Als (private) zorginstelling sta je al snel voor uitdagingen op IT-gebied rondom zorgsoftware en zorgsystemen, zoals EPD’s, HR-systemen en andere medische informatiesystemen. Wet- en regelgeving stelt strenge eisen aan informatiebeveiliging, en in Nederland geldt bijvoorbeeld de NEN 7510-standaard voor de zorgsector. Daarbij letten patiënten en hun belangenbehartigers steeds scherper op de bescherming van privacy. Natuurlijk is dit allemaal voor de goede zaak; de afgelopen jaren zagen we helaas tal van serieuze security-incidenten in de zorg.
Toch hoeft informatiebeveiliging in de zorg geen groot probleem te zijn voor kleinere zorginstellingen, ook niet als je werkt met meerdere zorgsystemen en gevoelige patiëntgegevens. Met een slimme en doordachte aanpak kun je ook zonder aparte security-afdeling je beveiliging op orde hebben.
Wat betekent NEN 7510 in de praktijk voor zorgsoftware en zorgsystemen?
In de praktijk wil je vooral weten of de veiligheid van je zorgsystemen, zoals je EPD, HR-systemen en andere medische informatiesystemen, goed is ingericht. Juist in de zorg werk je met zeer gevoelige patiëntgegevens en is het essentieel dat deze gegevens beschermd, juist en beschikbaar zijn.
Dat roept hele concrete vragen op. Welke patiëntgegevens worden waar opgeslagen? Welke zorgsoftware gebruik je waarvoor? Wie heeft toegang tot welke systemen en waarom? En hoe zorg je dat informatie altijd betrouwbaar blijft, ook als systemen onder druk staan?
Daarnaast kijk je tactisch naar risico’s. Waar loop je als organisatie echt gevaar? Wat betekent een storing of uitval van een systeem voor de zorgverlening? En hoe ga je daarmee om als het toch misgaat?
Rondom deze keuzes kun je een ISMS (Information Security Management System) inrichten. De NEN 7510 biedt hiervoor een praktisch kader met noodzakelijke maatregelen en de mogelijkheid om dit extern te laten toetsen.
Net als ISO 27001 geeft NEN 7510 daarmee houvast en toetsbaarheid, zonder dat het een theoretische exercitie wordt. Het helpt zorgorganisaties om informatiebeveiliging structureel en werkbaar te organiseren.
Van impliciet naar expliciet werken met informatiebeveiliging in de zorg
Hierbij spelen verantwoordelijkheden en continuïteit bij storing en uitval een centrale rol. In kleinere organisaties is veel impliciet geregeld. Dat werkt vaak prima zolang alles rustig blijft. Maar zodra iemand vertrekt, een systeem uitvalt, er sprake is van storing of uitval, of een ketenpartner vragen stelt, merk je hoe afhankelijk je bent van mensen en aannames.
NEN 7510 helpt om die impliciete afspraken expliciet te maken. Door vast te leggen wie waarvoor verantwoordelijk is en hoe keuzes tot stand komen. Dat zorgt voor rust, duidelijkheid en overzicht.
Incidenten, hacks en uitval binnen zorgsystemen
Daarbij zijn thema’s als 2FA, het gebruik van een Authenticator, spam en menselijk handelen bepalend voor de dagelijkse praktijk. Incidenten* horen nu eenmaal bij werken met een IT-landschap vol systemen, apparaten en verbindingen. Zulke omgevingen zijn per definitie complex; een kleine vergissing is zo gemaakt.
* de term die binnen compliance wordt gebruikt voor problemen zoals hacks, spam, storingen of uitval
In de praktijk zijn “hacks” vaak niet meer dan een kwaadwillende die de IT beheerders op foutjes weten te betrappen. Een technische achterdeur die nog open staat, te laat geupdate software, of te weinig controle over databestanden. Hoe meer applicaties, hoe sneller een dergelijke fout er in sluipt. Nog niet gesproken over medewerkers die wachtwoorden op papier of mail delen. Of met zijn alle gebruik maken van 1 gezamenlijk account.
In de praktijk is het zelden een gerichte hack door een externe aanvaller. Veel vaker gaat het om een medewerker die per ongeluk patiëntgegevens openbaar maakt, te maken krijgt met spam, of onvoldoende gebruikmaakt van beveiligingsmaatregelen zoals 2FA of een Authenticator. onbedoeld op ‘reply all’ klikt of een USB-stick laat liggen. NEN 7510 voorkomt niet dat fouten gebeuren, maar verandert wel hoe je er als organisatie mee omgaat.
