De Inspectie Gezondheidszorg en Jeugd (IGJ) heeft opnieuw duidelijk gemaakt dat informatiebeveiliging in de zorg geen papieren onderwerp is. Uit recent onderzoek van de IGJ blijkt dat een meerderheid van de onderzochte grotere ggz-organisaties niet aantoonbaar voldoet aan de wettelijke eisen voor informatiebeveiliging in de zorg.
Dat is zorgelijk. Niet alleen omdat het gaat om privacygevoelige informatie van cliënten en medewerkers, maar ook omdat goede zorg afhankelijk is van betrouwbare, beschikbare en veilige informatie. Wanneer systemen uitvallen, gegevens niet beschikbaar zijn of gevoelige informatie uitlekt, raakt dat direct aan de kwaliteit en continuïteit van zorg.
Voor zorgorganisaties is de boodschap duidelijk: informatiebeveiliging moet aantoonbaar op orde zijn. NEN 7510 is daarvoor de norm.
De IGJ onderzocht 87 grotere ggz-organisaties. Slechts een klein deel daarvan kon aantonen dat zij volgens NEN 7510 werken. Veel organisaties geven aan ermee bezig te zijn, maar kunnen nog onvoldoende laten zien dat het managementsysteem voor informatiebeveiliging daadwerkelijk functioneert.
Dat onderscheid is belangrijk. Werken aan informatiebeveiliging is niet hetzelfde als aantoonbaar werken volgens NEN 7510. Een beleid, losse maatregelen of goede intenties zijn onvoldoende als niet duidelijk is of maatregelen werken, worden gecontroleerd en structureel worden verbeterd.
NEN 7510 vraagt om een werkend managementsysteem voor informatiebeveiliging. Dat betekent dat risico’s in beeld zijn, maatregelen worden genomen, de werking wordt gecontroleerd en verbeteringen worden doorgevoerd wanneer dat nodig is.
Zorgorganisaties verwerken dagelijks grote hoeveelheden gevoelige informatie. Denk aan behandelplannen, diagnoses, medicatiegegevens, rapportages, afspraken en communicatie tussen zorgverleners. Die informatie moet beschikbaar zijn wanneer zorgverleners die nodig hebben. Tegelijk moet worden voorkomen dat onbevoegden toegang krijgen tot gegevens.
Informatiebeveiliging in de zorg draait daarom om drie kernvragen:
NEN 7510 helpt zorgorganisaties om deze vragen structureel te beantwoorden. De norm richt zich niet alleen op techniek, maar ook op beleid, verantwoordelijkheden, risico’s, processen, menselijk handelen, toegang tot systemen en continue verbetering.
Daarmee is NEN 7510 geen IT-project, maar een organisatiebreed onderwerp. Bestuur, management, zorgprofessionals, ICT, security, privacy, kwaliteit en leveranciers spelen allemaal een rol.
Zorgorganisaties moeten wel kunnen aantonen dat zij volgens de norm werken en dat hun informatiebeveiliging regelmatig onafhankelijk wordt beoordeeld.
Certificering is daarbij een krachtige manier om aantoonbaarheid te organiseren. Een certificaat laat zien dat een onafhankelijke partij heeft beoordeeld of het managementsysteem voor informatiebeveiliging voldoet aan de eisen van de norm.
Voor zorgorganisaties kan dit extra vertrouwen geven richting cliënten, medewerkers, samenwerkingspartners, toezichthouders, verzekeraars en opdrachtgevers. Zeker in een sector waarin digitale afhankelijkheid toeneemt en cyberdreigingen steeds concreter worden.
De urgentie wordt groter door de komst van de Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn. IGJ geeft aan dat organisaties die aantoonbaar werken volgens NEN 7510 al voor een belangrijk deel voorbereid zijn op de zorgplicht uit deze wet.
Dat betekent niet dat NEN 7510 automatisch alles oplost. Wel biedt de norm een stevig fundament. Organisaties die hun risico’s kennen, maatregelen hebben ingericht, verantwoordelijkheden hebben belegd en periodiek toetsen of de aanpak werkt, staan sterker dan organisaties die informatiebeveiliging vooral ad hoc oppakken.
Voor zorgorganisaties is dit hét moment om kritisch te kijken naar de volwassenheid van hun informatiebeveiliging.
In de praktijk zien organisaties NEN 7510 soms vooral als een set documenten of een verplichting die “erbij” komt. Daardoor ontstaat het risico dat de norm op papier wordt ingericht, maar onvoldoende leeft in de organisatie.
Veelvoorkomende aandachtspunten zijn:
NEN 7510 vraagt juist om een cyclische aanpak. Niet één keer iets inrichten, maar voortdurend plannen, uitvoeren, controleren en verbeteren.
De eerste stap is inzicht krijgen in waar je organisatie staat. Niet alleen door te kijken naar bestaande documenten, maar vooral door te beoordelen of informatiebeveiliging werkt in de praktijk.
Stel jezelf bijvoorbeeld deze vragen:
Wanneer het antwoord op deze vragen niet duidelijk is, is het verstandig om het onderwerp met prioriteit op te pakken.
TÜV NORD Nederland is geaccrediteerd voor NEN 7510-certificering. Daarmee kunnen wij als onafhankelijke certificatie-instelling beoordelen of jouw organisatie aantoonbaar voldoet aan de eisen van de norm.
Onze auditoren kijken niet alleen naar beleid en documentatie, maar ook naar de werking van het managementsysteem in de praktijk. Want juist daar zit de waarde van certificering: laten zien dat informatiebeveiliging niet alleen is ingericht, maar ook wordt beheerst, gecontroleerd en verbeterd.
Met een NEN 7510-certificaat maak je aantoonbaar dat jouw organisatie informatiebeveiliging serieus, gestructureerd en toetsbaar heeft ingericht. Dat geeft vertrouwen. Intern, richting ketenpartners en richting toezichthouders.
Het onderzoek van IGJ maakt duidelijk dat informatiebeveiliging in de zorg niet vrijblijvend is. Digitale informatie is onmisbaar geworden voor goede en veilige zorg. Als die informatie niet beschikbaar, betrouwbaar of goed beschermd is, ontstaat risico voor cliënten, medewerkers en de continuïteit van zorg.
NEN 7510 helpt zorgorganisaties om informatiebeveiliging structureel te organiseren. Niet als losse verplichting, maar als onderdeel van kwaliteit, veiligheid en professioneel bestuur.
De vraag is daarom niet óf je met NEN 7510 aan de slag moet, maar hoe aantoonbaar jouw organisatie vandaag al werkt volgens de norm.
Laat onafhankelijk beoordelen of jouw organisatie aantoonbaar werkt volgens NEN 7510. TÜV NORD Nederland voert de audit uit en toetst of jouw informatiebeveiliging voldoet aan de gestelde eisen. Na afloop ontvang je een heldere rapportage met de bevindingen uit de audit.