6 min leestijd

NEN 7510:2024 - Wat vraagt de nieuwe norm van zorgorganisaties qua e-mailbeveiliging?

Geplaatst door Rick Goud op 08 november, 2024

""

Het voldoen aan de NEN 7510 is wettelijke verplicht voor zorgorganisaties. De zorgsector staat voor grote veranderingen met de komst van de nieuwe NEN 7510:2024. Deze norm stelt strengere eisen aan het veilig verwerken en overdragen van gezondheidsinformatie. In dit artikel bespreken we de belangrijkste verplichtingen die zorgorganisaties moeten volgen om aan de nieuwe NEN 7510-norm te voldoen op het gebied van e-mail. Denk hierbij aan classificatie en labelling van informatie, encryptie van gevoelige gegevens, authenticatie van ontvangers, en het voorkomen van datalekken door menselijke fouten. 

Waarom NEN 7510:2024 Belangrijk Is voor de Zorgsector 

Informatiebeveiliging is cruciaal in de zorg. De nieuwe NEN 7510:2024 stelt strenge eisen om de veiligheid van persoonlijke gezondheidsinformatie te waarborgen. Deze norm is een vrijwel 100% kopie van de internationale ISO27001:2022, met specifieke vertaling naar de zorgsector. De nieuwe NEN 7510 gaat verder dan eerdere versies en legt organisaties specifieke verplichtingen op rondom het verwerken, beheren, en delen van informatie. De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet toe op een aantoonbare naleving van deze norm. Bij een datalek toetst de Autoriteit Persoonsgegevens (AP) dan ook op deze norm. 

Veel zorgorganisaties zullen snel moeten investeren in technologie en processen. In de praktijk blijkt dat belangrijke onderdelen zoals classificatie en labelling van gevoelige informatie vaak niet goed geregeld zijn. Medewerkers zijn nog te vaak afhankelijk van handmatige acties, zoals het zelf toekennen van labels of beslissen wanneer iets 'veilig' verstuurd moet worden. Dit leidt tot menselijke fouten, de grootste oorzaak van datalekken. De nieuwe NEN 7510 vereist geautomatiseerde maatregelen die onafhankelijk zijn van medewerkersbeslissingen. 

NEN 7510:2024 - De Belangrijkste Verplichtingen 

Classificatie en Labelling van gegevens 

Alle informatie moet worden geclassificeerd op basis van vertrouwelijkheid, integriteit, en beschikbaarheid. Paragraaf 5.12 van NEN 7510-2:2024 beschrijft de noodzaak van een formele classificatieprocedure. Classificatie helpt bepalen welke beveiligingsmaatregelen nodig zijn bij het versturen van e-mails of andere communicatie. Zorgorganisaties moeten een geautomatiseerd systeem implementeren om consistentie en veiligheid te waarborgen. In paragraaf 5.14 staat ook dat bij de overdracht van gevoelige of essentiële informatie deze moet worden gelabeld/geclassificeerd waarbij gewaarborgd is dat de informatie passend is beschermd. 

Encryptie en traceerbaarheid bij het overdragen van gevoelige informatie 

Paragraaf 5.14, “Overdragen van informatie”, stelt dat informatie die wordt uitgewisseld binnen een organisatie en met externe belanghebbenden passend beveiligd moet zijn om te zorgen dat gegevens beschermd worden tegen interceptie, toegang door onbevoegden, etc, zowel tijdens opslag als tijdens transport (zie ook paragraaf 8.24). Artikel 5.14 stelt zelfs dat organisaties moeten zorgen dat het niet mogelijk is om gevoelige informatie via mail uit te wisselen als dat niet voldoende kan worden beveiligd. Ook moeten organisaties maatregelen nemen om de traceerbaarheid en onweerlegbaarheid te waarborgen. 

Authenticatie van ontvangers 

Authenticatie van ontvangers is essentieel: alleen geautoriseerde personen mogen toegang krijgen tot gevoelige informatie. In 5.14 staat dat organisaties moeten zorgen voor sterkere authenticatieniveaus van personen bij het overdragen van informatie via openbaar toegankelijke netwerken. Dit betekent dat ontvangers zich op een betrouwbare manier moeten authentiseren voordat zij toegang krijgen tot gegevens (paragraaf 5.17). Dit voorkomt dat gevoelige informatie onbedoeld in de verkeerde handen terechtkomt. Concreet betekent dit dat gevoelige medische informatie nooit zomaar in een mailbox mag worden afgeleverd zonder dat zeker is dat deze mailbox is beveiligd met sterke authenticatie. 

Het vergroten van bewustzijn binnen de organisatie 

Naast technische maatregelen is het vergroten van het bewustzijn onder medewerkers een cruciaal onderdeel van de NEN 7510:2024. Paragraaf 6.3 benadrukt het belang van training en bewustwording om ervoor te zorgen dat medewerkers begrijpen hoe zij een bijdrage kunnen leveren aan informatiebeveiliging. Regelmatige trainingen, duidelijke procedures en het creëren van een cultuur waarin informatiebeveiliging centraal staat, helpen bij het minimaliseren van risico's. Door medewerkers actief te betrekken en hun kennis up-to-date te houden, kan de kans op menselijke fouten verder worden verkleind. 

