Zet de stap naar certificering!

Transcriptie

1 NEN 7510 CERTIFICERING Zet de stap naar certificering!

2 Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor continue verbetering van uw organisatie en zekerheid en vertrouwen voor patiënten en opdrachtgevers. 2 - Kader, bureau voor kwaliteitszorg b.v.

3 Inleiding Fijn dat u geïnteresseerd bent in NEN 7510 certificering. NEN 7510 certificering maakt aantoonbaar dat op een vertrouwelijke, zorgvuldige en adequate manier met medische gegevens wordt omgegaan. In deze brochure treft u informatie aan over onder andere de norm, NEN 710 en de Algemene Verordening Gegevensbescherming (AVG), ISO 27001, de voordelen, de mogelijkheden en de Kader aanpak. CONTACT Aanvullende informatie? Neem contact met ons op. Telefoonnummer info@kader.nl Website Heeft u na het lezen van de informatie nog vragen of wilt u een offerte aanvragen? Neem dan gerust contact met ons op. In deze brochure vindt u: NEN 7510 certificering... pagina 4 De Kader aanpak... pagina 6 Aanvullende diensten... pagina 9 Over Kader... pagina 10 Kader, bureau voor kwaliteitszorg b.v. - 3

4 NEN 7510 certificering De NEN 7510:2017 is een norm voor informatiebeveiliging in de zorg. Het NEN 7510 certificaat maakt aantoonbaar dat op een vertrouwelijke, zorgvuldige en adequate manier met medische gegevens wordt omgegaan. De voordelen Met NEN 7510 certificering voldoet uw organisatie aan de wettelijke bepalingen voor patiëntengegevens en aanbestedingscriteria. Bovendien draagt informatiebeveiliging volgens de NEN 7510 zorg voor continue verbetering van uw organisatie en zekerheid en vertrouwen voor patiënten en opdrachtgevers. Met NEN 7510 geeft u invulling aan maatregelen voor een passende bescherming van patiëntengegevens en daarmee het voldoen aan de AVG wetgeving. Uw organisatie voldoet onder andere aan contractuele vereisten zoals bijvoorbeeld verwerkersovereenkomsten en aanbestedingscriteria. Dit levert voordeel op bij aanbestedingen! NEN 7510 Alle zorginstellingen, ongeacht omvang of aard van de bedrijfsprocessen, moeten voldoen aan NEN NEN 7510 Medische informatica Informatiebeveiliging in de zorg is een Nederlandse norm. In de norm is de High Level Structure opgenomen, waardoor NEN 7510 compatibel is met andere managementsysteemnormen die de HLS volgen. NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. NEN 7510 geldt dus niet alleen voor zorginstellingen maar is ook van toepassing op (toe) leveranciers die te maken hebben met patiëntgegevens en andere beheerders van persoonlijke gezondheidsinformatie. Wanneer (toe)leveranciers andersoortige informatie verwerken, zoals financiële gegevens, persoonsgegevens of andere bedrijfsvertrouwelijke gegevens, dan kunnen zij zich laten certificeren volgens de ISO en is NEN 7510 niet direct noodzakelijk. NEN 7510 en ISO zijn dus beide normen voor informatiebeveiliging. Het soort informatie dat een organisatie of instelling verwerkt bepaalt de reikwijdte van certificatie. NEN 7510 legt de focus volledig op patiëntgegevens, terwijl ISO de focus legt op de informatie die een organisatie aanmerkt als waardevol. Hier ligt het verschil tussen NEN 7510 en ISO De drie opties voor niet zorginstellingen zijn: NEN 7510 certificering: Als de focus van de organisatie ligt op de zorgbranche; ISO & NEN 7510 certificering: Voor toeleveranciers van de zorg, als informatiebeveiliging aangetoond moet worden aan organisaties buiten de zorgsector, maar ook met zorgklanten wordt gewerkt; ISO certificering: Als er voornamelijk voor organisaties buiten de zorg wordt gewerkt. Het Ministerie van VWS eist van instellingen in de gezondheidszorg dat de informatiebeveiliging op orde is. NEN 7510 certificering is niet verplicht, maar zorginstellingen in Nederland dienen aan de Inspectie voor Gezondheidszorg (IGZ) wel aantoonbaar te maken dat zij beschikken over een juiste informatiebeveiliging. NEN 7510 certificering biedt een structurele oplossing en maakt dit aantoonbaar. ISO norm De norm NEN-ISO/IEC beschrijft hoe informatiebeveiliging procesmatig kan worden ingericht. Verder stelt de ISO norm specifieke eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd ISMS. Onderdeel hiervan is het periodiek uitvoeren van een risicoanalyse & -beoordeling, waarmee specifieke organisatierisico s rond informatiebeveiliging worden geborgd en weggenomen door passende 4 - Kader, bureau voor kwaliteitszorg b.v.

