Databeveiliging in de zorg: NEN 7510 en de lab-hack

In dit artikel:

Het dochterlab Clinical Diagnostics LCPL van het beursgenoteerde Franse Eurofins werd getroffen door een datalek waarbij persoonsgegevens van honderdduizenden Nederlanders — inclusief adressen, BSN-nummers en medische uitslagen van onder meer politici — op straat kwamen te liggen. Het lab meldt zelf dat het nog niet geaccrediteerd is voor NEN 7510, de Nederlandse norm voor informatiebeveiliging in de zorg, en zegt bezig te zijn met implementatie daarvan.

De publicatie wijst op grote risico’s: met die gegevens kunnen kwaadwillenden grootschalige phishingcampagnes voeren, en het lek roept stevige vragen op over hoe de indringers binnenkwamen, waarom de exfiltratie zo lang kon doorgaan en waarom gevoelige data niet versleuteld waren. NEN 7510 beschrijft welke maatregelen zorginstellingen moeten nemen bij het beheer van gezondheidsinformatie en is, vanwege de gevoeligheid van die data, neerlegd in wettelijke verplichtingen — naleving moet aantoonbaar zijn.

De zaak zet de aandacht op toezicht en handhaving: kun je zonder accreditatie toch aan de norm voldoen, wie controleert dat en welke gevolgen heeft delen van patiëntgegevens met een niet-geaccrediteerde partij? Computable start vanaf volgende week een miniserie over de inhoud, toepassing en handhaving van NEN 7510. Ter aanvulling wordt gewezen op Cybersec Netherlands op 10–11 september in Utrecht, waar cybersecurityontwikkelingen verder worden besproken.