Skip to Content
NEN 7510Voor huisartsenpraktijken

NEN 7510 voor huisartsenpraktijken

Een huisartsenpraktijk verwerkt elke dag gezondheidsgegevens van honderden patiënten. De IGJ  en Autoriteit Persoonsgegevens  houden toezicht op de naleving van NEN 7510  als de maatstaf voor passende beveiliging. Wat moet een huisartsenpraktijk in de praktijk regelen, en wanneer is formele certificering zinvol?

Voor de bredere context over kleine praktijken lees ook NEN 7510 voor kleine praktijken. Deze pagina gaat specifiek in op de situatie van de huisartsenpraktijk: het HIS, het LSP, en de aanpak die past bij een kleine organisatie.

Moet een huisartsenpraktijk NEN 7510 certificeren?

Waarschijnlijk niet. Certificering is niet wettelijk verplicht. Wat verplicht is, is voldoen aan de beveiligingseisen die de norm beschrijft. Dat is een wezenlijk verschil.

De Wabvpz  verwijst via het Besluit elektronische gegevensverwerking naar NEN 7510. U moet passende maatregelen nemen om patiëntgegevens te beveiligen. NEN 7510 beschrijft wat “passend” is. Maar een formeel certificaat is niet vereist.

Voor de meeste solopraktijken en kleine groepspraktijken geldt: voldoen aan de inhoud van de norm is het doel, niet het certificaat. De inspanning staat anders niet in verhouding tot de organisatieomvang.

Sluit u aan bij een regionale huisartsenorganisatie (ROHA/RHO) of hagro die een gezamenlijk informatiebeveiliging-systeem beheert? Dan profiteert u mogelijk van hun certificering. Check bij uw regionale organisatie wat zij aanbieden.

Aansluiting op het LSP en NEN 7510

Het Landelijk Schakelpunt (LSP) is de nationale infrastructuur voor het uitwisselen van patiëntgegevens tussen huisartsen, apotheken en andere zorgverleners. Deelname aan het LSP stelt eisen aan informatiebeveiliging.

Voor aansluiting op het LSP geldt dat uw HIS-leverancier gecertificeerd moet zijn en dat uw organisatie voldoet aan de beveiligingseisen van de VZVZ (Vereniging van Zorgaanbieders voor Zorgcommunicatie). De technische beveiliging van de LSP-communicatie valt grotendeels onder de verantwoordelijkheid van uw HIS-leverancier, die moet voldoen aan NEN 7512 voor de gegevensuitwisseling.

Uw eigen verantwoordelijkheid als praktijk blijft: zorgdragen dat het systeem correct is geconfigureerd, dat alleen bevoegde medewerkers toegang hebben, en dat u weet hoe u handelt bij incidenten.

Uw HIS-leverancier: de meest kritieke keuze

Voor een huisartsenpraktijk is de keuze van HIS-leverancier de meest impactvolle beslissing voor informatiebeveiliging. De grote HIS-leveranciers in Nederland (Medicom, Promedico, CGM en anderen) zijn NEN 7510 gecertificeerd of werken aan certificering.

Controleer dit bij uw leverancier. Vraag niet alleen om het certificaat, maar ook om uitleg: wat valt onder hun certificering en wat is uw eigen verantwoordelijkheid?

Typisch valt onder de leverancier: de beveiliging van het systeem zelf, de hosting en infrastructuur, logging van systeemacties, back-upbeheer van de applicatielaag.

Typisch blijft uw verantwoordelijkheid als praktijk: de organisatorische maatregelen (beleid, training), de werkplekinrichting, de toegangsrechten en wachtwoorden, de fysieke beveiliging van de praktijk.

Wat een huisartsenpraktijk zelf moet regelen

De kern van NEN 7510 voor een huisartsenpraktijk is beheersbaar. Dit zijn de zaken die u zelf moet regelen, ongeacht wat uw leverancier doet.

Toegangsbeheer

Elke medewerker heeft een eigen inlogaccount voor het HIS. Geen gedeelde wachtwoorden. Medewerkers die de praktijk verlaten, krijgen direct hun toegang ingetrokken. Waarnemend huisartsen en stagiaires krijgen tijdelijke accounts die worden verwijderd als ze vertrekken.

