Zorgeloos aan de slag met de NVZ-Routekaart

Bent u al klaar voor de Gedragslijn toegangsbeveiliging voor digitale patiëntendossiers?

In 2019 heeft het HagaZiekenhuis een boete opgelegd gekregen van de Autoriteit Persoonsgegevens vanwege de onvoldoende beveiliging van hun elektronisch patiëntendossier. Hierop heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ), in samenwerking met de Nederlandse Federatie van Universitair Medische Centra (NFU), een implementatie beleidsplan, genaamd de NVZ-Routekaart, ontwikkeld. Deze moet

ziekenhuizen helpen om te voldoen aan een Gedragslijn die de kans op dit soort datalekken in de toekomst moet minimaliseren. Inhoudelijk bevindt deze Gedragslijn zich op het snijvlak van de NEN 7510 en de AVG. Wat moeten ziekenhuizen doen om te voldoen aan de Gedragslijn? Wat kunnen ze zelf en waarvoor moet ondersteuning worden aangevraagd? Wanneer moeten ziekenhuizen voldoen aan de Gedragslijn?

Wegwijs in de Gedragslijn

De wettelijke regels omtrent AVG, zoals geborgd in de NEN 7510 (informatiebeveiliging voor zorginstellingen), behandelen al een aantal aspecten van de Gedragslijn toegangsbeveiliging digitale patiëntendossiers. Echter, niet alle zorginstellingen hebben al een NEN 7510 certificering. Om te voorkomen dat zorginstellingen het overzicht verliezen op dit gebied, kunnen wij hulp bieden op een aantal fronten. 

 

Om duidelijk te maken op welke gebieden wij kunnen helpen, is het handig om te weten waar de NVZ-Routekaart en de Gedragslijn op gebaseerd zijn.  

De NVZ-Routekaart bestaat grofweg uit 3 stappen: 

 

  1. Uitvoeren 0-meting. Van ziekenhuizen wordt verwacht dat een self assessment is uitgevoerd. De uitkomst hiervan dient uiterlijk 11 januari 2021 te worden aangeleverd bij de NVZ. 
  2. Uitvoeren 1-meting. Een getrainde RE-auditor (aangesloten bij NOREA) moet, met inachtneming van de uitkomsten van de 0-meting, de Gedragslijn toetsen tijdens een Assurance Audit.
  3. Indienen Rapportage. De RE-Auditor stelt aan de hand van de audit een Assurance Rapportage op, die uiterlijk 31 mei 2021 moet zijn aangeleverd bij de NVZ. 

Bij de audits komen een aantal focusgebieden aan bod:

 

  • Bewustwording. Training en bijscholing omtrent beleidsregels en procedures met betrekking tot informatiebeveiliging.
  • Autorisatie. Beleid omtrent toegang tot informatie; procedures ondersteund door de inzet van technologische middelen.
  • Authenticatie. Toegang tot gezondheidsinformatie wordt beveiligd met Multifactor authenticatie (MFA). Minimaal met tweefactor-authenticatie (2FA) .
  • Logging. Alle toegang wordt gelogd. Logs worden gecontroleerd op onrechtmatigheden en waar nodig wordt bijgestuurd. 
PDCA-deming-circle-cirkel

NVZ-Routekaart met de Meridion methode

Meridion helpt u bij het voldoen aan het beleidsmatig kader. Dit houdt bijvoorbeeld in dat we beleidsstukken uitwerken en ondersteuning bieden bij de implementatie. Daarbij borgen we de continuïteit van de compliance door het inzetten van een Plan, Do, Check, Act (PDCA) cyclus. Indien gewenst kunnen wij een proef-audit uitvoeren, zodat u bij de uiteindelijke 1-meting eigenlijk al weet dat u compliant bent. Zo voorkomt u vervelende verrassingen en onnodige stress.  

 

Onze RE-Auditor voert bij u de 1-meting, conform richtlijn 3000A, uit en maakt de Assurance Rapportage in orde. Bovendien trainen wij uw medewerkers zodat hun security awareness (bewustwording) groeit en helpen we u bij het opstellen van de Verklaring van Toepasselijkheid (VVT). 

