23.11.2020

NVZ Gedragslijn Toegangsbeveiliging digitale patiëntendossiers van kracht: ziekenhuizen nu aan de slag met de assurance

Uit cijfers van de Autoriteit Persoonsgegevens (AP) blijkt dat er jaarlijks meer datalekken bijkomen. De verwachting is dat dit de komende jaren niet afneemt. Van de gemelde 27.000 datalekmeldingen is 28% afkomstig uit de zorgsector. Vanuit de Algemene Verordening Gegevensbescherming (AVG) zijn ziekenhuizen verplicht om passende technische en organisatorische maatregelen te treffen om persoonsgegevens van medewerkers en patiënten te beveiligen. Alle wettelijke eisen over passende technische en organisatorische maatregelen binnen de ziekenhuizen zijn door de Nederlandse Vereniging voor Ziekenhuizen (NVZ) gebundeld in de Gedragslijn Toegangsbeveiliging digitale patiëntendossiers. De gedragslijn is zowel op de AVG gebaseerd als op de NEN 7510.

Hoe nu verder?

Om zorginstellingen te ondersteunen bij de invoering van de gedragslijn, heeft de NVZ de Routekaart WGZ ontwikkeld. Hierin is per stap beschreven welke informatiebeveiligingseisen geïmplementeerd moeten worden om te voldoen aan de wettelijke eisen omtrent de toegang tot digitale patiëntendossiers.

Wat zegt mijn NEN 7510 certificaat?

Alle ziekenhuizen die NEN 7510 gecertificeerd zijn moeten kunnen aantonen dat alle specifieke eisen in de gedragslijn binnen de scope van het certificaat vallen. De Gedragslijn wordt nu als toetsingskader gehanteerd. Is jouw organisatie nog niet NEN 7510 gecertificeerd? Dan dienen in ieder geval alle eisen uit de Gedragslijn geïmplementeerd te worden.

Tijdlijn van de routekaart

Sinds oktober 2020 hebben ziekenhuizen de mogelijkheid om self-assessments en nulmetingen uit te voeren. Met ondersteuning van NVZ worden ziekenhuizen nu voorbereid op de uitvoering van de self-assessments en nulmetingen. Eind dit jaar delen ziekenhuizen de uitkomst van de self-assessments en nulmetingen met NVZ. De worden vervolgens voorgelegd aan het NVZ- en NFU bestuur. Op basis van de uitkomst van de self-assessments en nulmetingen, is er ruimte voor organisaties om eventuele gaps te implementeren en formele assurance audits in te plannen. Tijdens de assurance audit wordt de Gedragslijn getoetst door een getrainde RE-auditor. De assurancerapportage van de betreffende RE-auditor moet voor eind mei 2021 gedeeld zijn met NVZ. Uiterlijk op 1 juli 2021 wordt de geanonimiseerde rapportage gepresenteerd aan de AP.

SafeHarbour biedt hulp met de assurance van de Gedragslijn

SafeHarbour is als kennisexpert op gebied van informatiebeveiliging en privacy actief in de zorg. Zowel de NEN 7510 en AVG zijn voor onze auditoren bekend terrein. Zij hebben meerdere jaren, ook op uitvoerend gebied, invulling gegeven aan de implementatie van Informatiebeveiliging in de Zorg. Benieuwd hoe wij je kunnen helpen met de assurance van de Gedragslijn? Neem contact met ons op voor een vrijblijvend gesprek.