De verplichte naleving van de NEN 7510, NEN 7512 en NEN 7513 in de zorg blijkt in de praktijk vaak onrealistisch en onhaalbaar te zijn, meer dan zes jaar na de invoering ervan.
Zorgaanbieders moeten voldoen aan de norm voor informatiebeveiliging in de zorg, NEN 7510, die de inrichting van een Information Security Management System (ISMS) en 117 verplichte beheersmaatregelen omvat. Ondanks de theoretische bruikbaarheid van de norm, heeft meer dan 95 procent van de zorgaanbieders in de afgelopen zes jaar moeite gehad om aantoonbaar te voldoen. Redenen zijn onder andere strenge regels, gebrek aan kennis en financiële beperkingen.
Het aantonen van naleving vereist interne of externe audits, maar kundige auditors zijn schaars in de zorg. Financiële beperkingen maken externe audits ook moeilijk. Met nieuwe wetten en regels neemt de complexiteit van informatiebeveiliging toe, waardoor een heroverweging van de huidige aanpak noodzakelijk is.
Een sectorbrede maatregelenset moet worden ontwikkeld, gebaseerd op ISO 27001 en ISO 27002, die een verplicht onderdeel wordt van de accountantscontrole. De NEN 7510 kan worden afgeschaft.
De voorgestelde maatregelenset is gebaseerd op de belangrijkste risico’s binnen de zorg en past zich aan aan de veranderende complexiteit en risico’s van informatievoorziening. Bestuurders verklaren jaarlijks dat ze voldoen aan het basisbeveiligingsniveau, wat gecontroleerd wordt door accountants, wat leidt tot een hoger niveau van informatiebeveiliging. De voorgestelde aanpak is begrijpelijker, beter planbaar, beter beheersbaar en beter controleerbaar. Het vereist minder deskundig personeel en minimaliseert de controledruk.
Voor de NEN 7512 en NEN 7513 wordt voorgesteld de verantwoordelijkheid voor naleving bij IT-leveranciers te leggen en terug te vallen op internationale ISO-normen.
Bekijk deze blog voor meer informatie