NVZ-Routekaart Tools

Compliance Center

Compliance Center 

 

Een voorwaarde die is gesteld aan de Gedragslijn, is dat er gewerkt wordt met een ISMS (Information Security Management System). Hierin wordt de PDCA-cyclus verwerkt voor de periodieke evaluatie van risico’s, geplande maatregelen, gerealiseerde maatregelen en de effectieve uitvoering daarvan. Meridion heeft hiervoor Compliance Center ontwikkeld, waarin specifieke inrichtingen zijn gemaakt voor de NVZ-Routekaart en de Gedragslijn. 

Topaudit audit software

Topaudit 

 

Voor de 0-meting (het self assessment), kunnen onze opdrachtgevers gebruik maken van TopAudit. Deze intuïtieve software stelt u in staat om, aan de hand van door ons ontwikkelde modellen, eenvoudig en voor een schappelijk bedrag het assessment uit te voeren voor uw organisatie.  

Suresight

Suresight 

 

De organisatie mag gemotiveerd afwijken van de voorgeschreven toetsingscriteria als er op een andere manier is voldaan aan de beheersmaatregel. Hiervoor moet er een risicoanalyse worden uitgevoerd. Suresight biedt u dashboards waarin u in één oogopslag ziet hoe u ervoor staat. Eenvoudig in gebruik en de ideale tool als u de verantwoordelijkheid voor losse onderdelen wilt delegeren in uw team. Met Suresight maakt u risico’s concreet en treft u altijd de juiste borgingsmaatregelen die passen bij uw specifieke situatie.  

E-learning

E-Learning 

 

Vaak zijn medewerkers zich niet bewust van de risico’s die komen kijken bij informatiebeveiliging. Bewustwording dwing je niet af met een streng geformuleerde memo. Dat moet getraind worden zodat informatiebeveiliging wordt ingesleten in de dagelijkse gang van zaken in de zorginstelling. In sommige gevallen zijn live trainingen van een instructeur nodig. Maar in veel gevallen en zéker in situaties waar groepen niet bij elkaar kunnen komen, is E-Learning minstens zo effectief. 

Dit zeggen onze opdrachtgevers

Nog een stapje verder?

Voldoen aan de Gedragslijn toegangsbeveiliging digitale patiëntendossiers 1.0 (medio 2021 staat versie 2.0 op de planning) is een verplichting. Maar wij laten u graag zien wat compliance aan deze gedragslijn werkelijk oplevert. De kwalitatieve groei die hoort bij een normering wordt voelbaar in uw organisatie en zal zijn effect hebben op alle aanpalende domeinen. 

Als u voldoet aan de Gedragslijn, hebt u 4 componenten van de NEN 7510 al grotendeels voltooid. Daarom kunt u bij Meridion rekenen op een korting op de prijs van een volledige NEN 7510 normering als u deze componenten al met ons hebt doorlopen. Onze consultants vertellen u graag meer over de voordelen. 

Voldoen aan de Gedragslijn toegangsbeveiliging digitale patiëntendossiers 1.0 (medio 2021 staat versie 2.0 op de planning) is een verplichting. Maar wij laten u graag zien wat compliance aan deze gedragslijn werkelijk oplevert. De kwalitatieve groei die hoort bij een normering wordt voelbaar in uw organisatie en zal zijn effect hebben op alle aanpalende domeinen. 


Als u voldoet aan de Gedragslijn, hebt u 4 componenten van de NEN 7510 al grotendeels voltooid. Daarom kunt u bij Meridion rekenen op een korting op de prijs van een volledige NEN 7510 normering als u deze componenten al met ons hebt doorlopen. Onze consultants vertellen u graag meer over de voordelen. 

Gratis Whitepaper NVZ-Routekaart

Wij kunnen ons voorstellen dat u nog meer vragen hebt, die niet worden beantwoord op deze pagina. Daarom hebben we een Whitepaper geschreven die nog dieper ingaat op de NVZ-Routekaart en de Gedragslijn toegangsbeveiliging digitale patiëntendossiers. Onmisbaar voor zorginstellingen die (gaan) werken aan hun compliance. Vul het formulier in en u krijgt direct een download-link per mail toegestuurd. Gratis en vrijblijvend. 

Wilt u weten hoe zorgvuldig wij met uw gegevens omgaan? Raadpleeg dan ons Privacy Statement.

foto Jan Willem

Jan Willem van Hoorn

Gaat u liever direct in gesprek met een deskundige op het gebied van de NVZ-routekaart? Neem dan gerust contact op met Jan Willem van Hoorn, Consultant en Sr. Auditor bij Meridion.