NEN 7510 Checklist voor zorgpraktijken

Het fundament van je managementsysteem. Zonder schriftelijk beleid kun je niets aantonen bij een inspectie.

• Heb je een schriftelijk informatiebeveiligingsbeleid?
• Is er een verantwoordelijke aangewezen voor informatiebeveiliging?
• Wordt het beleid minimaal jaarlijks gereviewed?

Je moet weten welke risico's je loopt voordat je maatregelen kunt nemen. De IGJ verwacht een formele risicoanalyse.

• Is er een formele risicoanalyse uitgevoerd?
• Is er een risicobehandelplan opgesteld?
• Wordt de risicoanalyse periodiek geactualiseerd?

Wie heeft toegang tot welke patientgegevens? Toegang moet gebaseerd zijn op rol en noodzaak, niet op gemak.

• Heeft elke medewerker een persoonlijk account (geen gedeelde logins)?
• Is er een toegangsmatrix die vastlegt wie waar toegang toe heeft?
• Worden rechten aangepast bij functiewijziging of vertrek?

Tweefactorauthenticatie is verplicht voor toegang tot patientgegevens. Je IT-leverancier kan dit technisch regelen, maar het beleid is van jou.

• Is tweefactorauthenticatie (MFA) ingeschakeld voor het EPD?
• Zijn er eisen aan wachtwoordsterkte vastgelegd?
• Is er een wachtwoordbeleid dat medewerkers kennen?

NEN 7513 vereist dat elke toegang tot patientgegevens gelogd wordt en minimaal 5 jaar bewaard blijft.

• Wordt automatisch gelogd wie welk dossier opent?
• Worden logbestanden periodiek gecontroleerd op ongeautoriseerde toegang?
• Worden logs minimaal 5 jaar bewaard (conform NEN 7513)?

Niet alles is digitaal. Papieren dossiers, beeldschermen in de wachtkamer, onbeheerde werkplekken — het zijn allemaal risico's.

• Vergrendelen medewerkers hun scherm als ze de werkplek verlaten?
• Worden papieren dossiers afgesloten bewaard?
• Zijn beeldschermen niet zichtbaar voor onbevoegden (privacy screens)?

Medewerkers zijn de grootste risicofactor. Geheimhoudingsverklaringen, screening en uitdienstprocedures zijn essentieel.

• Tekenen medewerkers een geheimhoudingsverklaring?
• Is er een uitdiensttredingsprocedure (accounts intrekken, sleutels inleveren)?
• Zijn rollen en verantwoordelijkheden vastgelegd?

Je team moet weten wat de regels zijn en waarom. Jaarlijkse training is de verwachting.

• Krijgen medewerkers jaarlijks een training informatiebeveiliging?
• Zijn medewerkers getraind in het herkennen van phishing?
• Weten medewerkers hoe ze een incident moeten melden?

Als het misgaat, moet je snel en juist handelen. Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens.

• Is er een incidentenprocedure die iedereen kent?
• Worden incidenten geregistreerd en geevalueerd?
• Weet je wanneer en hoe je een datalek moet melden bij de AP?

Wat als je systeem uitvalt? Automatische back-ups zijn vaak geregeld via je IT-leverancier, maar je moet het testen.

• Worden patientgegevens automatisch geback-upt?
• Is het herstellen van een back-up getest?
• Is er een continuiteitsplan voor als systemen langdurig uitvallen?

Je EPD-leverancier moet NEN 7510 of ISO 27001 gecertificeerd zijn. Dat geldt voor elke leverancier die patientgegevens verwerkt.

• Is je EPD-leverancier aantoonbaar NEN 7510 of ISO 27001 gecertificeerd?
• Zijn er verwerkersovereenkomsten afgesloten met alle leveranciers?
• Controleer je periodiek of leveranciers nog gecertificeerd zijn?
• Heb je SLA-afspraken over beschikbaarheid en incidentrespons?

Patientgegevens mogen niet via gewone e-mail verstuurd worden. NTA 7516 stelt eisen aan veilige communicatie in de zorg.

• Worden patientgegevens versleuteld uitgewisseld?
• Gebruik je een NTA 7516-conforme e-mailoplossing (bijv. ZorgMail, Siilo)?
• Zijn er afspraken vastgelegd over hoe gegevens uitgewisseld mogen worden?
• Worden verwijsbrieven en uitslagen via beveiligde kanalen verstuurd?