Veelgestelde vragen

Wat is Information Security Management System (ISMS)?

Het ISMS omvat:

  • een beschrijving van het beveiligingsbeleid;
  • alle maatregelen om informatierisico’s te beperken tot een acceptabel niveau. Het gaat hierbij om risico’s qua vertrouwelijkheid, beschikbaarheid en juistheid van (veelal privacygevoelige) informatie.

Waarom zijn er drie leveranciers voor systeembeheer?

De ROHA wil praktijken de mogelijkheid geven om voor het systeembeheer een leverancier te kiezen die bij de praktijk past. Daarnaast is vanuit de NEN 7510-norm een uitgebreid leveranciersmanagement verplicht. De ROHA heeft niet gekozen voor meer dan drie leveranciers omdat daarvoor onvoldoende capaciteit is.

In een artikel in NRC (op 19 juli 2023) was Topicus met VIPLife negatief in het nieuws ten aanzien van privacy en informatieveiligheid. De ROHA en ROHA-praktijken maken ook gebruik van deze software. Is dit verantwoord?

De ROHA heeft bewust gekozen voor VIPLive en Topicus voor het ondersteunen van ketenzorg, ook in het kader van informatieveiligheid. Om de veiligheid van patiëntdata te borgen heeft Topicus/Calculus diverse technische maatregelen en beleidsmaatregelen genomen. Deze zijn getoetst door een onafhankelijk auditor die Topicus het ISO 27001- en NEN 7510-certificaat heeft verleend. Topicus voldoen aan de meest actuele wet- en regelgeving voor het opslaan en beschermen van data en persoonsgegevens.

Wat houdt NEN 7510-certificering in?

Patiënten vertrouwen erop dat je strikt vertrouwelijk met hun persoonlijke gegevens omgaat. Daarom is in de Nederlandse wet vastgelegd dat zorginstellingen aantoonbaar moeten voldoen aan de eisen van NEN 7510. Dit is de Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op de internationale standaard ISO 27001.

Waarom kiest de ROHA voor certificering van de NEN 7510-norm?

De ROHA neemt informatiebeveiliging zeer serieus en wil aantoonbaar aan de betreffende wet- en regelgeving voldoen.

Wat betekent de NEN 7510-certificering, in het kort, voor de praktijken?

Met een NEN 7510-certificering bewijs je dat je organisatie voldoet aan de wettelijke bepalingen voor patiëntengegevens en aanbestedingscriteria. Je toont hiermee aan dat je je inzet voor gedegen informatiebeveiliging.

Moeten praktijken aan de NEN 7510-norm voldoen?

Ja. Volgens het IZA-akkoord moeten alle zorgorganisaties, en dus ook huisartsenpraktijken, in 2025 aan de NEN 7510-norm voldoen.

Is deelname aan de ROHA NEN 7510-certificering verplicht voor praktijken?

Deelname aan NEN 7510-certificering is niet verplicht. Als je praktijk deelneemt aan het collectief kun je wel makkelijker en goedkoper aan de betreffende wet- en regelgeving voldoen.

Kan iedere praktijk meedoen aan de NEN 7510-certificering?

Alle praktijken die aangesloten zijn bij de ROHA kunnen meedoen met de NEN 7510-certificering.

Moet ik als praktijk de NEN 7510-norm kennen om mee te doen aan de certificering?

Dat hoeft niet. De ROHA richt het gehele ISMS in en implementeert dit in de totale organisatie. Onderdelen die relevant zijn voor de praktijk beschrijven we in een apart dossier: de privacystandaards voor de ROHA.

Wanneer kan ik mijn praktijk laten certificeren?

Dat kan op elk moment, zolang je praktijk bij de ROHA is aangesloten. Wij gaan dan kijken hoe je praktijk is ingericht en wat er (nog) moet gebeuren om aan de NEN 7510-norm te voldoen.

Wat betekent het certificeringstraject voor de praktijk?

Wanneer je onderdeel wilt zijn van het (gecertificeerde) ISMS van de ROHA moet je aan de ROHA-privacystandaarden voor praktijken voldoen. We starten na aanmelding met een nulmeting, zodat je precies weet wat er nog gedaan en/of verbeterd moet worden.

Hoelang duurt het voordat ik NEN 7510-gecertificeerd ben?

Allereerst gaan we kijken wat de status is van het managementsysteem. Als er nog zaken niet op orde zijn bepalen we samen welke onderwerpen verbeterd moeten worden. Meestal is het mogelijk om in twee tot vier dagen een goed beeld te krijgen van het managementsysteem en de beheersmaatregelen. Wij leveren daarna een rapport, waarin we op detailniveau beschrijven waar de praktijk mogelijk nog niet conform de NEN 7510-norm werkt. Daarna gaan we de praktijk klaarstomen voor de interne audit en worden ISMS en alle beheersmaatregelen getoetst. Vervolgens gaat je praktijk op voor certificering. Het hele traject duurt ongeveer drie maanden.

Wat kunnen de gevolgen zijn als mijn praktijk niet aan de NEN 7510-norm voldoet?

Al je praktijk niet aan de NEN 7510-norm voldoet kan je een sanctie opgelegd krijgen of een boete tot € 750.000. Bovendien kunnen gegevens van patiënten ‘op straat komen te liggen’. Ook kunnen hackers in het bezit komen van patiëntengegevens en in ruil daarvoor een hoog geldbedrag eisen.

Wat is de looptijd van het NEN 7510-certificaat?

De looptijd is drie jaar. Elk jaar houdt de certificerende instantie een tussenaudit. Op dat moment moet de praktijk opnieuw aan de norm voldoen.

Aan wie kan ik vragen stellen over de NEN 7510-certificering?

De Security Officers van de ROHA zijn verantwoordelijk voor de inrichting van het ISMS conform de NEN 7510-norm. De Security Officers zijn per e-mail en telefonisch bereikbaar:

Ben Stoltenborg: bstoltenborg@rohamsterdam.nl, 06 433 927 92
Miek van Geenhuizen: mvangeenhuizen@rohamsterdam.nl, 06 485 006 21