Informatiebeveiliging

PATIËNT- en CLIËNTGEGEVENS goed BESCHERMD?

Persoonsgegevens in veilige handen

Als zorgaanbieder ben jij eindverantwoordelijk voor het veilig omgaan met de gegevens van jouw patiënten en cliënten. Er zijn NEN-normen opgesteld, aansluitend op wetgeving, met afspraken hoe je als zorgaanbieders veilig dient te werken. Je hoeft het niet allemaal zelf te doen.

Vanuit Booozt begeleiden we jouw zorgorganisatie om te voldoen aan de NEN-normen voor informatiebeveiliging met praktische expertise en materialen. Om te beginnen, ondersteunen we nu bij de NEN 7510, die uitgangspunt is voor andere normen (NEN 7512/13) en wetgeving (NIS2/CBW).

0:00
AANPAK STAPPEN

Stappen in de routekaart NEN 7510

De kern van de module vormt de ondersteuning op weg naar voldoen aan de NEN 7510. Een team van experts ondersteunt jullie als zorgaanbieders in de verschillende sectoren met praktische hulp en materialen. De basis voor onze aanpak vormt voor alle sectoren een uniforme routekaart in 7 stappen, die oorspronkelijk voor de VVT met ActiZ is ontwikkeld. Samen met de andere landelijke koepels maken we de aanpak en materialen op maat voor de verschillende sectoren (KNMP/LHV-InEen-NHG/NL GGZ/ZKN). Met de regionale brancheorganisaties hebben we in praktijk-beproevingen een verdere slag op bruikbaarheid gemaakt.

Rondom deze uniforme basis hanteren we per sector een aanpak die aansluit bij de processen en de partijen die in de sector actief zijn. Om te zorgen voor blijvende resultaten en eigenaarschap, organiseren we de ondersteuning in de regionale driehoek ‘Draagvlak – Coördinatie – Expertise’. Dat vergt samenwerking tussen respectievelijk de Regionale brancheorganisatie (zoals RAO, RHO, VVT tafel) – het Regionale Samenwerkings Verband (levert de Booozt regio projecteider) – De Booozt Informatiebeveiligings-experts. Voor de eerste lijn, de huisartspraktijken en de openbare apotheken, hanteren we een gefaseerde aanpak in de regio.

Booozt blijft in de regio's ondersteunen bij de stappen van de routekaart en werkt nauw samen met de koepels.

1

Kick-off

Inrichten projectorganisatie en projectinitiatie

Hierin tref je de voorbereidingen voor de volgende stappen. Je bepaalt welke medewerkers in jouw organisatie bij het project betrokken worden en in welke rol. Je zorg dat iedereen in de organisatie op de hoogte is van de noodzaak van een goede informatiebeveiliging bijvoorbeeld doormiddel van het bekijken van de explainer video. Jullie verkennen met elkaar de ‘(IT-) omgeving’ van jullie organisatie en bepalen wat de scope gaat worden van de verbetercyclus die je gaat inrichten, het Information Security Management systeem (ISMS). Een uitgebreidere toelichting bij de stappen en de onderwerpen is terug te lezen in de Hand-out Routekaart.

Explainer video

Deze video kun je in jouw organisatie gebruiken om te zorgen dat iedereen op de hoogte is van de noodzaak van een goede informatiebeveiliging en om uit te leggen wat het Booozt ondersteuningstraject NEN 7510 inhoudt.

Explainervideo NEN 7510

Hand-out

Dit document geeft uitleg bij de stappen van de routekaart NEN 7510

Apotheker: Hand-out KNMP (exclusief voor leden)

VVT: Hand-out ActiZ (exclusief voor leden)

2

Self assessment

Uitleg

Je gaat in kaart brengen waar jouw organisatie op dit moment staat met betrekking tot de inrichting van het ISMS (NEN 7510 deel 1). In deze fase vergaar je inzicht in wat mogelijke tekortkomingen zijn, maar ook wat er al wel geregeld is in en voor jouw organisatie en wat kan worden hergebruikt.

Template Self assessment NEN 7510-1. 2024

Hier vind je de documenten die je helpen om de huidige situatie van jouw organisatie met betrekking tot het ISMS (NEN 7510 deel 1) in kaart te brengen.

Apotheker: Template KNMP

VVT: Template Actiz

3

Opstellen informatiebeveiligingsbeleid

Uitleg

In deze stap ga je het beleid voor Informatiebeveiliging en privacy opstellen of aanvullen voor jou organisatie. Daarmee geef je richting aan de informatiebeveiligingsactiviteiten binnen jouw zorgorganisatie en dek je tevens verschillende normelementen af uit de NEN 7510.

Templates Beleid informatiebeveiliging en Privacy

Hier vind je voorbeeld beleid voor Informatiebeveiliging en privacy dat we samen met de verschillende landelijke koepels op maat hebben gemaakt zodat het zoveel mogelijk aansluit op de zorgpraktijk in jouw sector.

Apotheker: Template KNMP

VVT: Template Actiz

4

Risicoanalyse

Risicobeoordeling en -behandeling

In een interactieve workshop voer je samen met collega’s uit jouw organisatie een risicoanalyse uit. Na afloop hebben jullie de kans en de impact van veel voorkomende risico’s voor jullie organisatie in kaart (risicobeoordeling) en een strategie voor behandeling van de risico’s. De maatregelen (NEN 7510-2) om de risico’s te mitigeren worden met jullie vastgesteld. Dit leidt tot een Verklaring van Toepasselijkheid die nodig is om te kunnen voldoen aan de norm.

Templates tbv risicobeoordeling en behandeling

Wij stellen een risicomodel beschikbaar waarin de uitkomsten van de risicobeoordeling en -behandeling kunnen worden vastgelegd. Daarnaast bieden wij een voorbeeld van een ingevulde risicobeoordeling ter ondersteuning.

