eOverdracht

Organisatiebeleid
Andere lagen
Terug naar overzicht

Informatiebeveiliging & privacy 

Informatiebeveiliging is een belangrijke voorwaarde voor het leveren van kwaliteit van zorg en het uitwisselen van privacygevoelige gegevens. Op deze pagina vind je praktische informatie die jou helpt om informatieveiligheid te bevorderen. Daarnaast een toelichting van de bijbehorende geldende wet- en regelgeving, NEN-normen en maatregelen die door collega-zorgorganisaties worden aanbevolen.

 

Handige tools

Om je op weg te helpen zijn tools ontwikkeld voor het project ‘doe jij het veilig?’. Hierin zitten handige formats en mogelijkheden voor hulp en advies. Een voorbeeld van de beschikbare formats:

  • Contextanalyse
  • Plan van Aanpak
  • Data Privacy Impact Assessment (DPIA)
  • Verwerkersovereenkomst

Deze tools zijn beschikbaar via https://www.samenwerkenaaneoverdracht.nl/tools-en-downloads.

Contact

Wil je aan de slag met het invoeren van informatiebeveiliging en privacy voor de eOverdracht? Heb je hulp nodig bij het doorlopen van de stappen? Weet je niet zo goed waar te beginnen? Of heb je andere vragen? Neem dan contact op met Bureau eOverdracht via eoverdracht@ictu.nl.

Wet- en regelgeving

De NEN 7510 is de norm voor informatiebeveiliging in de zorg. Het is een wettelijke verplichting voor zorgorganisaties om aantoonbaar te voldoen aan de NEN 7510. Daarnaast dient elke zorgorganisatie te voldoen aan de gerelateerde wetgeving, zoals:

  • Algemene verordening gegevensbescherming (AVG), daarbij gaat het onder andere om rechtmatig omgaan met persoonsgegevens.
  • De Wet elektronische gegevensuitwisseling in de zorg (Wegiz) verplicht dat gegevensuitwisseling tussen zorgaanbieders elektronisch verloopt.
  • WGBO (Wet op de geneeskundige behandelingsovereenkomst) – beschrijft onder andere dat de zorgverlener verantwoord moet omgaan met patiëntgegevens (medisch beroepsgeheim) en dat de zorgverlener een dossierplicht heeft. 
  • Toekomstige wetgeving, zoals de Netwerk en Informatiebeveiligingsrichtlijn 2 (NIB2, gebaseerd op de Europese richtlijn NIS2).
  • Het overzicht met alle gerelateerde wet- en regelgeving, vind je in bijlage 2 van het Plan van aanpak op https://www.samenwerkenaaneoverdracht.nl/doelgroep/projectleiders.

Bij deze wetten wordt verwezen naar de NEN 7510, NEN 7512 en NEN 7513, zie NEN 7510: Informatiebeveiliging in de zorg. Als zorgorganisatie ben je verplicht om te voldoen aan deze NEN-normen. 

  • Zorgdragen dat het elektronisch uitwisselingssysteem voldoet aan de veiligheids- en zorgvuldigheidseisen van de NEN 7510-norm voor het organisatorisch en technisch inrichten van de informatiebeveiliging in de zorg.
  • Zorgdragen dat gebruik wordt gemaakt van veilige verbindingen die voldoen aan NEN 7512.
  • Zorgdragen dat de logging van zoeken in, en toegang tot patiëntgegevens voldoet aan NEN 7513 (vastleggen van toegangs- en zoekgebeurtenissen).

Op basis van risicoanalyse kies je welke maatregelen uit de NEN 7510-2, NEN 7512 en NEN 7513 je implementeert. De NEN 7510 norm is daarbij het uitgangspunt en bevat verwijzingen naar de NEN 7512 en NEN 7513. In de NEN 7510-2:2017 zijn de maatregelen ingedeeld in de volgende hoofdstukken:

  • H5 Informatiebeveiligingsbeleid
  • H6 Organiseren van informatiebeveiliging
  • H7 Veilig personeel
  • H8 Beheer van bedrijfsmiddelen
  • H9 Toegangsbeveiliging
  • H10 Cryptografie
  • H11 Fysieke beveiliging en beveiliging van de omgeving
  • H12 Beveiliging bedrijfsvoering
  • H13 Communicatiebeveiliging
  • H14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen
  • H15 Leveranciersrelaties
  • H16 Beheer van informatiebeveiligingsincidenten
  • H17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
  • H18 Naleving

De NEN 7510 wordt herzien. Verwacht wordt dat de nieuwe versie in 2024 of 2025 gepubliceerd wordt. De indeling van maatregelen verandert dan.

Starten met de belangrijkste maatregelen

Op basis van gesprekken met zorgorganisaties die al met de eOverdracht aan de slag zijn gegaan, worden in lijn met NEN 7510 onder meer de volgende maatregelen genoemd om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te borgen.

