De NEN7510: Lust of Last? Hoe om te gaan met informatiebeveiliging in de Zorg

De NEN7510 is een informatiebeveiligingsstandaard waar je binnen de zorg eigenlijk niet meer omheen kan. Ondanks de wettelijke verplichting om aan de NEN 7510 te voldoen, merken wij dat veel zorgorganisaties worstelen met het voldoen aan de norm. Veelgehoorde opmerkingen in dat kader zijn: het is te duur, het is omslachtig, bureaucratisch, veroorzaakt extra werklast, creëert een vertraging in het delen van patiëntinformatie tussen zorgverleners en organisaties en het beperkt het gebruik van technologie en software, wat invloed heeft op flexibiliteit en efficiëntie van het zorgproces. 

Eén van de redenen voor bovenstaande reacties komt vaak doordat men niet bekend is met de norm, waardoor adoptie en implementatie van de norm bemoeilijkt wordt. Echter, het is ook een feit dat medische gegevens interessante gegevens zijn voor kwaadwillenden, waardoor de zorg vatbaar is voor cyberaanvallen. Z-cert heeft onlangs de cyberaanvallen in 2022 onderzocht. Daaruit kwam naar voren dat 42% van de respondenten te maken had met cyber gerelateerde financiële fraude, 22% met credential phishing, 10% met een DDoS aanval bij een leverancier, 10% hacking, 6% ransomware bij een leverancier en 5% cyber gerelateerde datalekken, 5% DDoS aanvallen gericht op zorgorganisaties en 1% ransomware1.  Daarnaast houdt Z-cert live Ransomware-aanvallen op de (Europese) zorgsector bij. Tijdens het schrijven van dit artikel zijn er al 7 getroffen Europese zorgorganisaties, waarvan twee Nederlandse direct en 21 Europese zorglocaties indirect geraakt2

Voldoen aan de NEN7510 heeft zo zijn voordelen, zo maakt een zorginstelling zichzelf minder aantrekkelijk voor kwaadwilligen. Een reden waarom zorginstellingen vaak een vrij makkelijk doelwit zijn voor cyberaanvallen is dat ze gewilde data hebben, maar ook omdat zorginstellingen vaak oude software in gebruik hebben die gemakkelijker aan te vallen zijn. Een zorgorganisatie wordt al gauw minder aantrekkelijk indien er maatregelen worden genomen in het kader van de NEN 7510. Bovendien leidt het ook tot een verbetering van de patiëntveiligheid en de kwaliteit van de zorg. Door een veiligere en betrouwbare omgeving te hebben voor het delen en beheren van medische gegevens creëer je daarnaast meer samenwerking en betere communicatie tussen zorgverleners. Dit wordt des te belangrijker nu de Wegiz is goedgekeurd en per 1 juli 2023 van kracht is. Voldoen aan de NEN 7510 verhoogt ook het bewustzijn en verantwoordelijkheid van de medewerkers. De NEN7510 biedt een gestructureerd raamwerk en het volgen hiervan kan helpen om de processen voor informatiebeveiliging te stroomlijnen en efficiënter te maken.

Hoe kan een zorginstelling de balans vinden tussen enerzijds het primaire proces zo min mogelijk negatief beïnvloeden en anderzijds het beveiligen van de persoonlijke en/ of medische informatie van medewerkers en patiënten?

Doe een nulmeting

Begin bij het begin. Breng in kaart waar je als organisatie staat met informatiebeveiliging. Organisaties doen namelijk vaak al veel dingen wel. Zo moeten mensen inloggen met gebruikersnaam en wachtwoord om op het netwerk te komen of zijn behandelaren alleen maar geautoriseerd in het Elektronisch Patiënten Dossier om dossiers te zien van patiënten die zij behandelen. Door een nulmeting te doen wordt er goed in beeld gebracht wat er al is, wat er misschien aangescherpt dient te worden en wat er nog ontbreekt. Van hieruit kan er een planning gemaakt worden en gekeken worden waar de focus op gelegd moet worden.

Doe een Business Impact Analyse en een Risicoanalyse

Het is niet mogelijk om alles tegelijk te doen, dat is niet realistisch. De NEN 7510 heeft een risk based approach. Door een Business Impact Analyse (BIA) uit te voeren worden de primaire processen in kaart gebracht met de bijbehorende assets (de software en hardware gerelateerd aan dit proces) en wordt er in beeld gebracht hoe lang een proces niet kan werken voordat dit gevolgen heeft voor de organisatie. Een risicoanalyse brengt de risico’s in kaart die een organisatie kan lopen en er wordt daarnaast bekeken hoe hiermee omgegaan moet worden. Door deze twee dingen uit te voeren is er dus al snel een overzicht waarin in kaart is gebracht wat de primaire processen en risico’s binnen de organisatie zijn. Van daaruit kan een plan gemaakt worden en met de hoogste prioriteit begonnen worden.

Documenteer beleid, processen en werkinstructies

Zoals al eerder aangegeven wordt er vaak al veel wel gedaan in een organisatie, maar is het niet goed gedocumenteerd. Vaak omdat beleid, processen en werkinstructies niet goed gedocumenteerd zijn is er ook geen éénduidige werkwijze. Processen zijn daarom ook niet efficiënt. Door beleid, processen en werkinstructies te documenteren en ergens op te slaan waar iedereen deze documenten kan lezen zorg je ervoor dat er op een uniforme wijze gewerkt kan worden. Dit kan er dan ook voor zorgen dat het primaire proces efficiënter kan verlopen.

De NEN7510 kan een last zijn wanneer je alles tegelijk wil doen, maar kan een lust zijn wanneer je het stapsgewijs implementeert. Voldoen aan de NEN7510 houdt dus niet alleen in dat je voldoet aan wet- en regelgeving, maar nog belangrijker: het is vooral een verbetering van de informatiebeveiliging.

Is certificering voor zorginstellingen trouwens wettelijk verplicht? Dat niet: certificering is vooral een goede manier om aan te tonen dat er wordt voldaan aan de NEN7510. Het voldoen aan de NEN7510 is dan wel weer verplicht, maar certificering dus niet.

1Cybersecurity Dreigingsbeeld Zorg 2022, Z-cert 8 maart 2-23
2https://www.z-cert.nl

Terug naar overzicht