Een ISO- of NEN-certificaat is geen garantie voor waarborg privacy

Verschillende zorginstellingen vragen zich af of zij voldoen aan de geldende wet- en regelgeving op het gebied van privacy als ze gecertificeerd zijn voor NEN of ISO. Helaas is dat niet zo, want een certificaat heeft maar een beperkte waarde. Hieronder lichten we dit toe aan de hand van ISO 27001 en NEN 7510; de gangbare certificaten binnen de zorgsector.


ISO 27001 en de scope

ISO 27001 is een internationaal normenkader dat niet uitgaat van geldende Nederlandse of Europese wetgeving. Het normenkader geeft richtlijnen aan voor het inrichten van een zogenaamd Information Security Management System (‘ISMS’). Het meest recente normenkader ISO 27001:2013 bestaat uit twee delen:

Het ene deel is het normatieve gedeelte, waarin enkele harde eisen worden gesteld waaraan voldaan moet worden. Eén eis is het uitvoeren van een risico-inventarisatie die als basis geldt voor de te treffen beveiligingsmaatregelen.
Daarnaast bevat ISO 27001 een lijst met beheersmaatregelen, die geïmplementeerd kunnen worden. Aangezien dit geen verplichting is, kan de zorginstelling zelf beslissen welke maatregelen ze implementeert.

Beheersmaatregelen

De beheersmaatregelen zijn afkomstig uit ISO 27002:2013. Dit is een verzameling met ‘best practises’ die laten zien welk doel bereikt kan worden door een bepaalde maatregel uit te voeren. De zorginstelling die aan ISO 27001 wil voldoen, geeft in een ‘statement of applicability’ aan welke beheersmaatregelen geïmplementeerd worden en welke niet. Met andere woorden: de organisatie kiest zelf welke scope voor de ISO-certificering geldt. Een risico-inventarisatie & -evaluatie (RI&E) ligt aan de basis van de selectie van de beheersmaatregelen; niet de geldende wet- en regelgeving op het gebied van privacy of de in de sector gebruikelijke beveiligingsmaatregelen. Bij ISO 27002 geldt overigens het principe ‘implementeer of leg uit’. Een organisatie kan dus een beheersmaatregel buiten de scope houden als daarvoor een gemotiveerde reden is.

NEN 7510 en de scope

NEN 7510 geeft een algemene omschrijving van beheersdoelstellingen en -maatregelen. Ook hierbij kiest de organisatie op basis van de RI&E welke maatregelen zij implementeert. Deze maatregelen worden omschreven in een verklaring van toepasselijkheid. Binnen NEN 7510 worden ook ‘Aandachtspunten en aanbevelingen voor implementatie’ gegeven. Dit zijn concretere aanwijzingen waarmee een organisatie aan de beheersmaatregel kan voldoen. De aandachtspunten en aanbevelingen zijn richtinggevend, niet verplicht. Als iets anders beter bij de organisatie past, dan kan ook op een andere manier aan de beheersmaatregel voldaan worden.

Volgens de letters van de wet

Wet- en regelgeving op het gebied van privacy schrijven een organisatie voor dat zij passende technische en organisatorische maatregelen moet nemen ter beveiliging van de persoonsgegevens. Hierbij kan de organisatie de kosten in overweging nemen, maar de maatregelen moeten vooral passend zijn. Een zorginstelling mag dus wel kiezen wélke maatregelen zij treft; niet óf zij maatregelen treft.

De wet- en regelgeving schrijft ook voor dat medische persoonsgegevens uitsluitend voor in de wet aangegeven doelen mogen worden verwerkt en dat de verwerking van persoonsgegevens behoorlijk en zorgvuldig moet zijn. Hierbij moet onder meer rekening gehouden worden met het feit dat:

gegevens niet langer worden bewaard dan noodzakelijk ;
verzamelingen van de persoonsgegevens niet bovenmatig zijn;
de rechten van betrokkenen in acht worden genomen;
dit gebeurt in overeenstemming met het doel waarvoor de gegevens zijn verkregen.
Dit zijn slechts een aantal vereisten die volgen uit de privacy wet- en regelgeving voor zorginstellingen.

Beperkte waarde certificaat

Doordat ISO 27001 en NEN 7510 maar beperkt normatief van opzet zijn, heeft een certificaat ook slechts een beperkte waarde. Aan het certificaat is niet te zien welke onderdelen van de norm een organisatie heeft geïmplementeerd. Bij een ISO 27001 certificering hoort daarom altijd een ‘statement of applicability’ en bij een NEN 7510 certificering een ‘verklaring van toepasselijkheid’. Aan de hand daarvan is te zien welke onderdelen zijn geïmplementeerd en of deze (onder)delen overeenkomen met de maatregelen, die getroffen moeten worden volgens de privacywetgeving. Bij een ISO 27001 en NEN 7510 audit wordt uitsluitend getoetst op opzet en bestaan. Er wordt gekeken of aan de normatieve voorwaarden is voldaan, niet of de ingerichte maatregelen effectief zijn en in overeenstemming met de geldende wet- en regelgeving op het gebied van privacy.

Loop geen onnodige risico’s!

Voor een zorginstelling is het belangrijk om zich te realiseren dat het voldoen aan de geldende wet- en regelgeving op het gebied van privacy geen keuze is. Het is een eis. Niet voldoen aan de wet- en regelgeving brengt risico’s met zich mee. De Autoriteit Persoonsgegevens kan (hoge) boetes opleggen. En misschien nog wel erger, een incident kan aanzienlijke imagoschade met zich meebrengen.

Een certificaat zorgt er nog niet voor dat uw zorginstelling voldoet aan wet- en regelgeving op het gebied van privacy. Zowel NEN 7510 als ISO 27001 bevatten de kaders, die aangeven hoe je aan de wet kunt voldoen en maatregelen die het mogelijk maken op een verantwoorde manier met persoonsgegevens om te gaan. Maar uiteindelijk is het de zorginstelling zelf die bepaalt hoe volledig de implementatie is.

Auteur | Marieke van Dijk

Wilt u meer weten over certificering van uw organisatie? Wij kunnen u voorzien van deskundig advies en begeleiding.

Contact opnemen

Marieke van Dijk

Business Line Manager Legal | Legal Counsel

©2022 Cure4 |

Cure4 is onderdeel van Tenzinger B.V. | Disclaimer
Contact