Resultaten NEN7510-inventarisatie

Koppeltaal hecht grote waarde aan NEN7510; de norm voor informatiebeveiliging in de zorg. Daarmee toont een zorgorganisatie aan op een verantwoorde manier met (cliënt)informatie om te gaan. Jaarlijks inventariseert Koppeltaal bij aangesloten GGZ-zorgaanbieders hoe zij invulling geven aan hun informatiebeveiligingsbeleid en NEN7510-certificering. De inventarisatie van dit jaar heeft belangrijke aandachtspunten opgeleverd.


Resultaten van de inventarisatie

In juni 2020 is aan 20 tweedelijns-zorgaanbieders die zijn aangesloten op Koppeltaal een self-assessment toets verzonden. Deze vragenlijst is door 16 van de 20 zorgaanbieders ingevuld (respons 80%). Van de 16 respondenten hebben 3 respondenten reeds een NEN7510-certificaat. De respondenten die niet NEN7510-gecertificeerd zijn hebben de volgende aandachtspunten:                                                                                                                              

  • Het evalueren van het informatiebeveiligingsbeleid nadat een beveiligingsincident zich heeft voorgedaan.
  • Het regelmatig opfrissen van medewerkers over hun kennis over informatiebeveiliging.
  • Het implementeren van een tweefactor-authenticatie om toegang te krijgen tot het zorginformatiesysteem.
  • Bij veel zorgaanbieders is het toegestaan om softwaretoken-apps op een privé-toestel te installeren. Hier zitten risico’s aan verbonden. Het is van belang dat men zich bewust is van deze risico’s en hier actief beleid op maakt.
  • Controle bij leveranciers op het back-up proces.
  • Het jaarlijks laten plaatsvinden van interne audits ten aanzien van het beheer van informatiebeveiliging en de implementatie hiervan.
  • Het jaarlijks laten auditen door een externe partij ten aanzien van het beheer van het informatiebeveiliging en de implementatie hiervan.
     

Positieve verbetering ten aanzien van 2019

In 2019 gaf de helft van de respondenten aan geen integrale ketentest uit te voeren. In 2020 geeft het grootste gedeelte van de respondenten (92%) aan dit wel te doen. Daarnaast hield de helft van de respondenten vorig jaar geen wijzigingsbeheer bij. Dit jaar geven alle respondenten aan wijzigingsbeheer bij te houden. Koppeltaal is trots op dit resultaat en benadrukt via deze weg het belang van NEN7510.

 

Verplichtingen rondom NEN7510-certificering binnen Koppeltaal

De primaire verantwoordelijkheid voor het voldoen aan informatiebeveiligingseisen voor de zorg ligt volgens het wettelijk kader de zorgaanbieders en IT-deelnemers. Dit geldt dus ook voor Koppeltaal. Koppeltaal VZVZ bewaakt namens Stichting Koppeltaal de huidige stand van zaken vanuit haar regierol in het afsprakenstelsel.

Voor IT-deelnemers

In het Algemeen Bestuur van Koppeltaal is op 12 december 2019 besloten dat IT-deelnemers vanaf de productiedatum op Koppeltaal binnen 2 jaar NEN7510 gecertificeerd dienen te zijn.

Voor zorgaanbieders

Voor zorgaanbieders geldt geen verplichting om NEN7510 gecertificeerd te zijn, hoewel de Inspectie Gezondheidszorg en Jeugd (IGJ) de norm wel hanteert om te toetsen of zorgorganisaties de juiste maatregelen treffen voor invoering en handhaving van informatiebeveiliging. De NEN7510 zal naar verwachting binnen afzienbare tijd verplicht zijn voor de gehele gezondheidszorg. Daarop vooruitlopend heeft het Algemeen Bestuur van Koppeltaal besloten tot verplichting van deelname aan de self-assessment toets met als doel te zorgen voor veilige zorgcommunicatie voor alle deelnemers van Koppeltaal. De toets helpt zorgaanbieders eventuele tekortkomingen in beeld te brengen. De resultaten zijn direct inzichtelijke voor de zorgaanbieder en bestaan uit door te voeren maatregelen en adviezen. Zorgaanbieders zijn zelf verantwoordelijk voor het opvolgen van de maatregelen. Hierbij kunnen zij uiteraard ondersteuning krijgen vanuit Koppeltaal.