Vertrouwelijkheid

Bij het behoud van vertrouwelijkheid van informatie gaat het erom dat informatie niet beschikbaar of bekend wordt gemaakt aan onbevoegde personen. Maatregelen om de vertrouwelijkheid te borgen zijn onder meer:

  • NEN 7510-2 H7 Veilig personeel
    • Zorg voor gescreende medewerkers die aan geheimhouding zijn gebonden.
    • Werk aan bewustwording en veilig gedrag bij medewerkers.
  • NEN 7510-2 H9 Toegangsbeveiliging
    • Zorg voor functiescheiding en autorisatiematrix binnen het bronsysteem.
    • Richt een aparte autorisatie in voor eOverdracht en beperkte toekenning daarvan binnen de organisatie.
    • Zorg voor veilige en betrouwbare aanmeldprocedures voor gebruikers.
    • Maak gebruik van identificatie en authenticatie. Wie ben je? En kun je bewijzen dat je degene bent die je zegt te zijn (multifactor authenticatie).  
    • Laat werknemers sterke wachtwoorden instellen (bij voorkeur door het systeem dit te laten verplichten).
  • NEN 7510-2 H10 Cryptografie
    • Zorg voor correcte en doeltreffende versleuteling.
  • NEN 7510-2 H15 Leveranciersrelaties
    • Zorg ervoor dat de leveranciers van de systemen beschikken over relevante certificeringen die onafhankelijk getoetste zekerheid geven over het niveau van (technische) informatiebeveiliging, zoals bijvoorbeeld NEN 7510, ISO 27001, SOC2 en/of ISAE 3402.
    • Beoordeel de prestaties van de leveranciers periodiek.
  • NEN 7513 Logging 
    • Zorg dat logging plaatsvindt over de overdracht: wie heeft op welk moment gegevens ingezien of opgehaald.

Meer informatie

Integriteit

Met de integriteit van informatie wordt de juistheid en volledigheid van informatie bedoelt. Maatregelen om de integriteit te borgen zijn onder meer:

  • NEN 7510-2 H10 Cryptografie 
    • Zorg voor correcte en doeltreffende versleuteling
  • NEN 7510-2 H13 Informatietransport
    • Borg in het proces dat door de ontvangende zorgorganisatie een handmatige toets plaats op ontvangen data en de unieke identificatie van de cliënt op basis van BSN
    • Zorg ervoor dat de informatie rechtstreeks uit het bronsysteem komt

Meer informatie 

Beschikbaarheid

Bij het behoud van beschikbaarheid gaat het erom dat informatie toegankelijk en bruikbaar is. Maatregelen om de beschikbaarheid te borgen zijn onder meer:

  • NEN 7510-2 H12 Beveiliging bedrijfsvoering
    • Zorg dat de wettelijke retentietermijn voor dossierinformatie (20 jaar) wordt toegepast in de bronsystemen.
  • NEN 7510-2 H15 Leveranciersrelaties
    • Stel een SLA met de leveranciers van de systemen op met contractueel bepaalde oplostijden, Recovery Time Objective (RTO) en Recovery Point Objective (RPO)
  • NEN 7510-2 H17 Informatiebeveiligingscontinuïteit
    • Zorg voor alternatieve (analoge) procedures voor doorgang verpleegkundige overdracht
    • Zorg voor redundant uitgevoerde netwerkverbindingen
    • Zorg voor automatische terugval op alternatieve (4G/5G-) verbindingen
    • Zorg dat voldoende beschikbaarheids- en continuïteitsmaatregelen getroffen zijn voor het bronsysteem, waaronder redundantie, hosting in hoog-beschikbare datacentra en doorlopende monitoring.
    • Overleg over voldoende beschikbaarheids- en continuïteitsmaatregelen bij ontvangende zorgorganisaties
    • Borg dat alle gegevens worden opgeslagen in het bronsysteem. Indien gebruik gemaakt wordt van een broker, dan zullen technische en organisatorische maatregelen en bevoegdheden van medewerkers geregeld moeten worden.

Wie zijn er nodig?

Om aan de slag te gaan met de NEN7510 is het raadzaam om de volgende personen te betrekken:

  • Bestuurder
  • Management
  • ICT- en/of informatiemanager
  • Teamleiders en/of medewerkers uit de zorg
  • Privacy officer
  • Security officer
  • Functionaris gegevensbescherming
eOverdracht

Andere lagen

Zorgproces
Zorgbrede afspraken voor gegevensuitwisseling
Proces
Patient journey
Draagvlak en borging
Informatie
Informatiestandaard
Functioneel ontwerp
Dataset
Terminologie- en codestelsels
Technische berichten
Datakwaliteit
Applicatie
Opdracht aan de ICT leverancier
Kwalificaties
Functionaliteit informatiesysteem
Scholing
Operationaliseren en beheren
Infrastructuur
Infrastructuur