De Nederlandse Vereniging van Ziekenhuizen (NVZ) en de
Nederlandse Federatie van Universitair Medische centra (NFU) hebben
samen een Routekaart opgesteld en opgenomen in een beleidskader om als
sector stappen te kunnen zetten. Het einddoel is een sector brede
kwaliteitsverbetering te realiseren naar minimaal het niveau van de NEN
7510 standaard. Dit sluit aan op de eis te voldoen aan de NEN 7510
standaard (en aansluitende standaarden) die is vastgelegd in een
wettelijk besluit en regeling. De Routekaart vraagt om twee audits die
Secura levert.
NVZ Gedragslijn Audit
De NVZ en NFU hebben bestuurlijke afspraken met de Autoriteit
Persoonsgegevens (AP) voor een ‘Gedragslijn Toegangsbeveiliging digitale
patiëntendossiers’ (en het bijbehorende auditkader). Onderdeel van deze
afspraak is dat aangesloten organisaties zich laten auditen door een
gekwalificeerde RE (Register EDP Auditor) om vast te stellen of de
minimaal beoogde beveiligingsmaatregelen aanwezig zijn. De te hanteren
normen zijn vastgelegd in het auditkader van de Gedragslijn
Toegangsbeveiliging digitale patiëntendossiers en betreffen:
- Authenticatie
- Autorisatie
- Logging
- Monitoring
- Bewustzijn
Eventuele tekortkomingen moeten worden opgevolgd en weer
geverifieerd. Het betreft een Assurance audit gericht op het geven van
een oordeel met redelijke mate van zekerheid volgens de Richtlijn 3000
voor Assurance opdrachten van de NOREA.
Nulmeting NEN 7510
Met een nulmeting kan een organisatie aantonen dat zij ‘in control’
is op informatiebeveiliging en/of inzichtelijk krijgen waar nog
verbeteringen zijn te realiseren. De standaard hiervoor is de NEN 7510.
Deze nulmeting beslaat 4 stappen:
- Scope
- Inventarisatie en meten
- Analyse
- Rapporteren
In de rapportage vindt u de belangrijkste bevindingen samengevat en
de samenhangende risico’s toegelicht met een heat map. Deze ondersteunt
bij het prioriteren van verbetermaatregelen en het inzichtelijk maken
van verbeteringen aan de hand van de deltametingen. Samen met de Auditor
stelt de organisatie een actiepunten lijst op. De integrale bevindingen
en acties zijn opgenomen in een bijlage en worden verstrekt in een
Excelbestand.
Hoe kan Secura helpen?
Een bij de NOREA ingeschreven IT Auditor (RE) van Secura, met
specifieke deskundigheid in de sector, is verantwoordelijk voor de
uitvoering van de audits.
Secura biedt de volgende diensten:
- NVZ Gedragslijn Audit
- Nulmeting NEN 7510