De NEN 7510 wordt behaald door bedrijven die hier geen recht op horen te hebben. Tot deze conclusie kwam de Raad voor Accreditatie in 2019. De NEN 7510 is in het leven geroepen zodat zorginstellingen en IT Security bedrijven kunnen aantonen op een goede manier om te gaan met patiëntgegevens. Echter kwam uit onderzoek naar voren dat ook IT Security bedrijven die geen connectie met zorginstellingen en patiëntgegevens hebben de certificering behaalden. De RvA heeft naar aanleiding hiervan besloten om 2 clusters te maken, namelijk cluster B en cluster Z. In deze blog bespreken we deze clusters en kijken we naar voor wie de NEN 7510 relevant is.

NEN 7510: Certificeren
Je herkent het vast wel, vanuit regelgeving of vanuit de markt zijn er nieuwe eisen met betrekking tot certificeringen. Als bedrijf stel je dan de vraag; Waar gaat de certificering over en is het relevant voor ons om te certificeren? Dit zijn belangrijke vragen in het begin van het traject tot certificering.
Zoals in de inleiding aangegeven heeft de RvA besloten om voor NEN 7510 certificering twee clusters te onderscheiden. De reden voor deze beslissing is de mogelijkheid tot fraude met de NEN 7510. De certificering heeft veel overeenkomsten met de ISO 27001. De NEN bevat voor ISO 27001 maatregelen extra zorgspecifieke maatregelen. Bedrijven die al ISO 27001 gecertificeerd waren behaalden eenvoudig de NEN 7510 certificering. Hoe was dit mogelijk? Als voor jouw bedrijf geen zorgspecifieke maatregelen van toepassing zijn kan je dit benoemen in de Verklaring van Toepasselijkheid (VvT). Op deze manier hoef je het huidige Information Security Management System (ISMS) niet te wijzigen. Bedrijven behaalden de certificering op een manier die niet was bedoeld.

NEN 7510 clusters
Om dit in de toekomst te voorkomen kwam de RvA met de introductie van clusters. Cluster Z voor zorginstellingen, cluster B voor beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen. Voorbeelden hiervan zijn zorgserviceproviders, gemeenten en toeleveranciers van zorginstellingen, zoals hostingproviders. Door deze scheiding werd het duidelijk in wat voor categorie een bedrijf valt als het NEN 7510 gecertificeerd wil worden. Naast de clusters kwam er nog een regel: als een bedrijf in cluster B valt heeft het een zogeheten ‘sponsor’ nodig. Dit is een zorginstelling/bedrijf dat met persoonlijke gezondheidsinformatie werkt. De sponsor toont aan met het desbetreffende bedrijf te werken. Met deze goedkeuring kan het bedrijf NEN 7510 gecertificeerd worden.

De clustervorming en sponsor eis is relevant voor bedrijven die overwegen NEN 7510 gecertificeerd te worden. Soms wordt de certificering bij een aanbesteding of uitgezette opdracht vereist van een leverancier. In bepaalde gevallen is dit niet nodig en kan de leverancier zelfs helemaal niet NEN 7510 gecertificeerd zijn! De clustervorming en sponsor eis geeft bedrijven een duidelijk inzicht of certificering mogelijk is. Hiermee schep je duidelijkheid in de organisatie en begrijpt het management of de NEN relevant én nodig is of niet.
Zorginstellingen maar ook beheerders van persoonlijke gezondheidsinformatie kunnen c.q. moeten NEN 7510 gecertificeerd zijn om de bescherming van gezondheidsinformatie te kunnen garanderen. Dit gebeurt middels clustervorming en de sponsor eis. Op deze manier wordt er geregeld dat alleen de bedrijven die geschikt zijn en ervoor in aanmerking komen de NEN 7510 certificering kunnen behalen.

Speciaal voor zorginstellingen en ziekenhuizen organiseren wij relevante webinars. Ons eerste webinar spraken we met Yoanette den Boer (Innovatie, ICT & Data) van zorggroep Amstelring over ransomware en het wel of niet laten doen van een pentest. Bij het tweede webinar hebben we samen met drie experts gekeken naar het nut van User Awareness. Onder andere Astrid Rosendahl (GGD Zaanstreek-Waterland) kwam aan het woord over een User Awareness programma in de zorg. Ook ons derde webinar was speciaal voor zorginstellingen en ziekenhuizen. Deze keer stonden de verschillende identiteiten waar de zorg mee te maken heeft centraal. Kijk dit webinar ‘Identities in de zorg: Dynamisch, Open en Kwetsbaar hier terug.