5 beveiligingsmaatregelen. De norm kan worden ingezet binnen iedere organisatie. NEN 7510 en AVG De Algemene Verordening Gegevensbescherming AVG is een Europese wet waar alle organisaties in Nederland en binnen de Europese Unie per 25 mei 2018 aan moeten voldoen. De AVG eist dat persoonsgegevens worden beschermd met passende technische en organisatorische maatregelen. Dit betekent dat alleen noodzakelijke persoonsgegevens op een zorgvuldige manier mogen worden opgeslagen en verwerkt. Organisaties die dit niet doen zijn in overtreding. Zij riskeren een boete van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet. Wilt u uitgebreide informatie over ISO certificering en/of de AVG en de mogelijkheden van Kader? Download dan de brochure Brochure ISO certificering Brochure AVG Veel onderwerpen in de AVG, en ook vanuit de huidige Wet Bescherming Persoonsgegevens, kunnen worden geborgd in een informatiebeveiligingssysteem op basis van NEN Voldoen aan de NEN 7510 norm of het hebben van een NEN 7510 certificering is echter geen verplichting vanuit Nederlandse of Europese wetgeving. Wel helpt het om invulling te geven aan maatregelen voor een passende bescherming van persoonsgegevens en daarmee het voldoen aan de AVG. Vanuit de AVG wordt geen expliciete verwijzing gemaakt naar de NEN 7510 richtlijnen, maar de AVG geeft nadrukkelijk aan dat certificering een belangrijk hulpmiddel kan zijn voor het aantoonbaar maken van de eisen en voorschriften vanuit de AVG. NEN 7510 certificaat Voldoet uw organisatie aan de eisen van de NEN 7510 norm, dan kan een NEN 7510 certificaat worden aangevraagd. Een onafhankelijke externe certificatie instelling toetst of uw organisatie daadwerkelijk voldoet aan de eisen van de norm. Bij een positief resultaat wordt het NEN 7510 certificaat uitgereikt. Kader, bureau voor kwaliteitszorg b.v. - 5

6 De Kader aanpak Nulmeting Interne audit Managementsysteem Directiebeoordeling Begeleiding certificering Kader begeleidt uw organisatie in 5 praktische stappen naar NEN 7510 certificering. Wij stellen hierbij uw organisatie centraal, waardoor er geen onnodige beheersmaatregelen worden geïmplementeerd. Nulmeting Met de nulmeting beoordelen wij in hoeverre uw organisatie al invulling geeft aan de NEN 7510 norm en wat exact nodig is om te komen tot certificering. Ook dient deze nulmeting om uw medewerkers kennis te laten maken met de inhoud en de reikwijdte van de norm. Wij bespreken verschillende processen, procesbeschrijvingen, procedures en instructies en toetsen dit aan de NEN 7510 norm. De resultaten verwerken wij in een rapportage en Plan van Aanpak (PvA). Na de nulmeting weet u precies waar u aan toe bent en kunt u besluiten of u zich door Kader wilt laten begeleiden naar NEN 7510 certificering. U heeft inzicht in de verwachte tijdsbesteding, taakverdeling en kosten van certificatie. Informatiebeveiligingssysteem (ISMS) Kader zet een praktisch hanteerbaar en efficiënt digitaal informatiebeveiligingssysteem op dat voldoet aan de eisen van de NEN 7510 norm én de behoefte van onze opdrachtgevers. De opzet en invoering van het informatiebeveiligingssysteem is volgens de HLS-structuur en kan hierdoor eenvoudig met andere nieuwe ISO normen geïntegreerd worden. Ook is het mogelijk om branche-specifieke richtlijnen te integreren. U kunt rekenen op de volgende activiteiten: Uitvoeren van een risicoanalyse en risicobeoordeling; Opzetten en invoeren van een informatiebeveiligingssysteem; Maatregelselectie en informatiebeveiligingsplan; Implementatie en controleprogramma; Verklaring van toepasselijkheid. Interne audit Met de interne audit toetsen wij of uw informatiebeveiligingssysteem goed is ingevoerd en voldoet aan de NEN 7510 norm, wetgeving, klanteisen en/of eisen van uw organisatie. Wij stellen een auditplan op, toetsen of het ISMS voldoet aan de norm en leggen bevindingen en verbeteringen vast in een rapportage. De interne audit is een prima voorbereiding op de certificatie audit. Directiebeoordeling Met de directiebeoordeling ondersteunt Kader de directie bij de beoordeling van de effectieve werking van het informatiebeveiligingssysteem en het in kaart brengen van verbetermogelijkheden en risico s. Onze deskundige adviseur is uw sparringpartner. De directiebeoordeling is een belangrijk onderdeel vanuit de norm voorafgaand aan certificering. Na certificering stelt de norm verplicht dat er een periodieke directiebeoordeling wordt uitgevoerd. Begeleiding naar certificering Kader is approved partner van een aantal gerenommeerde certificatie instellingen. Wij hebben goede contacten met veel certificatie instellingen. Hierdoor zijn wij in staat het moment van certificatie veelal te bespoedigen en te bevorderen. Onze adviseurs werken transparant en toegankelijk bij u op locatie en zijn daardoor optimaal beschikbaar voor beantwoording van vragen over het managementsysteem en ondersteuning van 6 - Kader, bureau voor kwaliteitszorg b.v.

