Informatiebeveiliging
Persoonsgegevens in veilige handen
Als zorgaanbieder ben jij eindverantwoordelijk voor het veilig omgaan met de gegevens van jouw patiënten en cliënten. Er zijn NEN-normen opgesteld, aansluitend op wetgeving, met afspraken hoe je als zorgaanbieders veilig dient te werken. Je hoeft het niet allemaal zelf te doen.
Vanuit Booozt begeleiden we jouw zorgorganisatie om te voldoen aan de NEN-normen voor informatiebeveiliging met praktische expertise en materialen. Om te beginnen, ondersteunen we nu bij de NEN 7510, die uitgangspunt is voor andere normen (NEN 7512/13) en wetgeving (NIS2/CBW).

Stappen in de routekaart NEN 7510
De kern van de module vormt de ondersteuning op weg naar voldoen aan de NEN 7510. Een team van experts ondersteunt jullie als zorgaanbieders in de verschillende sectoren met praktische hulp en materialen. De basis voor onze aanpak vormt voor alle sectoren een uniforme routekaart in 7 stappen, die oorspronkelijk voor de VVT met ActiZ is ontwikkeld. Samen met de andere landelijke koepels maken we de aanpak en materialen op maat voor de verschillende sectoren (KNMP/LHV-InEen-NHG/NL GGZ/ZKN). Met de regionale brancheorganisaties hebben we in praktijk-beproevingen een verdere slag op bruikbaarheid gemaakt.
Rondom deze uniforme basis hanteren we per sector een aanpak die aansluit bij de processen en de partijen die in de sector actief zijn. Om te zorgen voor blijvende resultaten en eigenaarschap, organiseren we de ondersteuning in de regionale driehoek ‘Draagvlak – Coördinatie – Expertise’. Dat vergt samenwerking tussen respectievelijk de Regionale brancheorganisatie (zoals RAO, RHO, VVT tafel) – het Regionale Samenwerkings Verband (levert de Booozt regio projecteider) – De Booozt Informatiebeveiligings-experts. Voor de eerste lijn, de huisartspraktijken en de openbare apotheken, hanteren we een gefaseerde aanpak in de regio.
Booozt blijft in de regio's ondersteunen bij de stappen van de routekaart en werkt nauw samen met de koepels.
Kick-off
Inrichten projectorganisatie en projectinitiatie
Hierin tref je de voorbereidingen voor de volgende stappen. Je bepaalt welke medewerkers in jouw organisatie bij het project betrokken worden en in welke rol. Je zorg dat iedereen in de organisatie op de hoogte is van de noodzaak van een goede informatiebeveiliging bijvoorbeeld doormiddel van het bekijken van de explainer video. Jullie verkennen met elkaar de ‘(IT-) omgeving’ van jullie organisatie en bepalen wat de scope gaat worden van de verbetercyclus die je gaat inrichten, het Information Security Management systeem (ISMS). Een uitgebreidere toelichting bij de stappen en de onderwerpen is terug te lezen in de Hand-out Routekaart.
Explainer video
Deze video kun je in jouw organisatie gebruiken om te zorgen dat iedereen op de hoogte is van de noodzaak van een goede informatiebeveiliging en om uit te leggen wat het Booozt ondersteuningstraject NEN 7510 inhoudt.
Hand-out
Dit document geeft uitleg bij de stappen van de routekaart NEN 7510
Apotheker: Hand-out KNMP (exclusief voor leden)
Self assessment
Uitleg
Je gaat in kaart brengen waar jouw organisatie op dit moment staat met betrekking tot de inrichting van het ISMS (NEN 7510 deel 1). In deze fase vergaar je inzicht in wat mogelijke tekortkomingen zijn, maar ook wat er al wel geregeld is in en voor jouw organisatie en wat kan worden hergebruikt.
Template Self assessment NEN 7510-1. 2024
Hier vind je de documenten die je helpen om de huidige situatie van jouw organisatie met betrekking tot het ISMS (NEN 7510 deel 1) in kaart te brengen.
