HKZ en NEN 7510 combineren
HKZ borgt de kwaliteit van je zorgverlening, maar dekt informatiebeveiliging niet af. Daarvoor bestaat NEN 7510 — de Nederlandse norm voor informatiebeveiliging in de zorg, gebaseerd op ISO 27001 . Beide normen zijn goed te combineren in één managementsysteem, en dat bespaart aanzienlijk dubbel werk. Meer over NEN 7510 vind je bij NEN . De HKZ-normen worden beheerd door NEN .
Als zorgorganisatie werk je dagelijks met gevoelige patiëntgegevens. HKZ vertelt je hoe je de zorg goed organiseert. NEN 7510 vertelt je hoe je die gegevens beschermt. Beide zijn nodig; ze vullen elkaar aan.
Wat dekt HKZ wel en niet?
HKZ richt zich op het primaire zorgproces en de organisatie eromheen. De eisen van de HKZ-norm gaan over cliëntveiligheid, dossiervorming, incidentmeldingen en de PDCA-cyclus voor kwaliteitsverbetering.
Wat HKZ niet regelt:
- Hoe je patiëntgegevens beveiligt tegen ongeautoriseerde toegang.
- Hoe je omgaat met een datalek.
- Welke technische maatregelen je treft voor je ICT-systemen.
- Hoe je toegangsrechten beheert.
Dat laatste pakket valt onder informatiebeveiliging, en dat is het domein van NEN 7510.
Wat is NEN 7510?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm is gebaseerd op ISO 27001, maar specifiek toegespitst op de zorgsector. NEN 7510 beschrijft welke beveiligingsmaatregelen een zorgorganisatie moet nemen om patiëntgegevens te beschermen.
Een handig aspect: NEN 7510 is gratis beschikbaar via NEN Connect, gefinancierd door het ministerie van VWS. Je hoeft de norm niet te kopen om hem in te zien.
De AVG zegt wat je moet: persoonsgegevens passend beveiligen. NEN 7510 zegt hoe je dat inricht. Meer over die relatie lees je op NEN 7510 en de AVG.
Waarom beide normen?
Zorgorganisaties werken met bijzondere persoonsgegevens: medische dossiers, behandelplannen, medicatiegegevens. De AVG verplicht je om die gegevens passend te beveiligen. Maar de AVG geeft geen instructies over hoe.
NEN 7510 vult dat gat. De norm geeft concrete maatregelen voor vertrouwelijkheid, integriteit en beschikbaarheid van zorggegevens.
Concreet voorbeeld — GGZ. Een ambulante GGZ-instelling is HKZ-gecertificeerd. Tijdens een interne controle blijkt dat medewerkers elkaars behandeldossiers kunnen inzien, ook als ze geen behandelrelatie hebben. HKZ vraagt dat dossiers actueel zijn; NEN 7510 regelt dat alleen bevoegde medewerkers er toegang toe hebben. Beide normen zijn nodig om het compleet te maken. Lees meer op de pagina NEN 7510 voor GGZ-instellingen.
HKZ en NEN 7510 samen aanpakken
De twee normen overlappen op een aantal punten. Dat is een voordeel: je bouwt één managementsysteem dat aan beide voldoet.
| Aspect | Dekt HKZ | Dekt NEN 7510 |
|---|---|---|
| Kwaliteit van het zorgproces | Ja | Nee |
| Cliëntveiligheid en incidenten | Ja | Nee |
| Dossiervorming (inhoud) | Ja | Nee |
| Toegang tot dossiers (beveiliging) | Nee | Ja |
| Vertrouwelijkheid patiëntgegevens | Nee | Ja |
| Beschikbaarheid van ICT-systemen | Nee | Ja |
| PDCA-cyclus en verbetering | Ja | Ja |
| Directiebeoordeling | Ja | Ja |
| Interne audit | Ja | Ja |
| Risicobeheer | Ja | Ja |
De overlappende elementen — PDCA, directiebeoordeling, interne audit, risicobeheer — hoef je maar één keer in te richten. Je managementsysteem draagt zowel HKZ als NEN 7510.
Één geïntegreerd managementsysteem voor HKZ en NEN 7510 bespaart werk. Je doet één directiebeoordeling, één interne auditcyclus en één risicoanalyse. Alleen de specifieke inhoud verschilt per norm.