De NEN 7510 norm voor de zorgsector: vriend of vijand?

Zorginstellingen schakelen steeds vaker ict-partners in om aan eisen te voldoen

De NEN 7510 norm is speciaal ontwikkeld voor informatiebeveiliging binnen de zorgsector. Zorginstellingen zijn verplicht om aan deze norm te voldoen en overgedragen aan ict-partners. In deze blog legt Margaux Smid, segment manager Healthcare bij Axians, uit wat de NEN7510 inhoudt en wat je van je ict-partner mag verwachten zodat jouw zorginstelling altijd aan de normering voldoet. De belangrijkste les? “Goede, strategische partners nemen hun verantwoordelijkheid en wijzen zorginstellingen op hun verplichtingen. Dat is geen commerciële gedachte, maar bescherming van de zorginstellingen.”

Over het algemeen wordt er gesproken over de NEN 7510 welke gebaseerd is op de code voor informatiebeveiliging. Voor de zorgsector zijn er aangepaste danwel aanvullende normen opgesteld, namelijk de NEN7512 welke de vertrouwensbasis voor gegevensuitwisseling is, de NEN7513 welke voornamelijk de logging en dus het vastleggen van het elektronische patiëntendossier moet borgen zodat achterhaald kan worden wie er toegang heeft gehad tot een bepaald dossier en de NEN7521 welke beschrijft met mechanismen en principes waarmee toegang tot patiëntgegevens geregeld wordt. Axians houdt in haar online werkplek voor de zorg hier rekening mee en borgt de invulling van de norm welke gesteld wordt. Wij gaan met onze klanten in overleg en wijzen ze op het gebruik van bijvoorbeeld verschillende online vergader mogelijkheden of het gebruik van USB sticks. Wil je dit als zorginstelling gebruiken? Prima, maar denk erover na hoe dit gebruikt gaat worden en wat je vooraf moet regelen om te blijven voldoen aan de normering.

Veilige mailomgeving

We kunnen het ons niet meer voorstellen: werken zonder mail. In de zorgsector is dat niet anders. Daar wordt per mail veel informatie uitgewisseld over patiënten. Dat kan echter niet via standaard Outlook verlopen want hiermee worden de gegevens van de patiënten onvoldoende beschermd. Hiervoor moet je een veilige mailomgeving inrichten. Dit kan onder andere met Microsoft Office 365. Hiermee stel je de patiëntgegevens veilig en dit is standaard onderdeel van de werkplek voor de zorg

Two-factor authentication

Mobiele telefoons, laptops en pc’s van zorginstellingen moeten voorzien zijn van een pincode of zogenaamde two-factor authentication. Je vult dan je gebruikersnaam met wachtwoord in en ontvangt daarna een sms-code of token om te checken of jij de bevoegde persoon bent. Axians vind dit belangrijk dat dit geregeld is en integreert dit binnen haar werkplek voor de zorg. Zo wordt niet alleen de voordeur beveiligd, maar ook alle kamers die volgen. Alleen dan zijn de patiëntgegevens veilig en voldoe je aan de NEN-normering.

Geen bezoekers op je WiFi-netwerk

Nu denk je misschien: “Laptop, telefoon en mailprogramma beveiligd; mij kan niets meer gebeuren!” Maar niets is minder waar. Bijna alle communicatie verloopt namelijk digitaal, bijvoorbeeld via het wifi-netwerk. Zorginstellingen moeten kunnen waarborgen dat alleen eigen medewerkers gebruik van maken van dit netwerk en anderen (zoals bezoekers) niet kunnen indringen. Dat doe je door securitymaatregelen te nemen en de toegang tot wifi bijvoorbeeld te splitsen voor medewerkers en gasten. Als je dat regelt, voldoe je weer aan de NEN-normering.

Testen van noodstroomvoorziening

Niet alleen het beveiligen van hard- en software valt onder de NEN-normering. Als de stroom uitvalt, wil je dit ondervangen door een noodstroomvoorziening voor je cruciale diensten op alle of specifieke locaties en ook dit valt onder de NEN 7510 norm. Als je een noodstroomvoorziening hebt, dien je er ‘goed’mee om te gaan. Veel zorginstellingen denken namelijk dat het hebben van een noodstroomvoorziening an sich voldoende is. Een goede ict-partner laat aan de zorginstelling weten dat dit niet het geval is en dat de werking van dat syteem jaarlijks getest moet worden, net als het brandalarmsysteem.

Inschakelen van ICT-partners

Bovenstaande voorbeelden geven al aan dat het voldoen aan de NEN 7510 en aanvullende normeringen behoorlijk ver gaat. De komst van AVG/GDPR heeft de bewustwording een boost gegeven. Hierdoor worden er steeds vaker ict-partners ingeschakeld die zorg dragen voor de naleving van de AVG/GDPR én van de NEN-normering. Ik kan niet vaak genoeg benadrukken hoe belangrijk het is om dit te laten doen door mensen die kennis hebben van de normeringen. Goede, strategische partners nemen hun verantwoordelijkheid en wijzen zorginstellingen op hun verplichtingen zodat zij er zelf niet of nauwelijks meer bij stil hoeven te staan.

Axians kiest ervoor om verder te denken dan de normeringen. Je kunt namelijk wel onderaan de ladder alles volgens de regels toepassen, maar dan blijf je altijd achter de feiten aanlopen. Als je alles optimaal wilt beschermen en grip wil krijgen op hetgeen er binnen je ICT domein gebeurt, raad ik je aan om ook logging toe te passen. Iedere zorginstelling heeft namelijk een firewall draaien waarmee bedreigingen worden tegengehouden. Deze logging legt kwetsbaarheden in je ICT domein bloot. Je kunt je voorstellen dat rapportages van die logging op de firewall inzicht geven in wanneer, hoe vaak en waarop er een bedreiging was die iets had kunnen aanrichten en of deze een lichte of zware bedreiging geweest is. Door rapportages uit te voeren, kunnen wij advies geven over hoe je je systeem sterker en veiliger maakt. Wat je als zorginstelling vervolgens met dat advies doet, is een tweede. Maar het is wél de kans om bovenaan de ladder te komen en niet achter de feiten aan te lopen wanneer er weer een aanscherping is op de normering. En die zullen gegarandeerd volgen.