Wij werken in de zorg, hoe zwaar is NEN 7510 in de praktijk?
NEN 7510 is de NL norm voor informatiebeveiliging in de zorg. Hij volgt de structuur van ISO 27001 en voegt zorgspecifieke maatregelen toe rond toegang, traceerbaarheid en patientveiligheid.
Probeer dit eerst zelf
- 1Bepaal of je zorgaanbieder bent in de zin van Wkkgz of Wabvpz, of leverancier daarvan. De zorginstelling is meestal verplicht NEN 7510 toe te passen, leveranciers volgen contractueel.
- 2Begin met een gap-analyse tegen NEN 7510-1 en 7510-2. Veel mkb-zorgaanbieders missen vooral logging op patientendossiers en formele toegangsreviews.
- 3Toegang tot patientgegevens op need-to-know, met logging die tot op de werknemer herleidbaar is. Generieke accounts en gedeelde wachtwoorden zijn een afkeurpunt.
- 4Verwerkersovereenkomsten op orde met EPD-leverancier, hosting en eventueel een ICT-beheerder. Zij verwerken bijzondere persoonsgegevens.
- 5Plan een interne audit en, indien gevraagd door ketenpartners, een externe certificering. Zorginstellingen wijken vaak af qua eisen, vraag wat je klant precies wil zien.
Wanneer ons inschakelen
Bij keten-koppelingen via VECOZO, LSP of regionale infrastructuren liggen er vaak extra eisen vanuit de keten. Stem af met de aansluitende partij voor je verbouwt.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en heb je meer dan 50 medewerkers of meer dan 10 miljoen omzet. Daaronder val je alleen indirect, via je klanten.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2. Inwerkingtreding loopt via de wetgevingsagenda van het ministerie van Justitie en Veiligheid, exacte datum volg je via NCSC.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.