QSN Blog: NEN 7512 en NEN 7513

Door: Arjan Zwanenburg

Je hebt het vast wel eens meegemaakt. Je maakt voor jezelf of een familielid afspraken met artsen en onderzoeksafdelingen in het ziekenhuis of met specialisten bij ondersteunende diensten als fysiotherapie of voor medische hulpmiddelen. Jouw persoonlijke gegevens, of natuurlijk die van je familielid, worden gedeeld tussen al deze partijen. Het is gemakkelijk, je hoeft niet alles meerdere keren te vertellen en je kan ook niets vergeten. Iedereen die de informatie nodig heeft, kan er op elk gewenst moment over beschikken. Maar werkt dat in de praktijk zo? Beschikken de mensen die de informatie nodig hebben over alle relevante informatie? Beschikken anderen niet over meer dan alleen de relevante informatie en zijn er ook mensen met toegang tot jouw informatie die er feitelijk niet over hoeven te beschikken?

NEN 7512

De NEN 7512 norm geeft aanvullende zekerheden die de partijen onderling met elkaar moeten bieden voor vertrouwde gegevensuitwisseling. Tevens voorziet deze norm in nadere invulling aan richtlijnen zoals beschreven in de NEN 7510. Het toepassingsgebied van NEN 7512 is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten, cliënten, zorgverzekeraars en andere partijen die bij de zorg zijn betrokken. De te nemen maatregelen voor het uitvoeren van vertrouwde gegevensuitwisseling hangt sterk samen met de classificatie van de uit te wisselen gegevens. Hiervoor is een uitgebreide risicoanalyse noodzakelijk. Er wordt gekeken naar de impact van de gevolgen voor cliënten, patiënten, organisaties of maatschappij indien de vertrouwelijkheid, integriteit of beschikbaarheid van de informatie worden aangetast. Tevens dienen gegevensuitwisselingen dusdanig te zijn ingericht dat de ontvangende partij kan vaststellen dat de verzendende partij de correcte partij is. Dit kan aan de hand van de ondertekening van de gegevensuitwisseling. Afhankelijk van de classificatie kan dit een eenvoudige ondertekening tot een geavanceerde elektronische handtekening zijn.

NEN 7513

Verdere relevante maatregelen zijn die omtrent logging, zoals het maken, bewaren, inzien en structureel controleren hiervan. Ook maatregelen voor het beheersen van de capaciteit en de continuïteit moeten worden ingeregeld. Dagelijks wordt van vele cliënten en patiënten vertrouwelijke gezondheidsinformatie ingezien, bewerkt, gedeeld of verwijderd. In bijna alle voorkomende gevallen betreft het terechte handelingen door geautoriseerde personen of systemen. In die gevallen dat dit niet het geval is, wil je graag kunnen aantonen wie welke data heeft ingezien of bewerkt. Op deze manier kan je controleren of dit schadelijke impact heeft voor cliënten, patiënten of de organisatie. NEN 7513 komt nu om de hoek kijken.

Hulp nodig?

Naast NEN 7510 ook aan de slag met compliance conform NEN 7512 en NEN 7513? We helpen graag. Onze Consultants adviseren bij het implementeren van extra zekerheden en logging vereisten. Onze kritische analyses van relevante risico’s en onze kennis van informatiebeveiliging in de zorg kunnen bijdragen aan een pragmatische beheersbare implementatie, rapportage, signalering en analyse van logging activiteiten op de verwerkingen van gevoelige medische persoonsgegevens en patiëntendossiers.

Contact