Omgaan met privacy gevoelige gegevens

De laatste jaren zien we opvallend veel aandacht voor certificering van de informatiebeveiliging. Diverse ISP’s en datacenters hebben zich laten certificeren, maar ook bijvoorbeeld een partij als SIDN. Voor vrijwel elke organisatie is informatiebeveiliging in meer of mindere mate van belang.

Informatiebeveiliging zorgt ervoor dat, bepaalde informatie, in de door jouw bepaalde vorm, voor door jou bepaalde personen juist wel of juist niet beschikbaar is en dan ook nog eens wanneer je dat nodig vindt. Om dat te bereiken dien je voor jouw eigen informatie en informatie van je klanten maatregelen te treffen.

Voor zorginstellingen geldt dit in het bijzonder. Bijvoorbeeld omdat zij verantwoordelijkheid dragen over allerlei privacy gevoelige gegevens, maar ook omdat het Elektronisch Patiënten Dossier (EPD) toch een doorstart lijkt te maken.

NEN 7510:2011
Dit is dé Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is in huidige vorm actief sinds september 2011 en is gebaseerd op een aantal reeds bestaande internationale normen:
– ISO/IEC 27002:2005 (de set aanbevelingen en richtinglijnen voor informatiebeveiliging)
– ISO/IEC 27799:2006 (de norm voor informatiebeveiliging in de zorg)
– ISO/IEC 27001:2005 (de norm voor informatiebeveiliging)

NEN 7510:2011 is, in tegenstelling tot de voorganger NEN 7510:2004, wel te certificeren. Het was weliswaar mogelijk een externe toetsing uit te laten voeren om te bepalen of een instelling voldeed aan NEN 7510:2004. Dit was dan niet een door de Raad van Accreditatie verstrekt certificaat. Certificering is ook met deze nieuwe norm niet altijd verplicht, het werken volgens de norm door zorginstellingen wel. Desondanks verwacht ik na de hoos aan meldingen over ISO 27001 gecertificeerde organisaties de komende jaren veel nieuws rondom NEN 7510 certificeringen.

ISO 27001 en NEN 7510
Het in ISO 27001 beschreven ISMS (Information Security Management System) komt één op één terug in NEN 7510. Beiden vereisen een procesmatige aanpak van informatiebeveiliging. Er moet een cyclisch proces zijn (PDCA – Plan, Do, Check, Act) voor het bepalen van beveiligingsdoelstellingen op basis van risicobeoordeling, het treffen van maatregelen en het monitoren en beoordelen van de uitkomsten. Het zijn vooral de patiënt specifieke aanvullingen in de beheersmaatregelen uit NEN 7510 die het verschil maken met de voor ISO 27001 in ISO 27002 beschreven beheersmaatregelen.

Conclusie
Zolang je als ISP geen patiëntgegevens verwerkt of toegang hebt tot patiëntgegevens kan je stellen en hopelijk hiermee onderbouwen, dat jouw ISO 27001 certificering gelijkwaardig is aan NEN 7510 certificering.


Kristian de Bruijn is Security Officer bij BIT. BIT is een zakelijke, ISO 27001-gecertificeerde ISP die zich toelegt op geavanceerde maatwerkoplossingen voor elektronische communicatie en datacenterdiensten.

Over Kristian de Bruin

Laatste artikelen