Door vooraf na te denken over risico’s, logging, monitoring en hoe je incidenten afhandelt, weet iedereen wat er moet gebeuren. Dat maakt het makkelijker om snel te handelen, problemen op te lossen en (misschien wel het belangrijkste) ervan te leren.
In de zorg zie je vaak dat de voordeur goed op slot zit: firewall, back-ups, beleid op papier. Maar de echte risico’s ontstaan in de praktijk. Een MRI-scanner die ooit ‘tijdelijk’ is aangesloten op het netwerk, een specialistische applicatie zonder updates, of een gedeeld account omdat twee-factor authenticatie in de hectiek van de zorg onhandig voelt.
Door het enorme landschap aan verschillende systemen én de tijdsdruk in de zorg, sluipen kwetsbaarheden er sneller in dan organisaties zelf doorhebben. Een incident is zelden een Hollywood-hack; het is meestal een optelsom van kleine, begrijpelijke keuzes die samen tóch een lek vormen.
Martijn Sprengers – Professioneel hacker & Founder Tidal Control
Samenwerken met een NEN 7510-gecertificeerde softwarepartner in de zorg
In die samenwerking zijn afspraken, een goed ingericht ISMS en grip op zorgsoftware essentieel. Samenwerken met een softwarepartner voor zorgsoftware die processen zoals changemanagement, incidentmanagement, logging en business continuity al goed heeft ingericht, biedt directe voordelen. Zo’n partner heeft ervaring met het vastleggen van verantwoordelijkheden en procedures en beschikt over beproefde oplossingen voor onverwachte situaties.
Hierdoor hoef je als kleine organisatie niet zelf het wiel uit te vinden, maar profiteer je van bestaande best practices. Het resultaat: meer grip, minder zorgen en altijd een partij die meekijkt als het spannend wordt. Zo bouw je samen aan een solide basis voor veilige en betrouwbare zorg-IT.
NEN 7510 bij CBYTE
Als softwarebedrijf voor de zorg werken wij met meerdere klanten, zorgsystemen, EPD’s, HR-systemen en omgevingen. Dat maakt informatiebeveiliging complex, maar ook heel concreet. De implementatie van NEN 7510 heeft ons geholpen om hier structuur, rust en voorspelbaarheid in aan te brengen.
Voor ons betekent NEN 7510 dat informatiebeveiliging geen los project is, maar een vast onderdeel van hoe wij zorgsoftware ontwikkelen, beheren en doorontwikkelen. Rollen en verantwoordelijkheden zijn helder belegd, leveranciers en afhankelijkheden zijn inzichtelijk en met behulp van ISMS-tooling, logging en monitoring houden we overzicht zonder dat het dagelijkse werk vertraagt.
Een logisch en noodzakelijk onderdeel van professioneel software bouwen en beheren voor de zorg.
Compliance en security hoeft dus niet ingewikkeld te zijn. Door samen te werken met gespecialiseerde partners, zoals Tidal Control, hebben we compliance beheersbaar gemaakt. Dat geeft ons de ruimte om te focussen op wat voor onze klanten het belangrijkst is.
Voor ons is NEN 7510 daarmee geen vinkje of verplichting, maar een logisch en noodzakelijk onderdeel van professioneel software bouwen en beheren voor de zorg.
In de zorg ben je altijd onderdeel van een grotere keten. Ook als je niet zelf direct patiëntgegevens verwerkt, kun je wél bepalend zijn voor hoe veilig die data uiteindelijk is.
Je kunt niet alles 100% beveiligen. Wat CBYTE goed doet, is bewust kiezen waar ze hun beveiligingsinspanningen op richten. Met een strak ingericht ISMS en de combinatie van ISO 27001 en NEN 7510 kunnen ze richting ketenpartners aantoonbaar maken dat informatiebeveiliging geen bijzaak is.
Martijn Sprengers – Professioneel hacker & Founder Tidal Control
Conclusie: grip op informatiebeveiliging in de zorg
Je wilt vooral zekerheid: je EPD is veilig en patiëntgegevens zijn beschermd. Dat bereik je niet met losse maatregelen of dikke rapporten, maar met een doordachte aanpak en een leverancier die zorgorganisaties begrijpt.
NEN 7510 helpt om zorgsoftware, medische informatiesystemen en verantwoordelijkheden logisch te organiseren. Het geeft houvast bij vragen over toegang, uitval, incidenten en continuïteit, zonder dat informatiebeveiliging een rem wordt op het dagelijkse werk.
Het gaat dus niet om het ‘doen van compliance’, maar om praktisch werken aan betrouwbare zorgsystemen. Door klein te beginnen, slim samen te werken en gebruik te maken van de juiste ondersteuning blijft het overzichtelijk, werkbaar en weet je waar je staat als het erop aankomt.
