Kors Monster Directeur ICTRecht Security Itte Overing Juridisch adviseur E-health Grip op leveranciers in de zorg: leveranciersmanagement conform NEN 7510 Veel zorgaanbieders zijn hard onderweg om zelfs hun primaire proces, het leveren van zorg, digitaal te laten verlopen. Gedwongen door tekorten en de pandemie wordt er flink gesubsidieerd en geïnvesteerd in digitalisering binnen de zorg. De absolute noodzaak van het digitaal uitwisselen van patiëntgegevens werd ineens schrijnend zichtbaar tijdens de eerste lockdown. Voor minister Van Ark reden om flink aan de slag te gaan, het wetsvoorstel Elektronische Gegevensuitwisseling in de Zorg verwacht zij begin 2021 aan de Tweede Kamer toe te sturen. Wat heb je als gemiddelde zorgaanbieder al in gebruik aan ICT begin 21ste eeuw? Allereerst een zorginformatiesysteem, het bronsysteem waarin de dossiers van patiënten of cliënten worden bijgehouden. Dan, meestal daaraan gekoppeld, een declaratiesysteem waarmee gedeclareerd wordt. Verder, hardware en software in het kader van het leveren van specialistische zorg al dan niet met gebruik van AI, verschillende zorgplansystemen, een applicatie voor veilig mailen, infrastructuur ten behoeve van het uitwisselen van medische gegevens met andere zorgaanbieders, koppelingen met webdiensten van bijvoorbeeld Vecozo en ga zo maar door. De ICT-diensten kunnen op locatie staan/draaien, maar vaker zal gebruik gemaakt worden van de cloud, of anders gezegd: een extern (gevirtualiseerd) datacenter. Al deze systemen helpen zorgaanbieders anno 2021 om goede zorg te kunnen leveren. Maar je bent er als zorgaanbieder ook afhankelijk van. En niet alleen van de systemen, in het verlengde daarvan, ook van de leveranciers van die systemen. Spannend? De zorgaanbieder blijft immers zelf verantwoordelijk voor het leveren van goede zorg. De zorgaanbieder moet ervoor zorgen dat hij in ieder geval de regie houdt. 4 ICTRecht in de Praktijk Een van de belangrijkste onderwerpen daarbij is informatieveiligheid. Verplichte kost in de zorg in dat kader, is de implementatie van NEN 7510 (en NEN 7512 en NEN 7513). Al sinds 2013 vindt ook de Autoriteit Persoonsgegevens (toen nog CBP) dat NEN 7510 geïmplementeerd moet worden als er medische persoonsgegevens worden verwerkt. Ook voor het gebruik van zorginformatiesystemen en elektronische uitwisselingssystemen geldt dat er moet worden voldaan aan de genoemde normen bij het gebruik van die systemen. En zodra het genoemde wetsvoorstel wet wordt, is te verwachten dat het voldoen aan de norm in steeds meer gevallen verplicht wordt. Als je het hebt over regie, dan springt een onderwerp uit de NEN 7510 in het oog: het leveranciersmanagement. Omdat er in de praktijk steeds meer uitbesteding (al dan niet in de cloud) plaatsvindt, en dit wat ons betreft dus een van de kernonderwerpen van de NEN 7510 is, geven wij u graag meer inzicht in wat NEN 7510 precies vereist als het aankomt op leveranciersmanagement. Norm voor informatiebeveiliging in de zorg NEN 7510 bestaat uit twee delen. Het eerste deel
5 Online Touch Home