’.) Dat betekent dat naast de traditionele beveiliging via fysieke, technische en organisatorische maatregelen, ook ander methoden van risicobeheersing zijn toegestaan zoals uitbesteding. Vroeger mocht je alleen een risico accepteren, als je voldeed aan allerlei criteria. Met de nieuwe NEN 7510 hoeft dat niet meer. De nieuwe NEN 7510 zorgt er daarmee voor, dat er heel veel procedures geschrapt kunnen worden en daarmee investeringen in techniek. En de informatiebeveiligingsrisico kunnen nu dus inderdaad worden afgedekt door uitbesteding aan ICT-leveranciers.
De meeste marktleiders op ICT gebied, die zich (ook) richten op kleine praktijkhouders, hebben een NEN 7510 certificaat. Vaak bedienen zij duizenden praktijkhouders. Voor hen moet het simpel zijn aan praktijkhouders een verklaring af te geven, waarin beschreven staat welke risico’s van de praktijkhouder zij afdekken en hoe ze dit doen. Op deze manier wordt de lappendeken voor kleine praktijkhouders een stuk minder complex, wanneer zij kiezen voor NEN 7510 of ISO 27001 gecertificeerde partijen.

Risico beheersing door standaardisatie en modelvoorschriften

Ook door standaardisatie en de toepassing van modelvoorschriften kunnen risico’s afgedekt worden. Een voorbeeld hiervan is de verschuiving van controlemogelijkheden op onbevoegde toegang richting cliënt/patiënt door de toepassing van security bij design. (Zie: ‘Informatiebeveiliging is helemaal niet zo moeilijk’.) Hier is een belangrijke rol weggelegd voor de branche en koepelorganisaties om dit te specificeren en te faciliteren en natuurlijk voor de ICT- leveranciers om dit daadwerkelijk te laten inbakken in hun software. 

De praktijkhouder zelf als bedrijfsrisico

Natuurlijk vormen de praktijkhouder zelf en zijn medewerkers eveneens een belangrijke risicofactor. Wanneer echter veel andere risico’s reeds zijn afgedekt, dan is dit ineens een overzichtelijk risico geworden. Veelal gaat het nog om onveilige gewoontes, waarvoor vroeger geen goed alternatief was. Anno nu kunnen deze gewoontes vervangen worden door een werkwijze die wel veilig en tevens pragmatisch is. Ook hierin kunnen branche- en koepelorganisaties een belangrijke rol spelen. Middels een aantal gerichte workshops valt dit probleem eenvoudig te verhelpen.

Het NEN 7510 certificaat of een NEN 7510 verklaring

Kleine praktijkhouders zullen echter voor certificatie aan een onafhankelijke auditor nog steeds moeten aantonen, dat zij in control zijn. Doen zij dit niet, dan is de consequentie dat, zoals de AVG voorschrijft, ketenpartners elkaar moeten controleren. Daarbij gaat het dan om duizenden partijen, die dit betreft. Dat zou belachelijk veel tijd kosten en veel kosten met zich meebrengen. Maar ook een formeel NEN 7510 certificaat vergt nogal wat tijd en geld. Er moet immers voldaan worden aan de eisen van de Raad voor de Accreditatie. Die schrijft voor dat een audit toch al gauw minimaal 3 dagen in beslag neemt.
Daarom zouden brancheverenigingen of koepels een NEN 7510 verklaring moeten erkennen, die uitgaat van de hierboven genoemde maatregelen en waarmee kleine praktijkhouders eenvoudig kunnen aantonen dat zij al hun risico’s beheersen. De audit zou dan waarschijnlijk nog minder dan een dag vergen en de onderlinge controles die vanuit de AVG worden vereist, overbodig maken. Ook een dergelijke verklaring erkennen, is een taak voor de branche- of koepelorganisaties.

De rol van ZBC in dit geheel

ZBC heeft de afgelopen jaren voor kleinere B2B-dienstverleners een traject opgezet als hierboven beschreven en is op die wijze ook in aanraking gekomen met veel toeleveranciers in de zorg. ZBC heeft dus ervaring met een dergelijk programma en het vertrouwen van veel van de marktleiders, die op hun beurt weer het vertrouwen genieten van de praktijkhouders.
Verder heeft ZBC ruime ervaring met het opzetten en begeleiden van dergelijke op sjablonen gebaseerde programma’s en heeft ook goed afgestemd met certificerende instellingen om ook de externe audit te regelen. Verder geeft ZBC standaardtrainingen, die met een aantal kleine aanpassingen toegepast kunnen worden in de zorg voor kleine praktijkhouders.
En last but not least: ZBC stuurt niet voor ieder uurtje een factuurtje. Uiteraard is ZBC een commercieel bedrijf, maar een bedrijf dat het ook als haar maatschappelijke verantwoordelijkheid ziet om bij te dragen aan een goede, efficiënte en vooral ook veiliger zorg in Nederland via een pragmatische aanpak. (Zie ook ‘Pragmatische invoering nieuwe NEN 7510:2017 nu ook voor kleinere zorginstellingen’.)

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen of een ISO 27001 of NEN 7510 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 15 februari 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *