x
onatal netwerk: onatal lijn1|onatal ultra|onatal pwd|onatal telecom|micronatal|onatal research|onatal academy|onatal blog|

Belangrijk! Ontvangen brief van VECOZO inzake NEN7510!

Datum/ tijd [ 21-11-2017 12:00 ]

Een groot aantal van onze gebruikers heeft een brief ontvangen van VECOZO inzake de ontbindende voorwaarden voor het contract van Onatal. Wij zijn net zo verbaasd over deze brief als onze gebruikers en begrijpen niet dat VECOZO deze brief, zonder dit met ons te overleggen, heeft verzonden.

Wij leggen in dit nieuwsbericht uit hoe het daadwerkelijk zit en waarom u zich geen zorgen hoeft te maken.

Waarom ontvangt u, als gebruiker, de brief van VECOZO?

Zoals al aangegeven zijn wij net zo verbaasd als onze gebruikers. Wij hebben al maanden contact met VECOZO inzake de certificering en de voortgang hieromtrent. Zij hebben ons niet gebeld, gemaild of wat dan ook om ons op de hoogte te stellen dat ze deze brief zouden versturen. Eén telefoontje had een hoop onrust bespaard, daar wij af hadden kunnen stemmen wat de status was en hadden kunnen aangeven dat het geregeld is voor de door hun gestelde deadline. Tevergeefs hebben wij gisteren geprobeerd contact op te nemen met VECOZO, maar onze contactpersoon was niet bereikbaar en we zijn niet teruggebeld.

Hoe zit het met de veiligheid van Onatal?

Zoals al vanaf het begin van Onatal is Onatal veilig en investeren wij veel tijd en geld om dit zo te houden. Wij zitten midden in het traject van onze NEN7510 certificering waar niet alleen Onatal, maar ook Onatal Ultra, de PeriHub en de Hub Terminal van perinatologie.nl en zwangerenportaal.nl onder vallen. Dit is een tijdrovend traject en vergt ook financieel een grote investering.

Wat is de NEN7510 certificering precies?

NEN 7510 ‘Medische informatica - Informatiebeveiliging in de zorg’ is een Nederlandse norm die maatregelen beschrijft die zorginstellingen moeten nemen om op adequate wijze met patiëntgegevens om te gaan.

De maatregelen zorgen ervoor dat informatiebeveiliging een gecontroleerd proces wordt en hebben betrekking op alle verschijningsvormen waarin cliëntgegevens zijn vastgelegd. De beveiligingseisen gelden voor de informatie binnen de zorginstelling, en ook voor de informatie die organisaties onderling uitwisselen.

Zoals u kunt lezen is het niet alleen een norm die geldt voor Onatal, maar ook voor u als zorginstelling. Het gaat ook niet specifiek om technische veiligheid van bijvoorbeeld servers, maar het gaat over hoe je omgaat met nieuw personeel, wachtwoordenbeleid, incidenten, leveranciers, etc. Door VECOZO is de eis gesteld voor softwareleveranciers om aan deze norm te voldoen. Het is echter niet uitgesloten dat u als zorginstelling dezelfde eis krijgt opgelegd.

Om NEN7510 gecertificeerd te worden moet er een Managementsysteem ingevoerd worden omtrent informatiebeveiliging. Het behelst beleid en procedures op het gebied van de volgende zaken:

  • beveiligingsbeleid
  • organisatie van de informatiebeveiliging
  • beheer van bedrijfsmiddelen
  • personeel
  • fysieke beveiliging en beveiliging van de omgeving
  • beheer van communicatie- en bedieningsprocessen
  • toegangsbeveiliging
  • verwerving, ontwikkeling en onderhoud van informatiesystemen
  • beheer van informatiebeveiligingsincidenten
  • bedrijfscontinuïteitsbeheer
  • naleving

Voor meer informatie omtrent NEN7510 kunt u kijken op de website van https://www.werkenmetnen7510.nl/

Waarom is de certificering nog niet afgerond?

Wij zijn al maanden bezig met het opzetten en implementeren van het NEN7510 managementsysteem en zijn al enige tijd klaar voor certificering. Het blijkt echter erg druk te zijn in de certificeringsmarkt. Wij hebben bij meerdere auditors (bedrijven die certificeringen mogen uitvoeren en certificaten mogen uitgeven) offertes opgevraagd. Echter hebben wij pas na vier weken alle offertes gekregen en zijn wij alweer een week bezig om te kijken of er een is die nog dit jaar de certificering uit kan voeren. Dit is helaas het enige onderdeel in het hele traject dat wij niet in de hand hebben.

Komt het goed?

Ja, het komt goed! Voor VECOZO zijn er twee keuzes. NEN7510 of een zogenoemde TPM. TPM staat voor Third Party Mededeling en wordt ook wel Third Party Memorandum of Derdenverklaring genoemd. Een onafhankelijke derde (de auditor) geeft op basis van een onderzoek (de audit) een oordeel over de kwaliteit van geselecteerde beheersmaatregelen uit een vooraf gedefinieerd normenkader, zoals de NEN7510.

Door de vertraging van de NEN7510 certificering hebben wij speciaal voor VECOZO de keuze gemaakt dit traject bewandelen en dit zal nog dit jaar gedaan zijn. Een TPM is niet hetzelfde als een complete NEN7510 certificering en ons inziens eigenlijk zonde, wij ronden liever de NEN7510 snel af. Juist omdat we er klaar voor zijn en het daadwerkelijk een goede stap is. Maar helaas zoals u heeft gezien is VECOZO nogal wild met zijn brieven, waardoor er paniek ontstaat bij onze gebruikers, wat begrijpelijk is. Wij zullen dan ook voldoen door eerst een TPM te overhandigen en vervolgens het NEN7510 traject voort te zetten.

Uiteraard zorgen wij er als softwareleverancier voor dat hetgeen VECOZO schrijft in de brief niet zal gebeuren. Wij begrijpen dat er een deadline wordt gesteld en nemen deze dan ook zeer serieus.

Mocht u vragen hebben, dan kunt u altijd contact met ons opnemen.

Vertrouwende u hiermee voldoende te hebben geïnformeerd.

Met vriendelijke groet,

Joost Martens

 
onatal netwerk: onatal lijn1|onatal ultra|onatal pwd|onatal telecom|micronatal|onatal research|onatal academy|onatal blog|