ZNO behaalt ISO27001 en NEN7510 certificering
‘Zorgkenners is al jaren ons klankbord’
ZorgNetOost, een regionale samenwerkingsorganisatie (RSO) in de regio Twente en omstreken, doorliep succesvol de audit voor de NEN 7510 en ISO 27001. De informatiebeveiligingscertificaten zijn behaald, mede dankzij de ondersteuning van Zorgkenners.
ZorgNetOost hecht veel waarde aan privacy en informatiebeveiliging. Dat de organisatie certificering voor NEN 7510 en ISO 27001 wilde behalen, mag dan ook geen verrassing heten. Lian Vree Egberts, Projectleider en Privacy en Security Officer bij ZorgNetOost, vertelt: “De basis voor de NEN 7510 is al gelegd in 2015/2016. Huibert Bouthoorn van Zorgkenners heeft ons toen geholpen met de voorbereiding op de audit. Dat beviel zo goed, dat we het contact met de organisatie hebben aangehouden.”
Uitbouwen
De NEN 7510 is een mooie basis. Van hieruit pakte ZorgNetOost de certificering rondom informatiebeveiliging verder op. Vree Egberts: “We beheren het XDS (Cross-enterprise Document Sharing)-netwerk in de regio. Steeds meer wordt er gekoppeld met andere regio’s. Dat vraagt om een zeer goede beveiliging van vaak gevoelige informatie. Ook voor ons portaal MijnZorgNetOost is dit uitermate belangrijk.”
ZorgNetOost wilde niet alleen blijven voldoen aan de zorgspecifieke NEN 7510 – er worden steeds meer eisen gesteld – maar ook breder kijken. Om bijvoorbeeld een Goedbeheerd Zorgnetwerk (GZN) te kunnen zijn of een knooppunt voor Twiin, is de ISO 27001 een harde eis. “Omdat de normen zo dicht bij elkaar liggen, lag het voor de hand om beiden in een keer te certificeren”, zegt Lian Vree Egberts.
Pre assessment
Hoe zorgen we ervoor klaar te zijn voor de audit? Wat hebben we in huis en nog niet? Vragen die Lian Vree Egberts begin 2020 aan Huibert en zijn collega Han Zuidinga voorlegde. “Zij hebben toen een pre assessment gedaan op mijn documentatie”, vertelt ze. “Die status update was superfijn. Het stelde mij in staat om heel gefaseerd toe te werken naar de audit, die we vervolgens begin november hebben gehad en succesvol was.”
Ze vult aan: “Eigenlijk is Huibert al jaren mijn klankbord. Als ik een vraag heb, dan bel ik hem.”
Continu proces
De certificaten zijn binnen. Hoe nu verder? Lian Vree Egberts: “Elk jaar zijn we verplicht een audit te doen. Informatiebeveiliging kenmerkt zich door continue verbetering. Dus we moeten blijven monitoren en bijsturen. Zo zijn we nu bijvoorbeeld bezig met het optimaliseren van ons wachtwoordbeleid.”
Continu proces
Uiteraard blijft ook Zorgkenners betrokken. “De samenwerking ervaar ik als zeer prettig. Zorgkenners begrijpt dat we een kleine organisatie zijn en alles werkbaar moet blijven. Ze kijken naar wat reëel is en denken met ons mee”, aldus Vree Egberts tot slot.
NEN 7510 en ISO 27001, wat is het verschil?
Zowel de NEN 7510 als de ISO 27001 zijn normen voor informatiebeveiliging. NEN 7510 legt de focus volledig op patiëntgegevens, terwijl ISO 27001 de focus legt op de informatie die een organisatie aanmerkt als waardevol. Alle zorginstellingen, ongeacht omvang of aard van de bedrijfsprocessen, moeten voldoen aan NEN 7510. NEN 7510 ‘Medische informatica – Informatiebeveiliging in de zorg’ is een Nederlandse norm. In de norm is de High Level Structure (HLS) opgenomen, waardoor NEN 7510 compatibel is met andere managementsysteemnormen die de HLS volgen. ISO 27001 is een algemene norm voor informatiebeveiliging en niet specifiek bedoeld voor zorginstellingen.
