Om misbruik van persoonsgegevens tegen te gaan, zijn er strikte regels voor informatiebeveiliging waar zorgorganisaties zich aan moeten houden. Hoe zit die regelgeving precies in elkaar?

Deel 2 in een serie over informatiebeveiliging in de zorg.

De hack waarbij onlangs persoonsgegevens van honderdduizenden Nederlanders zijn gestolen uit een systeem van het laboratorium Clinical Diagnostics Nederland (dochter van het Franse Eurofins), zet de schijnwerpers op de regels rond informatiebeveiliging in de zorg. Die zijn vastgelegd in de normen NEN 7510 en 7512. Computable vroeg toelichting over de samenhang van de regelgeving aan Tim Heijltjes, woordvoerder van Z-CERT, de officiële organisatie voor het voorkomen en/of tijdig oplossen van cyberincidenten in de zorg.

Welke zorgorganisaties moeten aan NEN 7510 en 7512 voldoen en is certificering verplicht?

Alle zorgaanbieders die onder de Wet kwaliteit, klachten en geschillen in de zorg vallen en die persoonsgegevens van patiënten of cliënten verwerken, zijn verplicht om aantoonbaar aan de NEN 7510 te voldoen. Aantoonbaar betekent in dit geval bijvoorbeeld certificering of een onafhankelijke audit. Veel zorginstellingen en zelfstandige zorgverleners vallen onder deze wet. Het is dus niet verplicht om te certificeren voor de NEN 7510. Certificeren maakt het aantonen natuurlijk wel makkelijker. De NEN 7512 is een uitwerking van de NEN 7510 en daarom ook verplicht, apart certificeren voor de NEN 7512 is niet mogelijk. De Inspectie Gezondheidszorg en Jeugd is verantwoordelijk voor de naleving.

Waar overlappen deze normen met andere cybersec-regels zoals NIS2?

De NIS2 is een EU-richtlijn. Zo’n richtlijn heeft geen nationale rechtstreekse werking en dient daarom in alle Europese lidstaten te worden omgezet naar nationale wetgeving. In Nederland wordt dat de Cyberbeveiligingswet. Daarin zijn verschillende rechten en plichten opgenomen, waaronder de zorgplicht. Voldoen aan de NEN 7510 geeft voor zorgaanbieders invulling aan deze zorgplicht. De NEN 7510 is een zorgspecifieke verdieping op de – de facto – wereldwijde standaard voor het managen van informatiebeveiliging, de ISO27000. Daarnaast heeft de NIS2 aanvullende eisen. Naast zorgaanbieders vallen ook een aantal leveranciers in de zorg rechtstreeks onder de Cyberbeveiligingswet, zoals vervaardigers van medische hulpmiddelen, vervaardigers van farmaceutische basisproducten en bereidingen en entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren met betrekking tot geneesmiddelen.

In NEN 7512 staat over de uitwisseling van persoonsgegevens tussen bijvoorbeeld lab en zorgaanbieder onder andere: Communicatiepartijen moeten zijn aangesloten bij een erkende CERT-organisatie die gespecialiseerd is in het voorkomen en/of tijdig oplossen van cyberincidenten.

Is het lab lid van een CERT-organisatie?

Het gehackte lab is geen Z-CERT deelnemer. Geen enkel Eurofins-lab is deelnemer van Z-CERT. Wij zijn de aangewezen CERT voor de gehele zorgsector en maken, om de hele sector te kunnen beschermen, geen onderscheid tussen wie wel of niet voldoen aan de NEN of andere wetgeving.

Deze versturen we 3-4x per jaar.