In dit geval valt dat mee. We hebben de nieuwe NEN 7510 al een tijdje mogen bestuderen in de vorm van een Concept Norm en die bleek heel leesbaar. Een paar dingen vielen op.
De nieuwe norm lijkt sterk op de ISO 27001:2014 en ISO 27002:2013. In plaats van persoon staat er patiënt, in plaats van verantwoordelijke staat er op slimme plekken zorgverlener en het geheel is aangevuld met zorgspecifieke maatregelen. De algemeen toepasbare ISO 27001 en 2 zijn branche-eigen gemaakt. Dat moet helpen voor de acceptatie, al kom ik zelden een zorgverlener tegen die de NEN 7510 daadwerkelijk gelezen heeft.
Twee delen
De nieuwe norm bestaat uit twee delen: de NEN 7510-1:2017 en de NEN 7510-2:2017 die corresponderen met de overeenkomstige ISO 27001:2014 en ISO 27002:2013.
Deel 1 is het managementsysteem. Daar staat iets nieuws in, namelijk het woord ‘moet’. Dat kwam in de vorige NEN 7510’en niet echt voor. Daarin werd meer verwacht, zou het kunnen of werd het aangeraden.
In het eerste deel wordt voorgeschreven dat de organisatie de besturing van de informatiebeveiliging moet inrichten, welk systeem daarvoor gebruikt moet worden en op welke manier er verantwoording moet worden afgelegd. Er staat letterlijk: ‘De organisatie moet…’ en ‘De directie moet…’ . Dit vergemakkelijkt alle controle, audits en inspecties enorm.
Deel 2 bestaat uit beheersmaatregelen. Eigenlijk is het een checklist van allerlei zaken die de zorgorganisatie onder controle moet zien te krijgen. Het gaat niet alleen over ict maar ook over personeel, voorlichting, registratie en kwaliteit. Het is een lijvig boekwerk. Er blijken heel veel maatregelen te nemen. Gelukkig zijn die niet in iedere zorginstelling van toepassing en deze norm wordt dan ook minder dwingend voorgeschreven. Het woord ‘moet’ is vervangen door ‘behoort’. ‘De organisatie behoort deze maatregel te nemen….’
Gelukkig is dit deel ook gemoderniseerd. Er wordt nu rekening gehouden met mobiele apparatuur, cloud computing en outsourcing. De basis lijkt echter nog steeds verdacht ouderwets maar dat kan komen doordat veel zorginstellingen fors achterlopen in hun automatisering en dat de opstellers van de norm dat weten.
AVG
Het moment van verschijnen is wat ongelukkig. Iedereen is nu volop bezig maatregelen te treffen om op 25 mei 2018 te voldoen aan de AVG, de nieuwe Europese privacywetgeving. Omdat iedereen te laat begonnen is de achterstand in te halen – we voldeden nauwelijks aan de Wbp –, is er nu lichte paniek en minder aandacht voor de nieuwe norm voor informatiebeveiliging in de zorg.
Dat is onterecht. In de AVG, en ook al in de Wbp, staat immers dat de instelling ‘passende technische en organisatorische maatregelen’ moet nemen om persoonsgegevens te beschermen en dat moet kunnen aantonen.
Is er een betere manier om aan te tonen dat je die maatregelen genomen hebt dan door te voldoen aan de NEN-norm? Ik dacht het niet!
2021
Het Sinterklaascadeau van 2021 laat zich ook al voorspellen. In 2017 zijn er nieuwe versies uitgekomen van de ISO 27001 en ISO 27002. De NEN7510-normcommissie neemt telkens ongeveer vier jaar om die algemene normen te vertalen naar branchespecifieke normen. Zet je schoen maar alvast klaar!