Aanbiedingsbrief def.pdf - Norea

Aan: Leden van NVZ, NFU, GGZ Nederland, Revalidatie Nederland, Actiz en ZKN
Van: Stuurgroep ZekereZorg3
Betreft: Uitrol bètaversie Toetsingskader Informatieveiligheid in de Zorg
Datum: 15 oktober 2012
Inleiding
In Nederland is de NEN7510 is de norm voor informatiebeveiliging in de zorg. Na de
introductie bleek er behoefte aan objectieve en open landelijke toetsingscriteria om de
invoering en naleving van de NEN7510 in de praktijk te ondersteunen, te kunnen toetsen en
een instelling desgewenst te accrediteren of te certificeren. Hierop hebben het Nederlands
Instituut voor Accreditatie in de Zorg (NIAZ) en de Nederlandse Orde van Register Edpauditors
(NOREA) in december 2010 het initiatief genomen om een Toetsingskader voor de
Informatieveiligheid in de Zorg te ontwikkelen onder de projectnaam:ZekereZorg3.
De onafhankelijke audits die eind 2010 in opdracht van de Inspectie voor de Gezondheidszorg
(IGZ) bij de ziekenhuizen zijn uitgevoerd, bevestigden de behoefte aan open landelijke
toetsingscriteria. Deze audits zijn uitgevoerd aan de hand van het toetsingsreglement van de
Nederlandse Vereniging van Ziekenhuizen van 19 april 2010.
Ook bleek behoefte aan de invulling van een aantal leemten in de NEN7510:2011. In de
toetsingscriteria zijn zaken vermeld die vanuit de medische apparatuur en patiëntveiligheid
relevant zijn. Tevens zijn de wet- en regelgeving welke van toepassing is op de
informatiebeveiliging in de zorg uitgewerkt en worden extra toelichtingen verstrekt voor de
toetsingscriteria die van toepassing zijn op de interne- en externe uitbesteding van ICT
diensten. In een afzonderlijke excel-spreadsheet is voorzien om sorteringen te maken voor
welke partij of welk organisatieonderdeel binnen een instelling de toetsingscriteria relevant
zijn.
De nu voorliggende bètaversie van het Toetsingskader Informatieveiligheid in de Zorg bestaat
uit:
- Handleiding & Toetsingscriteria bètaversie 15 oktober 2012 (PDF)
- Bijlage A: Beheersmaatregelen & Toetsingscriteria bètaversie 15 oktober 2012
(PDF)
- Bijlage B: Beheersmaatregelen & Toetsingscriteria bètaversie 15 oktober 2012
(Excel)
Bovengenoemde documenten zijn ook te downloaden van de websites van NIAZ
(www.niaz.nl) en NOREA (www.norea.nl). Vanwege auteursrechtelijke bescherming is met
NEN afgesproken dat bovengenoemde documenten uitsluitend mogen worden gebruikt in
combinatie met de NEN7510:2011. Een instelling zal derhalve de NEN7510:2011 moeten
aanschaffen of moet het gebruik van de NEN7510:2011 hebben afgekocht (zoals bijvoorbeeld
door NVZ en NFU). Het gebruik van het Toetsingskader Informatieveiligheid in de Zorg is
gratis.

Voor wie bestemd?
Met NVZ, NFU, GGZ Nederland, Revalidatie Nederland, Actiz en ZKN hebben wij
afgesproken dat zij zullen zorgdragen voor de verzending van bovengenoemde documentatie
aan hun leden. Dit zijn doorgaans de Raden van Bestuur/Directies van de instellingen die lid
zijn van de koepels. Zij kunnen vervolgens de documentatie verstrekken aan de voor
informatieveiligheid verantwoordelijke afdeling/functionaris.
Wat vragen wij van u?
Vanuit het project hebben wij ons ten doel gesteld om eind januari 2013 de versie 1.0 van de
Landelijke Toetsingscriteria NEN7510:2011 beschikbaar te stellen. Wij vragen u om ons in de
periode vanaf heden tot 15 januari 2013 uw feedback te geven. Hiervoor is een speciale
helpdesk in het leven geroepen die te bereiken is op het volgende mailadres: help@dutch.nl.
Uw vragen en opmerkingen worden door een panel van deskundigen behandeld. De
beantwoording vindt plaats binnen 7 werkdagen. Op de sites van NIAZ en NOREA worden
de meest voorkomende Q&A’s geplaatst.
Toekomstig tijdpad
Vanuit het streven om het aantal audits dat zorginstellingen ondergaan, te beperken, zal het
NIAZ de Landelijke Toetsingscriteria NEN7510:2011 onderdeel laten zijn van de
Kwaliteitsnorm Zorginstelling waartegen zorginstellingen worden geaccrediteerd. Een
zorginstelling zal voor de accreditatie worden verzocht de resultaten een interne audit tegen
het Toetsingskader Informatieveiligheid in de Zorg te overleggen. Als de instelling daar zelf
voor kiest, kan deze interne audit ook worden uitgevoerd of ondersteund met externe
deskundigheid. Het NIAZ zal de resultaten van deze audit toetsen en meenemen in haar
oordeel voor de accreditatie over het onderdeel ‘informatieveiligheid’.
De stuurgroep gaat ervan uit dat instellingen twee jaar nodig hebben om zich goed voor te
bereiden op het gebruik van de Landelijke Toetsingscriteria. Dit betekent dat het NIAZ de
ziekenhuizen vanaf 1-1-2015 zal vragen om de resultaten van de interne audit te
overhandigen. Daarmee zullen de laatste ziekenhuizen per 31 december 2018 worden getoetst
op de gebruikmaking van het Toetsingskader Informatieveiligheid in de Zorg.
Voor instellingen die niet door NIAZ worden geaccrediteerd adviseren wij 2013 en 2014 te
gebruiken om het Toetsingskader Informatieveiligheid in de Zorg te implementeren of zoveel
eerder als dat past in het tempo wat een instelling hanteert voor toetsingen of
certificeringen/accreditaties ter zake van informatieveiligheid.

Tenslotte
NIAZ en NOREA verwachten met de realisatie van het Toetsingskader Informatieveiligheid
in de Zorg een significante bijdrage te hebben geleverd aan het verbeteren van de kwaliteit
van de informatieveiligheid inclusief de patiëntveiligheid in de zorg in Nederland.
Voor meer informatie over het project kunt u contact opnemen met Nico Huizing,
projectleider. Hij is te bereiken via nico@dutch.nl of 0647225845.