Apotheker: Template KNMP
VVT: Template Actiz
Opstellen informatiebeveiligingsbeleid
Uitleg
In deze stap ga je het beleid voor Informatiebeveiliging en privacy opstellen of aanvullen voor jou organisatie. Daarmee geef je richting aan de informatiebeveiligingsactiviteiten binnen jouw zorgorganisatie en dek je tevens verschillende normelementen af uit de NEN 7510.
Templates Beleid informatiebeveiliging en Privacy
Hier vind je voorbeeld beleid voor Informatiebeveiliging en privacy dat we samen met de verschillende landelijke koepels op maat hebben gemaakt zodat het zoveel mogelijk aansluit op de zorgpraktijk in jouw sector.
Apotheker: Template KNMP
VVT: Template Actiz
Risicoanalyse
Risicobeoordeling en -behandeling
In een interactieve workshop voer je samen met collega’s uit jouw organisatie een risicoanalyse uit. Na afloop hebben jullie de kans en de impact van veel voorkomende risico’s voor jullie organisatie in kaart (risicobeoordeling) en een strategie voor behandeling van de risico’s. De maatregelen (NEN 7510-2) om de risico’s te mitigeren worden met jullie vastgesteld. Dit leidt tot een Verklaring van Toepasselijkheid die nodig is om te kunnen voldoen aan de norm.
Templates tbv risicobeoordeling en behandeling
Wij stellen een risicomodel beschikbaar waarin de uitkomsten van de risicobeoordeling en -behandeling kunnen worden vastgelegd. Daarnaast bieden wij een voorbeeld van een ingevulde risicobeoordeling ter ondersteuning.
Apotheker: Template KNMP
VVT: Template Actiz
Template Verklaring van Toepasselijkheid
Hierin leg je in één overzicht vast welke beveiligingsmaatregelen wel of niet van toepassing zijn, inclusief de onderbouwing daarvan. Deze Verklaring van Toepasselijkheid kan worden gebruikt om te delen met stakeholders.
Apotheker: Template KNMP
VVT: Template Actiz
Opstellen Operationele richtlijnen
Uitleg
In deze stap vertaal je de geselecteerde beheersmaatregelen uit de risicobehandeling naar operationele richtlijnen. Een beheersmaatregel in NEN7510 beschrijft wat er moet gebeuren om risico’s te beperken, terwijl een operationele richtlijn uitwerkt hoe dit concreet in de praktijk wordt uitgevoerd in de context van jouw zorgorganisatie.
Templates Operationele richtlijnen
Hier vind je de templates voor de operationele richtlijnen. Afhankelijk van de organisatie-grootte is er de template voor micro-organisaties (met minder dan 50 fte) en voor compacte organisaties (tussen 50 en 400 fte). Voor organisaties met meer dan 400 FTE is het template eveneens bruikbaar, maar vraagt dit naar verwachting om aanvullende uitwerking en verdieping.
Apotheker: Template KNMP
VVT: Template Actiz
Verkennen aanvullende maatregelen
Uitleg
Hier stel je vast in hoeverre de maatregelen uit de NEN 7510 deel 2, die je hebt geselecteerd in de risicobeoordeling en vervolgens hebt uitgewerkt in de operationele richtlijnen, al zijn ingericht in jouw organisatie. De gaps neem je op in een actieplan en daarop plan je gerichte verbeteracties.
Templates Assessment operationele richtlijnen/beheersmaatregelen NEN 7510-2
Een assessment hulpmiddel is beschikbaar gesteld voor het in kaart brengen in hoeverre jouw organisatie de geselecteerde beheersmaatregelen en operationele richtlijnen heeft ingericht. Hierin kun je ook de afwijkingen registreren en de gekozen verbeteracties.