7 het management. Kader kan de externe audit door de certificatie instelling begeleiden. Dit biedt extra zekerheid voor de opdrachtgever. Investering en doorlooptijd De gemiddelde doorlooptijd van NEN 7510 certificering is afhankelijk van de complexiteit en omvang van uw organisatie, maar ook de mate waarin de organisatie in de praktijk al voldoet aan de NEN 7510 norm. Voor een exact inzicht in de verwachte doorlooptijd, tijdsbesteding, taakverdeling en kosten van het totale certificatietraject voert Kader vaak eerst een nulmeting uit. Belangstelling Hebben wij uw belangstelling gewekt? Vraag dan een offerte aan of neem contact met ons op! Kader, bureau voor kwaliteitszorg b.v. - 7

8 8 - Kader, bureau voor kwaliteitszorg b.v.

9 Aanvullende diensten Integratie met andere normen Bij de opzet van het informatiebeveiligingssysteem houden wij rekening met de mogelijkheid om diverse thema s met elkaar te integreren. Het is mogelijk om verschillende normen of branchespecifieke richtlijnen te integreren in ons managementsysteemmodel. U kunt hierbij denken aan bijvoorbeeld het combineren van ISO 9001, ISO 14001, ISO 45001, ISO en NEN 7510 in één managementsysteem. GOED TE WETEN Heeft uw organisatie behoefte aan extra capaciteit en/of kennis? Kader biedt met eigen Information Security Managers een flexibele oplossing voor benodigde capaciteit, kennis, kunde en vaardigheden en continuïteit bij ziekte, zwangerschap of functieverandering! NEN 7510 certificaat behouden Eenmaal gecertificeerd? Om te blijven voldoen aan de eisen van certificatie en het maximale uit het geïmplementeerde informatiebeveiligingssysteem te halen, dienen met regelmaat de nodige inspanningen te worden geleverd. U kunt deze periodieke activiteiten uitbesteden aan Kader, zodat uw organisatie zich volledig kan richten op haar corebusiness. Kader, bureau voor kwaliteitszorg b.v. - 9

10 Over Kader Kader, bureau voor kwaliteitszorg verzorgt advies en opleidingen op het gebied van kwaliteit, veiligheid & arbo en milieu. We ondersteunen o.a. bij: Het behalen van certificaten (zoals ISO 9001 of ISO 27001). Het behalen van een diploma (zoals Hogere Veiligheidskunde of het bewijs van vakbekwaamheid tot EPA adviseur). Het voldoen aan wet- en regelgeving op het gebied van veiligheid, kwaliteit en milieu. Kader is approved partner van gerenommeerde certificatie instellingen, heeft Hobéon SKO toegelaten opleidingen en is ISO 9001 gecertificeerd. De officiële erkenning door onafhankelijke certificatie instellingen onderstreept onze kwaliteit van dienstverlening en toont aan dat u verzekerd bent van een betrouwbare partij met ruime kennis en ervaring in het opzetten en implementeren van managementsystemen en een succesvolle begeleiding naar certificatie. CONTACT Mocht u aanvullende informatie wensen, neem gerust contact met ons op. Telefoonnummer info@kader.nl Website WAAROM KADER? Meer dan 20 jaar vakervaring; Begeleiding naar én na certificering; Praktische, resultaatgerichte en integrale aanpak; Approved partner van o.a. DEKRA, TÜV en BSI. Kader heeft vestigingen in Zeist, Almelo, Amsterdam, Eindhoven, Groningen en Rotterdam. V Kader, bureau voor kwaliteitszorg b.v. Deze brochure is met de grootst mogelijke zorgvuldigheid samengesteld. Kader behoudt zich het recht voor zonder enige verplichtingen naar of jegens derden aanpassingen aan deze brochure door te voeren Kader, bureau voor kwaliteitszorg b.v.

11 Kader, bureau voor kwaliteitszorg b.v. - 11

12 Zeist Almelo Amsterdam Eindhoven Groningen Rotterdam