Een feestelijk moment: afgelopen donderdag kregen we officieel de NEN 7510-certificering uitgereikt. Daarmee tonen we aan dat informatiebeveiliging en privacy binnen onze organisatie goed zijn ingericht en continu worden verbeterd. We spraken hierover met Rick van den IJssel, CISO bij Zorg bij jou en kartrekker van dit traject, en Siebren van der Kooij, directeur van Zorg bij jou.
“Het is eigenlijk een officieel keurmerk,” vertelt Rick. “We laten hiermee zien dat we alles in werking hebben gesteld om informatie zo veilig mogelijk te verwerken, volgens de geldende richtlijnen en wetgeving. Voor patiënten, zorgverleners en samenwerkingspartners biedt dat extra zekerheid over dat gegevens bij ons in veilige handen zijn.”
Wat is NEN 7510?
NEN 7510 is de norm voor informatiebeveiliging in de zorg. De certificering is gebaseerd op de internationale ISO 27001-standaard, aangevuld met extra eisen voor de zorgsector. Ziekenhuizen en andere zorgorganisaties werken met deze norm. Ook voor Zorg bij jou is het altijd belangrijk geweest om aan te tonen dat processen rondom privacy en informatiebeveiliging goed georganiseerd zijn.
Rick: “Wij werken dagelijks met medische gegevens en persoonsgegevens. Daar moet je extra zorgvuldig mee omgaan. Patiënten en zorgverleners moeten erop kunnen vertrouwen dat hun gegevens veilig zijn.”
Intensief traject
Het behalen van de certificering was geen eenvoudige kwestie, maar vroeg maanden aan voorbereiding en intensieve samenwerking. Samen met ICTRecht hebben we een plan opgesteld om stap voor stap toe te werken naar de certificering. Daarbij werd eerst gekeken naar wat er al stond, welke risico’s er waren en waar verbeteringen nodig waren.
Rick: “In mei vorig jaar hebben we een uitgebreide risico-inventarisatie gedaan. Vanuit daar zijn prioriteiten gesteld. Vervolgens hebben we samen met verschillende teams beleid opgesteld, processen ingericht en verbeteringen doorgevoerd.”
Ook de samenwerking met de CISO’s en privacyfunctionarissen van de Santeon ziekenhuizen speelden hierin een belangrijke rol. Zij fungeerden tijdens dit hele traject als sparringpartner en kritische vraagbaak.
Continu verbeteren
Volgens Rick draait NEN 7510 niet om een eenmalig project, maar om blijvende aandacht voor informatiebeveiliging. “We controleren continu of processen goed werken en waar verbetering nodig is.” Dat betekent onder andere risico’s monitoren, processen evalueren, snel reageren op incidenten en medewerkers trainen.
Vooral dit laatste is extra belangrijk benadrukt Rick: “Kwetsbaarheden zijn meestal de ingang van een hacker. Denk hierbij aan phisingmails die kunnen zorgen voor grote datalekken. Met behulp van een maandelijks trainingsprogramma creëren we hier steeds meer bewustwording voor.”
Inmiddels is deze bewustwording duidelijk gegroeid: “Collega’s stellen scherpere vragen en denken actief mee over privacy en informatiebeveiliging,” gaat Rick verder.
Trots op het resultaat
Aan het behalen van de certificering gingen meerdere audits vooraf. Deze werden afgenomen door Brand Compliance. Daarbij werd kritisch gekeken naar beleid, werkwijzen en de praktijk. Er werden alleen enkele kleinere verbeterpunten gevonden, vooral rondom documentatie en beleid.
Grote tekortkomingen werden niet gevonden. Rick: “We hebben laten zien dat het beleid dat we hebben niet alleen op papier staat, maar ook daadwerkelijk wordt uitgevoerd en gedragen binnen de organisatie.”
Hoewel het traject intensief was, overheerst vooral trots. Volgens Rick is het behalen van de certificering echt een gezamenlijke prestatie: “Dit hebben we met elkaar gedaan. Samen blijven we bouwen aan veilige en betrouwbare zorgondersteuning.”
“Het behalen van de NEN 7510-certificering markeert een belangrijke stap in de ontwikkeling van Zorg bij jou,” vult Siebren aan. “Drie jaar geleden maakten we een vliegende start, door gebruik te maken van de ondersteunende systemen en processen in de Santeon ziekenhuizen. Inmiddels is dit overgegaan naar volledig eigen systemen en geborgde processen. Deze certificering laat zien dat we dat professioneel hebben ingericht. Als organisatie zijn we klaar om hybride zorg veilig verder op te schalen.”
Met dank aan alle collega’s en partners die hieraan hebben bijgedragen!