Stel de schermvergrendeling in: de computer vergrendelt automatisch na een paar minuten inactiviteit. In de spreekkamer is dit essentieel: uw patiënt mag niet het scherm van de vorige patiënt zien.

Bewustzijn van medewerkers

Uw assistenten en medewerkers zijn de eerste verdedigingslinie. Zij ontvangen phishing-e-mails, krijgen telefoontjes van mensen die “van de IT” beweren te zijn, en kunnen per ongeluk patiëntgegevens naar het verkeerde adres sturen.

Bespreek minstens één keer per jaar de basisregels. Wat doen we met verdachte e-mails? Hoe melden we een incident? Wat mag niet met patiëntgegevens?

Incident- en datalekprocedure

U bent verplicht een datalek met patiëntgegevens te melden bij de Autoriteit Persoonsgegevens binnen 72 uur. Om dat te kunnen, moet u weten wanneer er sprake is van een datalek en wie u dan belt.

Schrijf dit op: de naam van de eerste contactpersoon bij uw HIS-leverancier, het nummer van de Autoriteit Persoonsgegevens, het nummer van Z-CERT  bij cyberincidenten.

Fysieke beveiliging

Sluit de praktijk af. Zorg dat onbevoegden geen toegang hebben tot de serverruimte of de computers. Vernietig papieren met patiëntgegevens via een papierversnipperaar of via een gecertificeerde vernietigingsdienst.

Een gestolen laptop met patiëntgegevens is een meldplichtig datalek. Encryptie van de laptop (via BitLocker of een vergelijkbare oplossing) is een eenvoudige maatregel die dit risico sterk vermindert. Controleer of uw praktijklaptops versleuteld zijn.

Logging in de huisartsenpraktijk: NEN 7513

NEN 7513 vereist dat toegang tot patiëntdossiers wordt gelogd. Uw HIS doet dit doorgaans automatisch: elke keer dat een medewerker een dossier opent, wordt dat vastgelegd.

Controleer bij uw leverancier of logging is ingeschakeld en of patiënten hun inzageverzoek kunnen honoreren. Als een patiënt vraagt wie in zijn dossier heeft gekeken, moet u dat kunnen vertellen.

Aanpak voor solopraktijken vs. groepspraktijken

Als solohuisarts bent u uw eigen informatiebeveiligingsfunctionaris. Zorg dat u gecertificeerde leveranciers heeft en ken de basisregels. Documenteer in een paar pagina’s wat u doet en hoe u handelt bij een incident.

Tijdsinvestering: een middag om het op orde te brengen, een uur per jaar voor onderhoud.

Kosten: vooral uw eigen tijd. Technische aanpassingen bij uw leverancier kosten soms extra.

Collectieve oplossingen en LHV-ondersteuning

U hoeft het wiel niet zelf uit te vinden. De LHV (Landelijke Huisartsen Vereniging)  heeft informatie en richtlijnen voor informatiebeveiliging specifiek voor huisartsen. Sommige regionale organisaties bieden gezamenlijke oplossingen.

NEN biedt gratis e-learning en een compliance-tool waarmee u kunt toetsen waar u staat. Dit is een laagdrempelig startpunt.

Wanneer is certificering wel zinvol?

Er zijn situaties waarbij formele certificering voor een huisartsenpraktijk toch de moeite waard is:

  • U levert diensten aan een grote zorginstelling die NEN 7510 van leveranciers eist
  • U werkt samen in een keten (bijv. een POH-S-constructie) waarbij de hoofdinstelling certificering vereist
  • U wilt uw praktijk uitbreiden of samenvoegen en een certificaat is een bewijs van kwaliteit
  • U wilt de zekerheid van een externe toetsing

In die gevallen zijn de kosten voor een kleine praktijk (zie de tabel op kosten en tijdlijn) beheersbaar, zeker als u goed wordt voorbereid door uw HIS-leverancier of een gespecialiseerde adviseur.

Meer lezen

Voor kleine praktijkenVoor GGZ-instellingen