Informatiebeveiliging in de zorg

Bij privacybescherming en beveiliging van persoonsgegevens gaat het niet alleen om het beheer van elektronische patiënten- en cliëntendossiers. Het gaat ook om de verspreiding van verslagen van cliëntbesprekingen en de toegang tot computers met vertrouwelijke informatie. Zorgaanbieders kunnen informatiebeveiliging niet alleen overlaten aan de ICT-afdeling maar moeten er ook op toezien dat medewerkers zorgvuldig omgaan met de privacy van cliënten. Het is belangrijk organisatorische maatregelen te nemen om de risico's van datalekken te beperken.

NEN 7510

Grotere organisaties doen er goed aan hun kwaliteitsmanagementsysteem (KMS) uit te breiden naar informatiebeveiliging en daarbij uit te gaan van NEN 7510. Deze norm is een afgeleide van de internationale norm voor informatiebeveiliging ISO 27001 (Information security management) op dezelfde leest geschoeid als ISO 9001. Dit betekent dat de organisatie doelen moet stellen en risico's beperken. Het management moet het voortouw nemen, middelen beschikbaar stellen, de resultaten op de voet volgen, analyseren en waar nodig bijsturen (pdca-cirkel). De verschillen zitten in het onderwerp: NEN 7510 gaat niet over de kwaliteit van zorg maar over informatiestromen. Hoe deze door de organisatie gaan, welke (privacy)risico's ermee gemoeid zijn en welke maatregelen moeten worden genomen om de risico's te beperken. 

Als blijkt dat de informatiebeveiliging voldoet aan NEN 7510 ontvangt de organisatie het bijhorende certificaat. Het certificaat is drie jaar geldig, waarbij jaarlijks een controle wordt uitgevoerd op het blijvend voldoen aan NEN 7510.

Quick scan

Zorgaanbieders met een eenvoudige organisatie- en ICT-structuur kunnen in de meeste gevallen volstaan met een eenmalige of periodieke doorlichting (quick scan) van hun bedrijfsvoering. Daarbij wordt gelet op de technische voorzieningen zoals virusbescherming op computers, wachtwoorden op hard- en software, backup-procedures en toegang tot ruimtes met vertrouwelijke gegevens (sleutelbeheer). Ook de menselijke aspecten van informatiebeveiliging worden beoordeeld. Daarbij gaat het om besef van risico's en omgang met wachtwoorden.

Als blijkt dat de organisatie de informatiebeveiliging goed op orde heeft, geeft Keurmerkinstituut een verklaring uit waarop dat is verwoord. Deze verklaring geeft de organisatie de zekerheid dat de informatiebeveiliging op niveau is. Tevens kan de verklaring worden gebruikt om opdrachtgevers en contractpartners gerust te stellen. Gezien de snelle ontwikkelingen in het werkveld is het aan te raden de verklaring jaarlijks te actualiseren.

Meld u aan voor onze nieuwsbrief

Onderwerpen

Keurmerkinstituut: Certificatie | Inspectie | Onderzoek | Trainingen