NEN 7510

De norm

NEN 7510 is de norm voor informatiebeveiliging voor zorginstellingen. Alle huisartsenpraktijken moeten in 2025 aan deze norm voldoen.

NEN 7510 geeft handvatten voor het inrichten van een adequate ICT-infrastructuur. Ook definieert de norm maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid te waarborgen van alle informatie voor verantwoorde zorg voor patiënten.

NEN 7510 dekt het hele gebied van informatiebeveiliging. De norm is dus niet beperkt tot technische specificaties, maar geeft ook richting aan de organisatie en het menselijk handelen. Als je voldoet aan de norm, heb je alle maatregelen getroffen om je informatieveiligheidsrisico’s tot een aanvaardbaar niveau te beperken.

Ondersteuning ROHA

Voor een individuele praktijk is het moeilijk om aan de NEN 7510 te voldoen. Dit kost veel tijd en geld. Daarom gaat de ROHA je hierbij ondersteunen.

De ROHA gaat je ondersteunen bij informatiebeveiliging door hiervoor een collectief systeem op te zetten. Zo’n systeem heet een Information Security Management System (ISMS). Je praktijk kan zich bij dit collectieve systeem aansluiten en erop meeliften.

De ROHA gaat haar ISMS laten certificeren. Praktijken die zijn aangesloten op dit ISMS automatisch aan NEN 7510. Je hoeft in dat geval alleen aan de voorschriften en standaarden uit het ISMS te voldoen. We ondersteunen je praktijk om dat te bereiken met praktische instructies, checklists en voorbeelden.

ROHA-voorschriften

Als praktijk kies je zelf of je je aansluit bij het ISMS van de ROHA om aan NEN 7510 te voldoen. We raden je wel aan om dit te doen. De ROHA biedt je veel ondersteuning en er worden geen kosten in rekening gebracht.

Als je onderdeel wordt van het ROHA ISMS moet je praktijk invulling geven aan de privacy standaards van de ROHA. Je praktijk is zelf verantwoordelijk voor het beleid hierop en de uitvoering daarvan. De ROHA controleert met periodieke steekproeven of praktijken aan de standaards voldoen.

De aanpak

Bij de inrichting van het ISMS werken we in eerste instantie met vijf praktijken. Dit zijn de zogeheten koplopers. Als het ISMS volledig is beschreven en ingericht, nodigen we nog vijf praktijken uit om aan te sluiten. Met deze tien praktijken wordt in eerste instantie het ISMS geïmplementeerd. Daarna volgt de certificering, waarmee we aantonen dat het ISMS werkt.

Vervolgens wordt het systeem verder uitgerold. De planning is om dit in mei 2024 te doen. Je praktijk kan zich voor die fase aanmelden.

Als je je aanmeldt, doorlopen we daarna samen de volgende stappen:

  1. Nulmeting met een gedetailleerd verbeterplan voor de praktijk
  2. Per verbeterpunt actie door de praktijk, met ondersteuning vanuit ROHA
  3. Toetsing van het resultaat en bij goedkeuring door naar het volgende verbeterpunt.
  4. Herhaling van punt 2 en 3 tot het verbeterplan is afgerond
  5. Audit van de praktijk op de ROHA privacy standaards en bij goedkeuring uitreiking van certificaat

Op de hoogte blijven

Het ROHA-project rond het ISMS wordt nog verder uitgewerkt. We houden je op de hoogte op deze pagina en via de nieuwsbrief.