Actueel
13 december 2022
‘Benoem Koppeltaal expliciet in NEN 7510-certificering’
Informatiebeveiliging in de zorg is cruciaal. Het gaat bij informatie-uitwisseling in deze sector tenslotte om zeer gevoelige, medische gegevens. Reden voor VZVZ om aan leveranciers die hun informatiesystemen willen aansluiten op Koppeltaal, te vragen deze dienst expliciet in de scope van hun NEN 7510-certificaat op te nemen. Voor IT-aanbieders die hier vragen over hebben, biedt VZVZ graag de helpende hand.
De norm NEN 7510 (afgeleide van ISO 27001) is toegesneden op informatiebeveiliging binnen de gezondheidszorg. Hieronder wordt verstaan het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie ten behoeve van verantwoorde zorg voor patiënten. IT-leveranciers die systemen zoals een EPD, een HIS of eHealth modules leveren, aanbieders van cliënt- en medewerkersportalen, maar ook aanbieders van een PGO, moeten ervoor zorgen dat hun oplossing of dienst voldoet aan NEN 7510.
Over het algemeen wordt in zo’n certificaat de scope opgenomen van voor welke diensten of oplossingen de certificering bedoeld is. Vaak is dit echter een zeer algemene, brede omschrijving: ‘deze certificering is van toepassing op al onze diensten, producten of koppelingen’. Als buitenstaander kun je dan niet zien of er specifiek Koppeltaal mee bedoeld wordt.
Expliciete vermelding Koppeltaal
‘Het liefst zien we een expliciete vermelding op het certificaat hiervan’, zo stelde VZVZ eind 2019 daarom per bestuurlijk besluit. ‘Dan is het voor diegene die het certificaat opvraagt direct helder waar op geaudit is en welke koppelingen wel en welke niet in de audit zijn meegenomen.’ VZVZ doet dit zelf inmiddels voor elk van haar dienstverleningen. ‘Daarmee maken we expliciet welke diensten zijn opgenomen in de scope van de audit.’
“In sommige gevallen is Koppeltaal in de software van een vendor nog niet actief, of in ontwikkeling”, licht een security officer van VZVZ toe op de vraag waarom VZVZ dit ook aan IT-leveranciers vraagt. “Dus hoe kun je dan zeggen dat het ook van toepassing is op Koppeltaal? We kunnen en willen het expliciet benoemen van Koppeltaal niet verplichten, maar dit helpt ons wel wanneer we willen controleren of een IT-deelnemer aan Koppeltaal met zijn certificering ook deze dienst omvat.”
Toevoeging eenvoudig
Om een voorbeeld te geven van hoe eenvoudig de toevoeging kan zijn, volgt hier een deel van de formulering die VZVZ hanteert in haar NEN 7510-certificaat: ‘Onder de ICT-oplossingen vallen de volgende activiteiten: Het specificeren, (door)ontwikkelen, aansluiten, ondersteunen en beheerprocessen uitvoeren binnen Koppeltaal.’ Vergelijkbare formuleringen zijn opgenomen voor platforms zoals het LSP en voor de rol van VZVZ als beheer organisatie (BO) en Dienstverlener Zorgaanbieder (DVZA) binnen het MedMij Afsprakenstelsel.
VZVZ’s afdeling Risk & Security hierover: “Door onze auditor dit toe te laten voegen, is direct inzichtelijk dat de NEN 7510-normering van toepassing is op alle diensten en platforms die we ondersteunen – zoals het LSP, Mitz en het Volgjezorgportaal - maar ook koppelingen met andere afsprakenstelsels – zoals MedMij. Zo is gelijk duidelijk voor iemand die een certificering bekijkt, dat Koppeltaal er ook onder valt. Dan hoef je daar ook niet meer naar te vragen. We hopen dat dit de leveranciers die bij Koppeltaal aangesloten zijn of dat willen, ervan overtuigt om deze stap te zetten.”