Apotheker: Template KNMP

VVT: Template Actiz

Template Verklaring van Toepasselijkheid

Hierin leg je in één overzicht vast welke beveiligingsmaatregelen wel of niet van toepassing zijn, inclusief de onderbouwing daarvan. Deze Verklaring van Toepasselijkheid kan worden gebruikt om te delen met stakeholders.

Apotheker: Template KNMP

VVT: Template Actiz

5

Opstellen Operationele richtlijnen

Uitleg

In deze stap vertaal je de geselecteerde beheersmaatregelen uit de risicobehandeling naar operationele richtlijnen. Een beheersmaatregel in NEN7510 beschrijft wat er moet gebeuren om risico’s te beperken, terwijl een operationele richtlijn uitwerkt hoe dit concreet in de praktijk wordt uitgevoerd in de context van jouw zorgorganisatie.

Templates Operationele richtlijnen

Hier vind je de templates voor de operationele richtlijnen. Afhankelijk van de organisatie-grootte is er de template voor micro-organisaties (met minder dan 50 fte) en voor compacte organisaties (tussen 50 en 400 fte). Voor organisaties met meer dan 400 FTE is het template eveneens bruikbaar, maar vraagt dit naar verwachting om aanvullende uitwerking en verdieping.

Apotheker: Template KNMP

VVT: Template Actiz

6

Verkennen aanvullende maatregelen

Uitleg

Hier stel je vast in hoeverre de maatregelen uit de NEN 7510 deel 2, die je hebt geselecteerd in de risicobeoordeling en vervolgens hebt uitgewerkt in de operationele richtlijnen, al zijn ingericht in jouw organisatie. De gaps neem je op in een actieplan en daarop plan je gerichte verbeteracties.

Templates Assessment operationele richtlijnen/beheersmaatregelen NEN 7510-2

Een assessment hulpmiddel is beschikbaar gesteld voor het in kaart brengen in hoeverre jouw organisatie de geselecteerde beheersmaatregelen en operationele richtlijnen heeft ingericht. Hierin kun je ook de afwijkingen registreren en de gekozen verbeteracties.

Apotheker: Template KNMP

VVT: Template Actiz

Templates Verbeter-register

In deze template kun je interne afwijkingen en verbeteringen registreren die gedurende de uitvoering van de PDCA cyclus worden gesignaleerd, inclusief de uitvoering van de Root cause analyse. Het verschil tussen het actieplan uit vorige punt en het verbeterregister in dit punt is dat het actieplan is bedoeld voor de initiële inrichting van NEN 7510 (change) en het verbeterregister gebruikt wordt als de inrichting is voltooid (run).

Apotheker: Template KNMP

VVT: Template Actiz

7

Opstellen Operationele Planning

Uitleg

Om de Plan-Do-Check-Act cyclus die je in de vorige stappen hebt doorlopen te borgen, maak je een jaarplanning. Daarin leg je de activiteiten vast die nodig zijn om de PDCA cyclus (het Information Security Management Systeem, ISMS) blijvend te borgen. Daarnaast helpt de planning om key beheersmaatregelen periodiek uit te voeren/ te monitoren, zoals bewustzijn/ bewustwording, leveranciersbeoordelingen, autorisatiecontrole, logging controle.

Template Operationele Planning ISMS en beheersmaatregelen

Deze template kun je gebruiken voor het opstellen van de operationele planning. Sommige kwaliteitssystemen bieden de mogelijkheid om deze daarin op te nemen. Kijk wat passend is voor jouw zorgorganisatie.

Apotheker: Template KNMP

VVT: Template Actiz

Uitvoeren interne audit en Management review

Uitleg

Na het doorlopen van alle voorgaande stappen, bent je klaar om aan de slag te gaan met het implementeren van de maatregelen en kun je tussentijds de werking van alle onderdelen van het ISMS toetsen in een interne audit.

Templates voor interne audit en management review

Hier vind je templates en handleidingen die je helpen om de zaken die je in de vorige stappen heeft vastgesteld en ingericht te borgen, te monitoren en op peil te houden.

Apotheker: Template KNMP

VVT: Template ActiZ

Voor alle templates geldt: Samen met de verschillende koepels worden de templates op maat gemaakt en beschikbaar gesteld op de besloten omgeving van hun websites. De documenten voor de Huisartsen bevinden zich in de validatie-fase en worden binnenkort gepubliceerd. De documenten voor de Zelfstandige klinieken en GGZ zijn in ontwikkeling.

Heb je meer vragen over de module Informatiebeveiliging? Bekijk hier wie jij kan benaderen in jouw regio.

De toolkit

Maak gebruik van onze hulpmiddelen

Ga aan de slag met onze toolkit! Hier vind je heldere uitleg, handige stappenplannen, infographics, korte explainer video’s en concrete praktijkvoorbeelden. Handig om zelf te gebruiken of te delen binnen je organisatie.

Onepager 'Wat is Tweefactorauthenticatie (2FA)?'

Lees hier de onepager

Use case NEN 7510 in de apotheek

Bekijk de video

Explainer video NEN 7510

Bekijk de video
MODULE FAQ

Vragen?

We hebben hieronder de meest gestelde vragen over dit onderwerp voor je verzameld. Grote kans dat je hier al het antwoord vindt dat je zoekt en anders helpen we je graag verder!

Hoe kan ik als zorgaanbieder in aanmerking komen voor ondersteuning?

Welke kosten zijn er verbonden aan een NEN 7510-ondersteuningstraject door Booozt?

Ondersteunen jullie ook voor de NIS2/CyberBeveiligings Wet (CBW)?