Wij werken in de zorg, hoe zwaar is NEN 7510 in de praktijk?
NEN 7510 is de NL norm voor informatiebeveiliging in de zorg. Hij volgt de structuur van ISO 27001 en voegt zorgspecifieke maatregelen toe rond toegang, traceerbaarheid en patientveiligheid.
support/compliance-en-wetgeving/nen-7510-zorg-praktijkstappen: 5
Probeer dit eerst zelf
- Bepaal of je zorgaanbieder bent in de zin van Wkkgz of Wabvpz, of leverancier daarvan. De zorginstelling is meestal verplicht NEN 7510 toe te passen, leveranciers volgen contractueel.
- Begin met een gap-analyse tegen NEN 7510-1 en 7510-2. Veel mkb-zorgaanbieders missen vooral logging op patientendossiers en formele toegangsreviews.
- Toegang tot patientgegevens op need-to-know, met logging die tot op de werknemer herleidbaar is. Generieke accounts en gedeelde wachtwoorden zijn een afkeurpunt.
- Verwerkersovereenkomsten op orde met EPD-leverancier, hosting en eventueel een ICT-beheerder. Zij verwerken bijzondere persoonsgegevens.
- Plan een interne audit en, indien gevraagd door ketenpartners, een externe certificering. Zorginstellingen wijken vaak af qua eisen, vraag wat je klant precies wil zien.
Wanneer ons inschakelen
Bij keten-koppelingen via VECOZO, LSP of regionale infrastructuren liggen er vaak extra eisen vanuit de keten. Stem af met de aansluitende partij voor je verbouwt.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en haal je de drempel uit Aanbeveling 2003/361/EG (meer dan 50 fte en meer dan 10M omzet of balans). Daaronder val je alleen indirect, via je klanten. De drempel maakt je belangrijke of essentiele entiteit afhankelijk van sector.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2 en treedt gefaseerd in werking. Controleer NCSC voor de actuele inwerkingtredingsdatum en lagere regelgeving.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.