Auditors in de zorgsector hebben groeiende aandacht voor het gebruik van patiëntgegevens buiten de productiedatabase. De NEN 7510 certificering wordt niet zomaar meer afgegeven. Dat zegt Eric Hoefman van EntrD.
Een van de richtlijnen waaraan auditors zorginstellingen toetsen is de NEN 7510. Door het afgeven van deze certificering geeft een auditor aan dat de informatiebeveiliging binnen een zorginstelling is ingericht in lijn met de geldende privacywetgeving. De NEN 7510 verbiedt onder andere het testen van software met persoonsgegevens van echte patiënten. Daarmee is het testen met dergelijke gegevens steeds vaker een reden om geen certificaat te verlenen.
“De Autoriteit Persoonsgegevens heeft zich hier vorig jaar ook nog eens duidelijk over uitgesproken”, zegt Eric Hoefman. “Testen met persoonsgegevens mag niet en wordt beschouwd als een potentieel datalek dat moet worden gemeld.”
Auditors die deze situatie tegenkomen geven steeds vaker geen NEN 7510 certificering meer af. “Wij merken dat aan de groei van aanvragen die wij uit de zorgwereld krijgen”, verklaart Hoefman, die met EntrD een oplossing levert waarmee persoonsgegevens geanonimiseerd kunnen worden.
“Steeds vaker komt zo’n aanvraag voort uit een negatieve audit, waarbij de zorginstelling dreigt zijn NEN 7510 certificering kwijt te raken. Zorginstellingen willen hun certificering natuurlijk graag behouden en zoeken naar een alternatief voor het testen met persoonsgegevens.” Testen met geanonimiseerde gegevens is een alternatief: na het anonimiseren mogen de gegevens wel buiten de productieomgeving worden gebruikt.
Hoefman sprak op 6 februari tijdens een druk bezochte bijeenkomst van ISACA, dat onder meer auditors opleidt op het gebied van cybersecurity. Ook daar bleek dat auditors dit probleem steeds vaker tegenkomen.
