NEN 7510 für Gesundheitsunternehmer: Aufbauend auf ISO 27001

Arbeiten Sie im oder mit dem Gesundheitswesen? Dann ist NEN 7510 neben (oder anstelle von) ISO 27001 Realität. Die Überschneidungen sind groß – die Unterschiede liegen bei Patientendaten und spezifischen Annex-Controls.

NEN 7510 ist die niederländische Norm für Informationssicherheit im Gesundheitswesen. Wer Kundendaten verarbeitet, die auf Patienten zurückzuführen sind – etwa EPD-Entwickler, Healthcare-SaaS-Anbieter oder Berater, die mit Gesundheitsversorgern zusammenarbeiten – ist zur Zertifizierung häufig vertraglich verpflichtet.

Verhältnis zu ISO 27001

NEN 7510 baut auf ISO 27001 + ISO 27002 auf, stellt jedoch zusätzliche Anforderungen speziell für Patientendaten. Wer bereits eine ISO-Zertifizierung hat, benötigt für NEN 7510 nur ein Delta-Audit. Wer neu startet, kann beide Normen in einem einzigen Audit-Verfahren kombinieren.

Was sind die Zusatzanforderungen?

• Separate Klassifizierung von Patientendaten.
• Strengere Protokollierung des Zugriffs auf Patientendaten – wer hat wann welche Akte eingesehen.
• Spezifische Auftragsverarbeitungsverträge gegenüber Gesundheitsversorgern.
• Aufbewahrungs- und Löschrichtlinien für Patientendaten (längere Aufbewahrungspflicht als nach GDPR-Grundlage).
• Incident-Eskalation mit Meldepflicht gegenüber der Gesundheitsaufsicht in bestimmten Fällen.

Audits

Viele Gesundheits-IT-Anbieter wählen einen Auditor, der sowohl ISO 27001 als auch NEN 7510 zertifizieren kann (Kiwa, DEKRA, Brand Compliance). Gemeinsames Audit, ein Verfahren, geringere Kosten als zwei separate Audits.

Siehe auch: ISO 27001-Pillar, Zertifizierungskosten.