TÜV NORD behaalt accreditatie voor NEN 7510 cluster Z audits

TÜV NORD is geaccrediteerd voor het uitvoeren van NEN 7510 cluster Z audits door de Raad voor Accreditatie (RvA). Eerder behaalden we al de accreditatie voor cluster B. Daardoor zijn we als certificerende instelling (CI) bevoegd om – naast toeleveranciers – nu ook zorginstellingen onder accreditatie te auditeren en certificeren tegen deze norm. Met het behalen van de accreditatie wordt onze deskundigheid en onafhankelijkheid bevestigd.

 

NEN 7510 heeft als doel om persoonlijke gezondheidsinformatie te beveiligen bij zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie. Het biedt een normatief raamwerk voor informatiebeveiliging, waardoor zorginstellingen de beschikbaarheid, integriteit en vertrouwelijkheid van informatie kunnen waarborgen. Dit bevordert vertrouwen in de zorgsector.

Wat houden de clusters in?

De Raad voor Accreditatie heeft een Specifiek Accreditatie Protocol (SAP) opgesteld voor certificatie van managementsystemen voor informatiebeveiliging in de zorg. Dit stelt eisen aan instellingen die audits uitvoeren ten behoeve van certificatie voor NEN 7510. In dit protocol zijn twee clusters vastgesteld:

• Z-cluster: Zorginstellingen
• B-cluster: Beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen

Certificerende instellingen kunnen geaccrediteerd zijn voor één of beide clusters, waarbij accreditatie voor beide clusters als een volledige accreditatiescope wordt beschouwd. De Raad voor Accreditatie (RvA) heeft TÜV NORD Nederland competent verklaard voor het uitvoeren van audits volgens NEN 7510 voor beide clusters.

Belangrijke verschillen:

• Cluster Z richt zich op directe zorgverleners, terwijl Cluster B zich richt op ondersteunende dienstverleners in de zorgsector.
• De scope van certificering verschilt: bij Cluster Z moeten de primaire zorgprocessen altijd worden meegenomen, terwijl bij Cluster B de focus ligt op de verwerking en beveiliging van gezondheidsinformatie.

Voordelen van NEN 7510 cluster Z certificering

Toegewijde professionals in de gezondheidszorg weten dat informatiebeveiliging cruciaal is. NEN 7510-Z certificering biedt ziekenhuizen en andere zorginstellingen diverse voordelen:

• Identificatie en verbeterde beheersing van beveiligingsrisico's
• Aantoonbare naleving van wettelijke eisen, bijvoorbeeld rondom het Elektronisch Patiënten Dossier (EPD)
• Vertrouwen bij patiënten en zorgverzekeraars in de bescherming van persoonlijke gezondheidsinformatie
• Vermindering van beveiligingsincidenten

Relatie met NIS2

Onlangs is de nieuwe versie van de NEN 7510 norm voor informatiebeveiliging in de zorg gepubliceerd. De NEN 7510:2024 bevat belangrijke updates en is afgestemd op de nieuwste versies van ISO/IEC 27001 en ISO/IEC 27002, met aanvullende eisen voor de zorgsector. Ook ondersteunt de norm organisaties bij het voldoen aan de Europese NIS2-verordening, wat later in 2025 een verplicht kader voor informatiebeveiliging in de zorg wordt. Er is meer nadruk op een risicogestuurde aanpak, zodat organisaties hun beveiliging beter kunnen afstemmen op specifieke bedreigingen.

Uitdagingen

Een grote uitdaging bij het opstellen van een beleid voor informatiebeveiliging is dat je te maken hebt met verschillende interfaces. In de zorg worden verschillende systemen gebruikt om te communiceren (tussen ziekenhuizen, huisartsen, zorgverzekeraars en dergelijke). Vaak heeft een zorginstelling een complexe organisatiestructuur. In een ziekenhuis bijvoorbeeld heb je te maken met een specialistenkorps, raad van bestuur, personeelsvertegenwoordiging, patiëntenvertegenwoordiging en ga zo maar door. De verschillende belangen van al deze organen moeten opgenomen worden in het informatiebeveiligingsmanagementsysteem (ISMS).