Aantoonbaarheid van verzending, ontvangst en authenticatie 

Het is belangrijk om te kunnen aantonen dat e-mails veilig zijn verstuurd en dat alleen de beoogde ontvangers toegang hebben gehad, specifiek in het geval van een dispuut of mogelijk datalek. De NEN 7510 stelt in 5.14 dan ook dat organisaties maatregelen hebben genomen “om de traceerbaarheid en onweerlegbaarheid te waarborgen”. In 8.26 staat bovendien dat zorgorganisaties oplossingen moeten implementeren die zorgen door “vertrouwelijkheid, integriteit, bewijs van verzending en ontvangst van belangrijke documenten en onweerlegbaarheid”.

Voorkomen van datalekken door menselijke fouten 

De nieuwe norm vereist dat organisaties maatregelen nemen om datalekken (gegevenslekken in de NEN 7510) door personen en systemen te detecteren en te voorkomen.  Menselijke fouten, zoals het per ongeluk verkeerd adresseren van een e-mail, het per ongeluk delen van gevoelige informatie, bijvoorbeeld op een verborgen tabblad, of ontvangers in de AAN of CC zetten in plaats van BCC, zorgen voor > 95% van de datalekken 

Paragraaf 5.14 beschrijft dat organisaties moeten zorgen dat informatie aan de juiste persoon wordt verzonden. In paragraaf 8.12 staat dat organisaties hulpmiddelen voor het voorkomen van gegevenslekken behoren te gebruiken om: 

  • te identificeren welke gevoelige informatie blootstaat aan het risico op ongeoorloofde openbaarmaking (bijv. in niet-gestructureerde gegevens op het systeem van een gebruiker) of dit te monitoren; 
  • de openbaarmaking van gevoelige informatie detecteren (bijv. wanneer informatie wordt geüpload naar niet-vertrouwde clouddiensten van derden of via e-mail wordt verzonden); 
  • handelingen van gebruikers of netwerktransmissies waardoor gevoelige informatie bekend wordt, te blokkeren 

Is Uw Organisatie NEN 7510:2024-Compliant? 

Stel uzelf deze vragen: 

  • Zorgt onze organisatie voor automatische classificatie van alle informatie die we via e-mail delen?  
  • Wordt medisch gevoelige informatie altijd versleuteld én geauthenticeerd verzonden, en voorkomen we onveilige verzending? 
  • Beschikken we over effectieve tools die medewerkers direct de juiste beveiliging laten toepassen zonder dat ze zelf moeten kiezen? 
  • Hebben we effectieve technologie die automatisch gevoelige informatie in e-mails detecteert, medewerkers alarmeert, of zelfs de verzending blokkeert?
  • Hebben we een oplossing die medewerkers waarschuwt voor ongewone ontvangers, mogelijk onbedoelde gevoelige informatie of het verkeerd gebruik van BCC om datalekken door menselijke fouten te voorkomen?
  • Bieden onze hulpmiddelen onweerlegbare traceerbaarheid en bewijs van verzending en ontvangst voor gevoelige e-mails?
  • Geven we voldoende ondersteuning aan ontwikkeling van het bewustzijn bij medewerkers over het belang van veilige omgang met gevoelige informatie? 
  • Kunnen we met onze logging aantonen dat onze e-mailbeveiliging volledig voldoet aan de NEN-7510 en inzicht geeft in restrisico’s? 

Als u een van deze vragen met 'nee' beantwoordt, voldoet uw organisatie niet aan de eisen van de nieuwe NEN 7510. 

Investeren in slimme oplossingen voor veilig mailen met automatische classificatie en datalekpreventie 

De nieuwe NEN 7510:2024 laat geen ruimte voor afhankelijkheid van menselijke acties als het gaat om informatiebeveiliging. Zorgorganisaties moeten investeren in automatische classificatie en DLP-systemen. Deze technologieën zorgen ervoor dat de juiste beveiligingsmaatregelen worden toegepast, zonder afhankelijk te zijn van individuele keuzes van medewerkers. Dit is niet alleen noodzakelijk voor compliance, maar ook voor de veiligheid van de gevoelige informatie van patiënten. 

Bovendien benadrukt paragraaf 6.3 het belang van bewustwording en training van medewerkers. Hoewel automatisering essentieel is, blijven informeren, betrekken en bewustmaken van medewerkers een belangrijke schakel in het waarborgen van de informatiebeveiliging. 

Conclusie 

De NEN 7510:2024 stelt strenge eisen aan de informatiebeveiliging in de zorg. Zorgorganisaties moeten snel handelen om aan deze norm te voldoen. Automatisering van classificatie, labelling, encryptie, authenticatie en datalekpreventie door menselijke fouten is niet alleen een eis voor compliance, maar ook een noodzakelijke stap om dataveiligheid te waarborgen. Wacht niet tot de IGJ aan de deur staat, maar neem proactief stappen om de informatiebeveiliging in uw organisatie te verbeteren. 

Meer weten? Neem contact op met onze experts om te bespreken hoe uw organisatie kan voldoen aan de nieuwe eisen van NEN 7510:2024 en datalekken kan voorkomen. 

Rick Goud avatar

Rick Goud

CIO & Founder Zivver

Geplubliceerd: 8th november 2024

Meld je aan voor onze nieuwsbrief
Deel dit

Vond je dit artikel interessant? Laat anderen er ook van weten

Blijf op de hoogte met Zivver

Blijf op de hoogte van security tips, meld je aan.