Herziening NEN 7512 en NEN 7513
NEN 7512 en NEN 7513 zijn aanvullende normen voor de NEN 7510, de Nederlandse norm voor Informatiebeveiliging in de zorg. Deze normen hebben betrekking op implementatie van extra zekerheden binnen de gegevensuitwisseling in de zorg en logging vereisten ten aanzien van elektronische patiëntdossiers. Onlangs is de herziene versie van NEN 7512 gepubliceerd. Ook NEN 7513:2018 is onder revisie.
Handhaven, intrekken of herzien?
Elke vijf jaar wordt gekeken of een norm wordt gehandhaafd, ingetrokken of herzien. Omdat zowel de zorg als de ICT-sector constant in beweging is, heeft de NEN besloten om zowel de NEN 7512 als de NEN 7513 te herzien. Afgelopen zomer is de NEN 7512:2022 gepubliceerd. De NEN 7513 wordt op dit moment nog herzien. Naar verwachting wordt de nieuwe versie in 2023 gepubliceerd.
Belangrijkste wijzigingen NEN 7512
De NEN 7512 norm is flink herschreven. We zetten de zes belangrijkste wijzigingen in de NEN 7512:2022 graag voor je op een rijtje.
- Van checklist naar procesbenadering. De voorgaande versie werd te veel als checklist gezien en toepast. Hierdoor werd de NEN 7512 niet gebruikt zoals deze bedoeld was. Dit wordt in de nieuwe versie opgelost door een procesbenadering toe te passen. Daarnaast wordt verwacht dat processen rondom elektronische gegevensuitwisseling ook worden gedocumenteerd.
- Eenduidige risicomethode. De risicoanalyse uit de voorgaande versie van NEN 7512 gaf weinig houvast, organisaties konden op een eigen manier de risicoanalyse uitvoeren. Aangezien er bij gegevensuitwisseling sprake is van een samenwerking tussen meerdere partijen is het van groot belang dat er een duidelijke maar vooral eenduidige risicomethode wordt uitgeschreven. Dit wordt in de NEN 7512:2022 gedaan in hoofdstuk 5.
- Brede benadering van risico’s. In de vorige versie werd niet gekeken naar de risico’s van uitwisselingspartners. In de vernieuwde NEN 7512 komt daar verandering in. Naast de eigen risico’s wordt ook gekeken naar de risico’s van partners, patiënten, andere betrokkenen en de maatschappij.
- Mate van risicobereidheid. In de vorige versie werd geen rekening gehouden met de verschillende mate van risicobereidheid bij uitwisselingspartners. Risicobereidheid, ook wel risk appetite, gaat om de bereidheid van organisaties rondom de hoeveelheid risico’s. Elke organisatie hanteert hier een andere maat. In de nieuwe versie wordt rekening gehouden met de risicobereidheid van alle partners. Het doel hiervan is het reduceren van het risico tot een voor alle partijen acceptabel niveau. Dit creëert tevens een gezamenlijk belang om de risico’s te inventariseren en reduceren.
- Introductie van het begrip kader. In de voorgaande versie staan geen eisen voor aansluitvoorwaarden. Het kan zijn dat er bij gegevensuitwisseling een dominante partij is, die alles bepalend is. Deze partij moet nu rekening houden met de aansluitende partij. Dit moet ook aantoonbaar zijn. Daarom is het woord ‘kader’ geïntroduceerd. Een kader is een stelsel afspraken tussen de betrokken partijen bij gegevensuitwisseling.
- Vooraf, tijdens en achteraf. Tot slot maakte de voorgaande versie geen onderscheid in de eisen voor de verschillende fases van gegevensuitwisseling. In de herziene versie wordt onderscheidt gemaakt tussen vooraf, tijdens en achteraf.
- Eisen voorafgaand aan gegevensuitwisseling gaan o.a. over het vast te stellen beleid, eisen aan communicatiepartijen, uitbesteding aan derde partijen, het gebruik en de grondslag.
- Eisen tijdens gegevensuitwisseling gaan o.a. over toezicht op naleving, monitoring van incidenten en afwijkingen, continuïteit, versleuteling, beschikbaarheid, ondertekening, melding van potentiële datalekken en logging.
- Eisen na gegevensuitwisseling gaan o.a. over grondslag, vertrouwelijkheid en het bewaren, archiveren en/of vernietigen van de gegevens.
Hulp nodig?
Wil je meer weten over de toepassing van NEN 7512 en/of NEN 7513 binnen jouw organisatie? Onze consultants helpen graag! Neem voor meer informatie vrijblijvend contact met ons op.
