NEN 7513 Eisen aan instellingen die audits ten behoeve van certificate van informatiebeveiligingsmanagementsystemen in de zorg uitvoeren 2018

Verberg alle toelichting Toon alle toelichting
NEN 7513 stelt eisen aan de registratie van gegevens rond de toegang tot de totale verzameling van alle elektronisch vastgelegde persoonlijke gezondheidsinformatie bij een zorginstelling of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt. In het kader van deze norm noemen we deze totale verzameling ‘het elektronisch patiëntdossier’.
NEN 7513 beschrijft de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot het elektronisch patiëntdossier die controle van de rechtmatigheid ervan mogelijk maakt. NEN 7513 is daarmee ook een uitwerking van hetgeen NEN 7510-2:2017 in 12.4 voorschrijft voor zover het gaat om de verplichting gebeurtenissen in elektronische patiëntdossiers te loggen2) en deze te beheren en te beveiligen.
NEN 7513 specificeert de gebeurtenissen die worden gelogd en de loggegevens die bij een gebeurtenis in een logregel worden vastgelegd. De gebeurtenissen betreffen toegang tot patiëntgegevens, toegang tot de logging en gebeurtenissen die invloed kunnen hebben op de betekenis of de betrouwbaarheid van de logging.
De norm specificeert ook het detailniveau waarmee de acties worden gelogd die bij een gebeurtenis plaatsvinden. Als er bijvoorbeeld gegevens zijn toegevoegd in een patiëntdossier zal dat als feit worden gelogd. De toegevoegde gegevens zelf staan dan in het patiëntdossier, niet in de logging. Voor een aanduiding op welk deel van het patiëntdossier de actie heeft plaatsgehad is ruimte in de logregel gereserveerd.
NEN 7513 schrijft voor hoe lang logbestanden minimaal en maximaal moeten worden bewaard. NEN 7513 geeft aanwijzingen over de te gebruiken templates van de logging voor cliënten en zorginstellingen, conform wettelijke kaders 3).
NEN 7513 gaat niet over de logging van gebeurtenissen in papieren dossiers.
NEN 7513 gaat niet in op de wijze waarop het instrument logging wordt ingezet door de belanghebbenden. Ongeautoriseerde toegang tot de logging of ongeautoriseerde toegang tot een elektronisch patiëntdossier dat met de logging is aangetoond, kan en zal mogelijk aanleiding zijn sancties op te leggen aan een overtreder. Deze sancties vallen buiten het toepassingsgebied van deze norm.
NEN 7513 gaat niet in op het gebruik van de logging door het toezicht.
Buiten het toepassingsgebied van deze norm valt het loggen op technisch systeemniveau bedoeld om de werking en beveiliging van een informatiesysteem te volgen, misbruik van het systeem te detecteren en systeemherstel mogelijk te maken na eventuele storingen 4).
Implementatie van deze norm in een organisatie begint met het uitvoeren van een risicoanalyse, met het oog op de in deze norm gestelde eisen. Op basis van deze risicoanalyse moet worden bepaald voor welke terreinen binnen de organisatie, bijvoorbeeld organisatorische deelterreinen en/of informatiesystemen, in welke mate en op welke termijn deze norm zal worden gevolgd.