Veel zorgorganisaties zitten met de handen in het haar als het neerkomt op de NEN 7510 Dataveiligheid. Uit een artikel op de website van Inspectie Gezondheidszorg en Jeugd (IGJ) blijkt zelfs daar onduidelijkheid te heersen. Terwijl de IGJ de centrale spil is die toezicht houdt op de kwaliteit en veiligheid van de zorg en jeugdhulp in Nederland – en dus als geen ander zou moeten weten hoe de wet op dit gebied in elkaar steekt. Onze juristen gingen op onderzoek uit.

Op de IGJ website is het volgende te lezen onder het kopje ‘Thema 5: Informatiebeveiliging en continuïteit’:

“Waarop let de inspectie?
Ziekenhuizen worden steeds afhankelijker van ICT en bedreigingen, zoals gijzelsoftware, nemen toe. Informatiebeveiliging moet daarom op orde zijn. Ziekenhuizen moeten aantoonbaar werk maken van een managementsysteem voor informatiebeveiliging dat voldoet aan de wettelijke norm NEN7510. Hiervoor moet minimaal een onafhankelijke beoordeling aanwezig zijn. Verder moet er een continuïteitsplan zijn dat regelmatig getest wordt.”

Hier kaart de IGJ aan dat ziekenhuis werk moeten maken van een managementsysteem dat voldoet aan de NEN 7510 norm. Een norm is echter geen wet, waardoor dit geen wettelijke verplichting is. Er is echter één uitzondering waarbij het voldoen aan de NEN 7510 wél verplicht is en dat is als u deelneemt aan het Landelijk Schakelpunt (LSP). Dat staat nadrukkelijk in de wet over het gebruik van ‘uitwisselingsprogramma’s’ in de zorg.

NEN 7510 wel of geen wettelijke verplichting?

Terug naar de IGJ website. In datzelfde stuk tekst over thema 5 staat een kopje met ‘Goede voorbeelden’. Bovenaan die alinea staat het volgende:

“Drie van de bezochte ziekenhuizen (MUMC+, AUMC en UMCG) hadden tijdens het bezoek een NEN7510 certificaat. Hoewel niet wettelijk verplicht, vormt dit een extra prikkel om de informatiebeveiliging goed te organiseren: onafhankelijke toetsing maakt deel uit van de procedure.”

Hier spreekt de IGJ zichzelf tegen door te schrijven dat de NEN 7510 géén wettelijke verplichting is – en dus vrijwillig is. Wat dan weer vreemd is, is dat u door de IGJ wel afgerekend kunt worden op het feit dat uw praktijk niet aan de NEN 7510 voldoet. Verwarrend, toch? Dat vinden wij dus ook. De informatie van de IGJ is dan ook onjuist.

Meer eenvoud op het vlak van wetten en normen

Wilt u meer duidelijkheid op deze vlakken? Waveland European Lawyers heeft een online portaal klaarstaan waarin u zelfstandig de stappen zet om aan een wet of norm te voldoen. Kraakheldere uitleg, een gestructureerde werkwijze en alleen de écht vereiste informatie, zodat u in eigen beheer aan wetten of normen kunt voldoen. Wilt u hier meer over weten? Plan dan een gratis en vrijblijvende kennismaking. Zo ervaart u zelf de voordelen en het gemak van het Waveland portaal.