Wanneer moet mijn organisatie voldoen aan NEN 7510?

NEN 7510-norm geldt ook voor uw zorginstelling

Zorginstellingen hebben te maken met steeds meer wet- en regelgeving om aan de kwaliteitsnormen te voldoen. Zo is het niet meer voldoende om een standaard kwaliteitshandboek te schrijven. Zorginstellingen dienen aan de NEN 7510-norm te voldoen. De NEN 7510 biedt kaders voor de informatiebeveiliging in de gezondheidszorg. NEN 7510 is belangrijk voor de manier waarop u informatiebeveiliging binnen uw organisatie regelt.

Zorginstellingen dienen te voldoen aan NEN 7510

In de Regeling gebruik burgerservicenummer in de zorg is bepaald dat de gegevensverwerking dient te voldoen aan de NEN 7510-norm. Deze regeling is een nadere uitwerking van het Besluit gebruik burgerservicenummer in de zorg. Met andere woorden: zorginstellingen dienen zich in te spannen voor de beveiliging van de persoonsgegevens van hun cliënten. De verplichtingen uit de NEN 7510-norm zijn van toepassing op alle verwerkingen van de persoonsgegevens van patiënten. Omdat gegevensuitwisseling tussen zorgaanbieders in toenemende mate elektronisch plaatsvindt, heeft deze norm ook betrekking op de gegevensuitwisseling tussen aanbieders van gezondheidszorg. De in de NEN 7510 opgenomen beveiligingseisen hebben betrekking op alle beschikbare informatie. Ook heeft de NEN 7510 betrekking op de patiënteninformatie in een elektronisch cliëntendossier (ECD).

Geldt NEN 7510 enkel voor de zorginstellingen?

De NEN 7510 is van toepassing op alle organisaties binnen de gezondheidszorg. Dit betekent dat NEN 7510 van toepassing is op zowel de individuele zorgverlener als zorginstellingen in georganiseerd verband. Tevens is NEN 7510 van toepassing op organisaties die zich richten op de informatievoorziening van de gezondheidszorg. Zo dient een hostingbedrijf of online marketingbureau met zorgorganisaties als klant, te voldoen aan de bepalingen uit NEN 7510.

Voor toeleveranciers van de zorginstellingen, zoals organisaties die patiënteninformatie verwerken, is de norm in beginsel niet verplicht. De bepalingen uit de NEN 7510 hebben primair betrekking op de zorginstellingen. In de praktijk zien we dat veel zorginstellingen ook van hun leveranciers verwachten dat evenals zij aan de NEN 7510 voldoen.

Aanvullende eisen voor toeleveranciers

U kunt als zorginstelling aanvullende eisen aan een leverancier stellen bij het afnemen van diensten van deze leverancier. Het niet (kunnen) voldoen aan de door u gestelde eisen kan ertoe leiden dat de leverancier wordt uitgesloten. Uw leveranciers kunnen dit wel voorkomen door zich op vrijwillige basis te laten certificeren voor de NEN 7510-norm.

NEN 7510 in relatie tot NEN 7512 en NEN 7513

Naast de bepalingen uit de NEN 7510-norm, heeft u als zorginstelling ook te maken met NEN 7512 en NEN 7513. Als zorginstelling, ongeacht uw organisatievorm, omvang en de geleverde zorg, dient u ook aan deze normen te voldoen. NEN 7512 bevat bepalingen omtrent de maatregelen die u als zorginstelling moet nemen bij het uitwisselen van patiëntgegevens. In NEN 7513 zijn specifieke bepalingen opgenomen over het vastleggen van acties in de elektronische patiëntendossiers. Zowel de wetgever als brancheorganisaties in de gezondheidszorg hebben het over ‘logging;.

Toezicht op naleving van de NEN-normen

Zorginstellingen dienen dus te voldoen aan de bepalingen uit NEN 7510-norm. Adequate beveiliging van persoonsgegevens en informatiebeveiliging in de zorg zijn belangrijke punten. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de borging van de kwaliteit binnen zorginstellingen. Daarom is de IGJ de bevoegde toezichthouder op dit punt. Dit laat onverlet dat de Autoriteit Persoonsgegevens de bevoegde toezichthouder is voor relevante vraagstukken gerelateerd aan de Algemene Verordening Gegevensbescherming (AVG) en datalekken. In de praktijk kunt u dus te maken krijgen met zowel de IGJ als Autoriteit Persoonsgegevens, wat kan leiden tot onoverzichtelijke situaties.

Tags:

Geef een reactie