Skip to the content

NVZ Gedragslijn toegangsbeveiliging digitale patiëntendossiers

Als zorginstelling heeft u de verantwoordelijkheid om zorgvuldig om te gaan met patiëntgegevens en invulling te geven aan het beroepsgeheim. Hierbij heeft u te maken met verschillende wetten zoals de Algemene Verordening Gegevensbescherming (AVG), de Wet op de Geneeskundige Behandelovereenkomst (WBGO) en de Wet op de Beroepen in de Individuele Gezondheidszorg (BIG). 

Om ongeoorloofde toegang tot persoonsgegevens te voorkomen, is een goede organisatie rondom autorisatie en authenticatie noodzakelijk. Maar ook hier betreft het mensenwerk. Dus ook bewustzijn ten aanzien van informatieveiligheid en privacy is van primair belang.

Om die reden heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Nederlandse Federatie van Universitair Medische Centra (NFU) een gedragslijn ontwikkeld. Het doel is zorginstellingen te ondersteunen bij de praktische implementatie van de normeisen rondom toegangsbeveiliging van digitale patiëntdossiers. De gedragslijn richt zich op het ziekenhuisbrede informatiesysteem en is gebaseerd op NEN7510. Zorginstellingen zijn verplicht om zelf een 0-meting uit te voeren op de gedragslijn en daarna een 1-meting te laten uitvoeren door een bij de NOREA aangesloten IT-auditor. 

Bent u een zorginstelling en bent u al NEN7510 gecertificeerd? Ook dan dient u een audit te laten uitvoeren. Uiteraard zal dit voor u in dat geval wel eenvoudiger zijn.

Ondersteuning van 2-Control

Onze organisatie bestaat uit een enthousiast team van geregistreerde IT-auditors (RE’s). Een IT-auditor van 2-Control kan toetsen of u voldoet aan de gestelde normen van de gedragslijn en hierover het vereiste rapport opleveren. Daarnaast geven wij u concrete aanbevelingen om de risico’s beter te beheersen en adviseren wij over verbeteringen waarmee u uw organisatie verder kunt laten groeien.

Onze auditors beschikken over zeer ruime ervaring met het afnemen van beveiligingsassessments. Hoewel de gedragslijn relatief nieuw is, heeft de NVZ gekozen voor breed geaccepteerde normen, gebaseerd op NEN7510/ISO27001. Dezelfde normen worden bijvoorbeeld ook gebruikt voor gemeenten ten aanzien van de verplichte audit voor het sociaal domein. Ook hiermee heeft 2-Control, mede in de gezondheidszorg, ervaring.

Onze aanpak

1. Pre-audit

Samen met uw organisatie en aan de hand van de door u uitgevoerde 0-meting brengen wij in kaart in hoeverre uw organisatie al voldoet aan de gedragslijn. De uitkomst van de pre-audit geeft een duidelijk beeld welke stappen u moet nemen om te voldoen aan de gedragslijn.

2. Definitieve audit (1-meting)

In overleg met u wordt de definitieve audit gepland en uitgevoerd door één van onze RE-auditors. Doel hierbij is dat u aan onze auditor aantoont dat u aan de gedragslijn voldoet. Wij verzamelen en beoordelen samen met u het bewijsmateriaal dat het oordeel onderbouwt. Hierbij hanteren wij de NVZ handreiking voor de audit, zodat u precies weet wat u kunt verwachten.

3. Rapportage

Wij stellen voor u het benodigde assurance-rapport op (richtlijn 3000A) dat u dient aan te leveren bij de NVZ. Ten behoeve van uw organisatie doen wij concrete aanbevelingen om de informatiebeveiliging nog verder te verbeteren.

Kom in contact met onze specialisten!

Voor meer informatie over onze hulp bij de Gedragslijn toegangsbeveiliging digitale patiëntdossiers kunt u contact met ons opnemen via het telefoonnummer 076-50 194 70 of u kunt uw gegevens hieronder achterlaten. Wij nemen dan spoedig contact met u op.

Wij nemen uw privacy serieus (zie onze privacyverklaring). De gegevens die u hier achterlaat gebruiken wij enkel om contact met u op te nemen, tenzij u expliciet aangeeft dat u zich ook inschrijft voor de nieuwsbrief.

'Voornaam' is een verplicht veld
'Achternaam' is een verplicht veld
Vul een geldig e-mailadres in

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Dynamics? Wij beantwoorden ze graag.