Norea logo

Samenwerking NVZ en NOREA bij beoordeling toegangsbeveiliging digitale patiƫntendossiers

De invoering van de AVG en het hanteren van NEN7510 als toezichtkader voor de informatiebeveiliging in de zorg door de AP, vergt een nadere specificatie en uitwerking van de normen die in dat verband moeten worden gehanteerd. Dat is de achtergrond van de in gang gezette ontwikkeling van een gedragslijn voor de zorginstellingen ten behoeve van de beveiliging van de toegang tot digitale patiëntendossiers (EPD’s) door de Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Nederlandse Federatie van Universitair Medische centra (NFU), in overleg met de Autoriteit Persoonsgevens (AP). Daarmee wordt ook voorkomen dat elk ziekenhuis ‘eigen interpretaties’ van de normeisen gaat opstellen en hanteren.

De ontwikkelde gedragslijn is onderdeel van de recent door de NVZ/NFU gepubliceerde (concept) Routekaart. Deze Routekaart omvat naast de Gedragslijn ook een planning en een overzicht van de gemaakte bestuurlijke afspraken. De Gedragslijn beperkt zich inhoudelijk vooralsnog tot 4 beheersmaatregelen uit de NEN 7510 (autorisatie, authenticatie, (controle op) logging en bewustwording van de medewerkers) en niet de volledige implementatie van de NEN7510. De verwachting is dat de gedragslijn in september 2020 als beleidskader tussen de AP en NVZ/NFU wordt vastgesteld.

Nadat de gedragslijn als beleidskader door de AP en NVZ/NFU is vastgesteld wordt in overleg met NOREA, de beroepsorganisatie van IT-auditors, een auditaanpak ontwikkeld op basis waarvan de implementatie van deze gedragslijn bij de instellingen wordt beoordeeld aan de hand van een ‘nulmeting’ en een toetsingskader dat moet resulteren in een assurance-rapport. Een handreiking voor de IT-auditors met de toetsingscriteria voor de nulmeting en vervolgens een eenmalig uit te voeren assurance-opdracht, wordt afgestemd met de Vaktechnische Commissie van de NOREA. Daarna zal voor de auditors een training/instructie plaatsvinden ter toelichting op deze handreiking en auditaanpak. IT-auditors, ingeschreven in het NOREA-register, kunnen zich dan desgewenst kenbaar maken als beschikbaar om deze opdrachten uit te voeren door middel van een soortgelijk overzicht zoals dat ook wordt gebruikt voor de audits in verband met het Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional (VIPP), dat ten behoeve van de zorginstellingen wordt uitgevoerd door het Ministerie van VWS.