Met een NEN7510-certificaat weet je zeker dat je managementsysteem voldoet aan alle privacy-eisen die gelden voor het verwerken van gegevens van zorgpatiënten of -dienstverleners. Als jij als ICT-dienstverlener klanten hebt in die branche, klinkt het wel als iets dat je wil hebben, toch? Maar kan dat wel zomaar? Certificeren voor NEN7510 kan alleen als je een zorginstelling bént of een interface hebt met een zorginstelling. Hoe dat zit, leggen wij je uit.
Wat zegt de RvA over NEN7510?
De Raad van Accreditatie (RvA) is een private stichting die in 2010 door de Nederlandse overheid is aangewezen als nationale accreditatie-instantie. De primaire taak bestaat uit het accrediteren en geaccrediteerd houden van conformiteitbeoordelende organisaties, zoals de NEN.
En nou hebben zij dus een protocol opgesteld waarin twee clusters, twee soorten gegevensverwerkers, zijn aangewezen die in aanmerking komen voor NEN7510-certificatie:
- Z-cluster: Zorginstellingen.
- B-cluster: Beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen.
In het protocol spreken ze ook over de scope van het ISMS (Information Security Management System) en de Verklaring van Toepasselijkheid (VvT). Ze hebben daar aanvullende eisen voor opgesteld. Verwerkers van persoonlijke gezondheidsinformatie moeten aantoonbaar een interface hebben met een zorginstelling. Heb je dat niet, dan is certificering voor NEN7510 niet mogelijk. Ga in dat geval voor een ISO27001-certificaat.
Wat is een NEN 7510 interface?
Maar hoe weet je nou zeker of je een interface hebt met een zorginstelling? Oftewel, wat verstaan de RvA en NEN daar dan onder?
Hun definitie is als volgt:
Het beheren van persoonlijke gezondheidsinformatie waarbij deze informatie wordt gebruikt door een zorginstelling.
Expliciet staat erbij dat als je een softwarepakket levert maar geen beheersmaatregelen uitvoert, er geen sprake is van een interface. Jij moet dus echt die gegevens in huis hebben en beheren ofwel verwerken. Voor ‘beheren’ hanteren ze namelijk de definitie ‘verwerken’ zoals die in de AVG staat. Zelfs wanneer er alleen sprake is van ‘het opslaan’ van persoonlijke gezondheidsinformatie, kan er sprake zijn van een interface. Dus: je slaat persoonsgegevens op (of verwerkt ze anderszins) voor een zorginstelling én het betreft dan persoonlijke gezondheidsinformatie.
Persoonlijke gezondheidsinformatie
En dan is het vervolgens ook goed om nog een duidelijk aan te geven welke gegevens vallen onder ‘persoonlijke gezondheidsinformatie’. Het is informatie over de lichamelijke of geestelijke gesteldheid van een persoon en over de zorgverlening aan die persoon. Wat concreter:
- Informatie over de registratie van de persoon bij dienstverleners;
- Informatie over betalingen of het in aanmerking komen voor zorg van de persoon;
- Een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
- Alle informatie over de persoon die wordt verzameld tijdens het verlenen van zorg aan de persoon;
- Informatie die is ontleend aan een onderzoek van een lichaamsdeel of lichaamseigen stof, en
- Identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.
LET OP: Informatie die geanonimiseerd is, op zichzelf of in combinatie met andere gegevens, is géén persoonlijke gezondheidsinformatie. Geanonimiseerd wil namelijk zeggen dat de identiteit van de persoon niet aan de hand van de informatie te achterhalen is. De privacy is daarmee gewaarborgd.
Wanneer kom je in aanmerking voor een NEN 7510 certificering?
Nog even in het kort waar je aan moet voldoen om voor een NEN7510-certificering in aanmerking te komen:
- Er is sprake van een aantoonbare interface met een zorginstelling zoals hierboven staat omschreven.
- In de scope staat duidelijk welke activiteiten, producten en diensten onder jullie beheer vallen en dus meegaan in de certificering, en welke je uitbesteedt aan derden.
- In de verklaring van toepasselijkheid staat welke beheersmaatregelen van toepassing zijn op de activiteiten, producten en diensten die je hebt uitbesteed aan derden.
Ook wordt er extra nadruk gelegd op het voldoen aan wet- en regelgeving. En dan niet alleen die wet- en regelgeving die op jouw organisatie van toepassing is, maar ook op die van je klanten. Immers, als jij niet aan de regels voldoet waar zij mee te maken hebben, kunnen ze niet met jou in zee gaan. Het is dan ook goed om al bij het bepalen van je doelgroepen na te gaan welke wet- en regelgeving voor hen geldt.
Vragen over de NEN7510 interface?
Weet je niet zeker of jij voldoet aan de voorwaarden voor een NEN7510 interface? Geen nood, Jasper helpt je graag: