De NEN 7512 norm is herzien

NEN 7512 is de norm voor Informatiebeveiliging in de zorg, die aanvullende zekerheden biedt op het gebied van vertrouwensbasis voor gegevensuitwisseling. Hierbij gaat het om gegevensuitwisseling binnen de reikwijdte van de verwerkingsverantwoordelijke en de verwerker AVG. De norm beschrijft eisen en maatregelen die nodig zijn en is gericht op de afspraken die communicatiepartijen hierover maken. Het toepassingsgebied van NEN 7512 is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten, cliënten, zorgverzekeraars en andere partijen die bij de zorg zijn betrokken.

Handhaven, intrekken of herzien?

Elke vijf jaar wordt gekeken of een norm wordt gehandhaafd, ingetrokken of herzien moet worden. Ook voor NEN 7512 was het weer tijd voor deze keuze. Aangezien zowel de zorg als IT sector constant in verandering is, is er voor de NEN 7512 gekozen voor een herziening. De startbijeenkomst voor herziening vond plaats in november 2019. Juni dit jaar is de laatste versie van de herziening bij de normredactie neergelegd. Vanaf eind oktober 2021 worden de commentaren op de herziening van NEN 7512 besproken.

Belangrijke verschillen

De NEN 7512 norm is flink herschreven. De voorgaande editie van NEN 7512 was descriptief op het gebied van de te nemen maatregelen. De focus lag vooral op het vaststellen van het risiconiveau en het treffen van de voorgeschreven maatregelen. Deze benadering leverde bezwaren op. Er zijn een aantal issues in de voorgaande versie die aanleiding gaven tot herziening. In dit artikel delen we de 6 belangrijkste verschillen die aanleiding gaven tot herziening, inclusief de veranderingen in de herziende NEN 7512.

Verschil 1: Van checklist naar procesbenadering 
De voorgaande NEN 7512 versie werd te veel als checklist toegepast. Hierdoor schieten veel organisaties het doel van NEN 7512 voorbij. Dit wordt in de nieuwe versie opgelost door een procesbenadering toe te passen. Vervolgens wordt verwacht dat processen ook worden gedocumenteerd.

Verschil 2: Risicomethode en risicometriek
De risicoanalyse uit de voorgaande NEN 7512 versue gaf methodologisch weinig houvast. Organisaties konden op een eigen manier de risicoanalyse inkleuren. Aangezien er bij gegevensuitwisseling sprake is van een samenwerking tussen meerdere partijen is het belangrijk dat er een duidelijke risicomethode en risicometriek wordt uitgeschreven. In de nieuwe NEN 7512 is dit gedaan in hoofdstuk 5. Dit is uiteengezet in 7 hoofdstappen:

1. De kaderstellende partijen moeten vaststellen welke risicoklasse met betrekking tot de (potentiële) communicatiesubjecten, communicatiepartijen en maatschappij acceptabel is.
2. Alle bedreigingen voor de vertrouwelijkheid, integriteit en beschikbaarheid moeten worden geïnventariseerd. Dit moet zowel voor het proces als de gegevens van de gegevensuitwisseling.
3. De samenhangende kwetsbaarheden van de geïnventariseerde bedreigingen moeten worden vastgesteld.
4. De gevolgklasse en kansklasse van de geïnventariseerde bedreigingen moeten worden vastgesteld.
5. De bij de bedreiging behorende risicoklassen moeten worden vastgesteld.
6. De kaderstellende partijen moeten de gegevensuitwisseling zo aanpassen dat de risicoklasse van alle bedreigingen tot het vastgestelde acceptabele niveau is bereikt.
7. Alle voorgaande stappen moeten worden gedocumenteerd.

Ter ondersteuning bij het uitvoeren van bovenstaande stappen zijn in de nieuwe versie van NEN 7512 diverse tabellen toegevoegd.

Verschil 3: Brede benadering risico’s
In de vorige versie werd niet gekeken naar de risico’s van uitwisselingspartners. In de vernieuwde NEN 7512 komt daar verandering in. Naast de eigen risico’s wordt ook gekeken naar de risico’s van partners, patiënten, andere betrokkenen en de maatschappij.

Verschil 4: Mate van risicobereidheid
Ook werd er geen rekening gehouden met de verschillende mate van risicobereidheid bij uitwisselingspartners. Risicobereidheid, ook wel risk appetite, gaat om de bereidheid van organisaties rondom de hoeveelheid risico’s. Elke organisatie hanteert hier een andere maat. In de nieuwe versie wordt rekening gehouden met de risicobereidheid van alle partners. Het doel hiervan is het reduceren van het risico tot een voor alle partijen acceptabel niveau.

Verschil 5: Introductie van het begrip kader
In de voorvoorgaande versie staat geen logisch aangrijpingspunt voor aansluitvoorwaarden. Het kan zijn dat er bij gegevensuitwisseling een dominante partij is. Deze partij moet volgens de nieuwe versie rekening houden met de aansluitende partij. Dit moet aantoonbaar zijn. Daarom is het woord ‘kader’ geïntroduceerd. Kader is een stelsel afspraken tussen de betrokken partijen bij gegevensuitwisseling.

Verschil 6: Vooraf, tijdens en achteraf
Tot slot bood de voorgaande versie geen oplossing voor de levenscyclus van overeenkomsten voor informatietransport. In de nieuwe versie wordt duidelijk onderscheid gemaakt tussen de eisen voor de verschillende fases van gegevensuitwisseling, namelijk vooraf, tijdens en achteraf.

De eisen voorafgaand aan gegevensuitwisseling gaan over beleidsconformiteit, eisen aan het kader, gebruik van identificatiestelsels, eisen aan communicatiepartijen, aansprakenoverdracht, uitbesteding aan derde partijen, bedieningsprocedures, identiteiten, bevoegdheden, grondslag en geldigheid van het gebruikte kader.

De eisen tijdens gegevensuitwisseling gaan over toezicht op naleving, capaciteitsbeheer, monitoring van incidenten en afwijkingen, continuïteit, versleuteling, beschikbaarheid, ondertekening, melding van potentiële datalekken, logging en onderhoud van het kader.

De eisen na gegevensuitwisseling gaan over grondslag- en doelconformiteit en verijkingsbeperking, vertrouwelijkheid en het bewaren, archiveren en/of vernietigen van de gegevens.

Hulp nodig?

Wil je meer weten over de toepassing van NEN7512 binnen jouw organisatie? Onze Consultants helpen graag! Neem voor meer informatie vrijblijvend contact met ons op.

Contact

Bron: Webinar NEN 7512 herzien (NEN)