Hij is er ondertussen alweer een tijdje: de nieuwe versie van de NEN7512! Ook al wordt hij minder behandeld dan zijn ‘grote broer’, de NEN7510, de 7512 is een belangrijke norm voor informatiebeveiliging in de zorg en biedt zeer nuttige handvaten voor (zoals de norm het zelf omschrijft): ‘Informatiebeveiliging in de zorg – Vertrouwensbasis voor gegevensuitwisseling’.
De NEN7512 is een aanvulling op de richtlijnen uit de NEN7510, met een diepere focus op onderlinge gegevensuitwisseling tussen zorgverleners en derde partijen. Tijdens een NEN7510 certificeringsaudit zouden de principes van de NEN7512 dan ook getoetst moeten worden door de auditor.
De vraag die ik vandaag graag wil behandelen is: wat is er nou precies nieuw aan die ‘nieuwe versie van de NEN7512’? Hieronder behandel ik puntsgewijs de belangrijkste wijzigingen:
1. Risicomanagement heeft een meer prominente rol.
De oude versie van de NEN7512 behandelde risicomanagement al, maar gaf het geen prominente aandacht. Hierdoor werd het vaak ‘vergeten’, of onder de noemer van de standaard risicoanalyse voor een NEN7510 certificering meegenomen.
De nieuwe versie van de norm vraagt nu om 1 of meerdere risicoanalyses om specifiek de risicoklasse(s) van de gegevensuitwisseling te bepalen. Dit moet vervolgens afgestemd worden tussen communicerende partijen, om te bepalen of er een acceptabele en gelijkwaardige aanpak van risico’s en risicobereidheid is. Voor kaderstellende partijen in een gegevensuitwisseling geldt dat zij conformiteit moeten afdwingen door duidelijke afspraken te maken en naleving te controleren.
2. Nieuwe beheersmaatregelen.
De nieuwe versie van de 7512 borduurt grotendeels voort op de beheersmaatregelen uit de oude versie. Er zijn echter een aantal interessante vernieuwde beheersmaatregelen. Zo vraagt de nieuwe versie van de norm expliciet om NEN7510 compliance, moeten partijen die deelnemen aan de gegevensuitwisseling aangesloten zijn bij een erkend CERT en zijn er specifieke beheersmaatregelen voor encryptie.
3. AVG geïntegreerd.
In de nieuwe versie van de norm wordt nu 1-op-1 gebruik gemaakt van teksten uit de AVG. De oude versie van de norm had al componenten van de AVG in zich, maar gebruikte nog niet (altijd) dezelfde taal. In de nieuwe versie wordt dit dus wel expliciet gedaan.
4. Beheersmaatregelen ‘sterker’ geformuleerd.
De beheersmaatregelen in de nieuwe versie van de norm zijn opnieuw geformuleerd. Het belangrijkste verschil (los van inhoudelijke wijzigingen) is de kracht van de nieuwe formulering. Beheersmaatregelen zijn nu altijd geformuleerd met ‘moeten’ in plaats van ‘behoren te’.
Deze veranderingen maken de nieuwe versie van de NEN7512 een waardevolle aanvulling op de richtlijnen uit de NEN7510. De norm heeft een meer dwingend karakter en maakt nu ook duidelijk waarom de risicomanagement component van belang is. Hiermee is de kans dat implementatie ook van toegevoegde waarde is, toegenomen. Daarbij sluit de norm nu ook beter aan bij geldende wet- en regelgeving, zoals de AVG en eIDAS verordening[1].
Ben je een zorgaanbieder of onderdeel van een zorg gerelateerde informatie-uitwisselingsketen en wil je aan de richtlijnen van de NEN7512 voldoen? Neem dan vooral contact met ons op als je hier hulp bij nodig hebt!
[1] eIDAS: electronic IDentities And Trust Services, verordening die onder andere EU-brede betrouwbaarheidsniveaus voor authenticatie vaststelt).