Apotheker: Template KNMP
VVT: Template Actiz
Templates Verbeter-register
In deze template kun je interne afwijkingen en verbeteringen registreren die gedurende de uitvoering van de PDCA cyclus worden gesignaleerd, inclusief de uitvoering van de Root cause analyse. Het verschil tussen het actieplan uit vorige punt en het verbeterregister in dit punt is dat het actieplan is bedoeld voor de initiële inrichting van NEN 7510 (change) en het verbeterregister gebruikt wordt als de inrichting is voltooid (run).
Apotheker: Template KNMP
VVT: Template Actiz
Opstellen Operationele Planning
Uitleg
Om de Plan-Do-Check-Act cyclus die je in de vorige stappen hebt doorlopen te borgen, maak je een jaarplanning. Daarin leg je de activiteiten vast die nodig zijn om de PDCA cyclus (het Information Security Management Systeem, ISMS) blijvend te borgen. Daarnaast helpt de planning om key beheersmaatregelen periodiek uit te voeren/ te monitoren, zoals bewustzijn/ bewustwording, leveranciersbeoordelingen, autorisatiecontrole, logging controle.
Template Operationele Planning ISMS en beheersmaatregelen
Deze template kun je gebruiken voor het opstellen van de operationele planning. Sommige kwaliteitssystemen bieden de mogelijkheid om deze daarin op te nemen. Kijk wat passend is voor jouw zorgorganisatie.
Apotheker: Template KNMP
VVT: Template Actiz
Uitvoeren interne audit en Management review
Uitleg
Na het doorlopen van alle voorgaande stappen, bent je klaar om aan de slag te gaan met het implementeren van de maatregelen en kun je tussentijds de werking van alle onderdelen van het ISMS toetsen in een interne audit.
Templates voor interne audit en management review
Hier vind je templates en handleidingen die je helpen om de zaken die je in de vorige stappen heeft vastgesteld en ingericht te borgen, te monitoren en op peil te houden.
Apotheker: Template KNMP
VVT: Template ActiZ
Voor alle templates geldt: Samen met de verschillende koepels worden de templates op maat gemaakt en beschikbaar gesteld op de besloten omgeving van hun websites. De documenten voor de Huisartsen bevinden zich in de validatie-fase en worden binnenkort gepubliceerd. De documenten voor de Zelfstandige klinieken en GGZ zijn in ontwikkeling.
Heb je meer vragen over de module Informatiebeveiliging? Bekijk hier wie jij kan benaderen in jouw regio.
Maak gebruik van onze hulpmiddelen
Ga aan de slag met onze toolkit! Hier vind je heldere uitleg, handige stappenplannen, infographics, korte explainer video’s en concrete praktijkvoorbeelden. Handig om zelf te gebruiken of te delen binnen je organisatie.
Vragen?
We hebben hieronder de meest gestelde vragen over dit onderwerp voor je verzameld. Grote kans dat je hier al het antwoord vindt dat je zoekt en anders helpen we je graag verder!
Hoe kan ik als zorgaanbieder in aanmerking komen voor ondersteuning?
Wij werken in regionaal verband. Bij voorkeur wordt vanuit een bestaand regionale samenwerkings-verband een regio-projectleider geworven. Deze zal alle sectoren benaderen om de behoefte te polsen en om eventueel gewenste ondersteuning te organiseren samen met de regionale branche-organisaties.
Welke kosten zijn er verbonden aan een NEN 7510-ondersteuningstraject door Booozt?
De expertise en de materialen die aan de zorgaanbieders in de regio’s ter beschikking worden gesteld, worden gefinancierd door Zorgverzekeraars Nederland.
Ondersteunen jullie ook voor de NIS2/CyberBeveiligings Wet (CBW)?
De CBW beschrijft 4 plichten, waarvan de Zorgplicht een belangrijke is. Deze bestaat grofweg uit het voldoen aan de NEN 7510 en een Bestuurderstraining (moet uw bestuurder hebben doorlopen uiterlijk april 2028). Deze laatste wordt door velerlei commerciële partijen aangeboden, maar wordt ook ontwikkeld door de gezamenlijke Nederlandse koepelorganisaties in de zorg.