Veelgestelde vragen

Wat is Information Security Management System (ISMS)?

Het ISMS omvat:

een beschrijving van het beveiligingsbeleid;
alle maatregelen om informatierisico’s te beperken tot een acceptabel niveau. Het gaat hierbij om risico’s qua vertrouwelijkheid, beschikbaarheid en juistheid van (veelal privacygevoelige) informatie.

Waarom zijn er 3 leveranciers voor systeembeheer?

De ROHA wil praktijken de mogelijkheid geven om voor het systeembeheer een leverancier te kiezen die bij de praktijk past. Daarnaast is vanuit de NEN 7510-norm een uitgebreid leveranciersmanagement verplicht. De ROHA heeft niet gekozen voor meer dan drie leveranciers omdat daarvoor onvoldoende capaciteit is.

In een artikel in NRC (op 19 juli 2023) was Topicus met VIPLife negatief in het nieuws ten aanzien van privacy en informatieveiligheid. De ROHA en ROHA-praktijken maken ook gebruik van deze software. Is dit verantwoord?

De ROHA heeft bewust gekozen voor VIPLive en Topicus voor het ondersteunen van ketenzorg, ook in het kader van informatieveiligheid. Om de veiligheid van patiëntdata te borgen heeft Topicus/Calculus diverse technische maatregelen en beleidsmaatregelen genomen. Deze zijn getoetst door een onafhankelijk auditor die Topicus het ISO 27001- en NEN 7510-certificaat heeft verleend. Topicus voldoen aan de meest actuele wet- en regelgeving voor het opslaan en beschermen van data en persoonsgegevens.

Wat houdt NEN 7510-certificering in?

Patiënten vertrouwen erop dat je strikt vertrouwelijk met hun persoonlijke gegevens omgaat. Daarom is in de Nederlandse wet vastgelegd dat zorginstellingen aantoonbaar moeten voldoen aan de eisen van NEN 7510. Dit is de Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op de internationale standaard ISO 27001.

Waarom kiest de ROHA voor certificering van de NEN 7510-norm?

De ROHA neemt informatiebeveiliging zeer serieus en wil aantoonbaar aan de betreffende wet- en regelgeving voldoen.

Moeten praktijken aan de NEN 7510-norm voldoen?

Ja. Volgens het IZA-akkoord moeten alle zorgorganisaties, en dus ook huisartsenpraktijken, in 2025 aan de NEN 7510-norm voldoen.

Is deelname aan de ROHA NEN 7510-certificering verplicht voor praktijken?

Deelname aan NEN 7510-certificering is niet verplicht. Als je praktijk deelneemt aan het collectief kun je wel makkelijker en goedkoper aan de betreffende wet- en regelgeving voldoen.

Kan iedere praktijk meedoen aan de NEN 7510-certificering?

Alle praktijken die aangesloten zijn bij de ROHA kunnen meedoen met de NEN 7510-certificering.

Moet ik als praktijk de NEN 7510-norm kennen om mee te doen aan de certificering?

Dat hoeft niet. De ROHA richt het gehele ISMS in en implementeert dit in de totale organisatie. Onderdelen die relevant zijn voor de praktijk beschrijven we in een apart dossier: de privacystandaards voor de ROHA.

Wanneer kan mijn praktijk aan de norm voldoen?

Dat kan op elk moment, zolang je praktijk bij de ROHA is aangesloten. Wij gaan dan kijken hoe je praktijk is ingericht en wat er (nog) moet gebeuren om aan de NEN 7510-norm te voldoen.

Wat betekent het certificeringstraject voor de praktijk?

Wanneer je onderdeel wilt zijn van het (gecertificeerde) ISMS van de ROHA moet je aan de ROHA-privacystandaarden voor praktijken voldoen. We starten na aanmelding met een nulmeting, zodat je precies weet wat er nog gedaan en/of verbeterd moet worden.

Wat kunnen de gevolgen zijn als mijn praktijk niet aan de NEN 7510-norm voldoet?

Al je praktijk niet aan de NEN 7510-norm voldoet kan je een sanctie opgelegd krijgen of een boete tot € 750.000. Bovendien kunnen gegevens van patiënten ‘op straat komen te liggen’. Ook kunnen hackers in het bezit komen van patiëntengegevens en in ruil daarvoor een hoog geldbedrag eisen.

Wat is de looptijd van het NEN 7510-certificaat?

De looptijd is drie jaar. Elk jaar houdt de certificerende instantie een tussenaudit. Op dat moment moet de praktijk opnieuw aan de norm voldoen.

Aan wie kan ik vragen stellen over de NEN 7510-certificering?

De Security Officer van de ROHA is verantwoordelijk voor de inrichting van het ISMS conform de NEN 7510-norm. De Security Officer is per e-mail en telefonisch bereikbaar:

Miek van Geenhuizen: so@rohamsterdam.nl, 06 485 006 21

Is het noodzakelijk om als huisartsenpraktijk een cyberverzekering af te sluiten?

Binnen de ROHA worden collectieve maatregelen getroffen via ons Information Security Management System (ISMS), waarop praktijken kunnen meeliften. Denk aan werken in de cloud, betrouwbare leveranciers en streng toegangsbeheer met 2FA. Hierdoor is er weinig privacygevoelige data op locatie en zijn praktijken minder interessant voor cybercriminelen. Bovendien zijn veel schadeclaims door menselijk handelen, onvoldoende getroffen maatregelen om te beveiligen of technische storingen vaak uitgesloten van dekking. Goede instructies en bewustwording bij personeel zijn minstens zo belangrijk. De toegevoegde waarde van een cyberverzekering voor praktijken achten we dan ook beperkt. Wil je meer informatie hierover? Mail dan de security officer van de ROHA: SO@rohamsterdam.nl