Strenge NEN-normen bij IT-aanbestedingen?
Het aanbestedingsrechtelijk kader is voor alle IT-aanbestedingen vergelijkbaar, maar om het concreet te maken zoomen wij in dit artikel in op informatiebeveiliging in de zorg.
Een eis die wij met enige regelmaat voorbij zien komen in IT-aanbestedingen binnen het zorgdomein is dat de inschrijver (en diens onderaannemers) dient te beschikken over een NEN 7510-certificaat. Wat houdt NEN 7510 precies in?
De NEN 7510 geeft een kader voor de inrichting van organisatorische en technische beveiligings-maatregelen binnen de gezondheidszorg. Het beschrijft hoe risico’s beheerst kunnen worden en welke beheersmaatregelen genomen kunnen worden om te waarborgen dat data beschikbaar, integer en vertrouwelijk blijven. De NEN 7510 wordt aangevuld met enkele normen waarin elementen uit de NEN 7510 verder zijn uitgewerkt, zoals de NEN 7512 (gegevensuitwisseling) en NEN 7513 (logging). Dat er specifiek voor informatiebeveiliging in de zorg een norm is ontwikkeld laat zich eenvoudig verklaren. In de zorg wemelt het niet alleen van de bijzondere persoonsgegevens, maar ook vindt veelvuldig uitwisseling van die gegevens plaats. Denk bijvoorbeeld aan patiëntportalen waar patiënten toegang krijgen tot hun gegevens, de uitwisseling van uitslagen tussen het lab en zorginstellingen, of communicatie tussen specialisten en huisartsen.
Naleving van NEN 7510, NEN 7512 en NEN 7513 is wettelijk verplicht. Volgens de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpg) moet een zorgaanbieder ervoor zorgen dat diens zorginformatiesysteem voldoet aan NEN 7510, NEN 7512 en NEN 7513 en dat hij overeenkomstig deze normen gebruik maakt van het elektronisch uitwisselingssysteem waarop hij is aangesloten. [1]
Een goed begrip van de NEN 7510 norm is – gelet op de technische en specialistische inhoud – vaak niet weggelegd voor het bestuur of de afdeling IT van een zorgaanbieder. Op de markt zijn dan ook veel partijen actief die zorgaanbieders adviseren over het implementeren van maatregelen om aan deze norm te voldoen. Onderdeel van zo’n traject is vaak certificering. Certificering is weliswaar niet wettelijk verplicht voor zorgaanbieders, maar vaak toch een logische stap. Daarmee kan de zorgaanbieder immers aantonen dat zij voldoet aan de NEN 7510 en kan zij aantonen dat zij dus voldoet aan haar wettelijke verplichting om conform die norm te werken. Bovendien schrijft NEN 7510 voor dat periodiek een beoordeling plaatsvindt die aantoont dat volgens de norm wordt gewerkt. [2]
Eis aan inschrijvers
De meeste zorgaanbieders ontwikkelen en beheren uiteraard niet zelf hun zorginformatiesystemen. Zij maken daarvoor gebruik van de diensten van IT-leveranciers. Gelet op het voorgaande is het geen verrassing dat veel zorgaanbieders aan hun IT-leveranciers opleggen dat zij op hun beurt ook moeten voldoen aan de NEN 7510. Ter controle daarvan zien wij met enige regelmaat in (concept-)aanbestedings-documenten de eis terugkomen dat de inschrijver én door haar in te schakelen derden moeten beschikken over een NEN 7510-certificaat.
Problematisch
De eis van een NEN 7510-certificaat kan problematisch zijn. Veel IT-leveranciers werken met buiten Nederland gevestigde onderaannemers. Die onderaannemers zullen geen NEN 7510-certificaat hebben aangezien dit een Nederlandse norm betreft.
Uit de praktijk begrijpen wij dat een buiten Nederland gevestigde onderneming geen certificaat kan aanvragen: de certificerende partijen bieden simpelweg geen certificeringsdiensten aan buiten Nederland.
De NEN 7510 heeft een internationale tegenhanger waarvan vaak gedacht wordt dat die identiek is, namelijk de ISO27001. Dat lijkt niet geheel juist, aangezien de NEN 7510 drie extra beheersmaatregelen kent en ruim 30 beheersmaatregelen in de NEN 7510 een extra specificatie bevatten. Ondanks de identieke basisnorm is de NEN 7510 dus uitgebreider. Daar komt nog bij dat de wet nu eenmaal de NEN 7510 voorschrijft en niet de ISO27001.[3] Het simpelweg volstaan met voldoen aan de internationale tegenhanger is dus niet voldoende.
Het behoeft geen toelichting dat voorgaande praktijk de Europese interne markt verstoort. Er is namelijk sprake van een drempel voor buitenlandse partijen om mee te dingen naar een te gunnen opdracht. Vanuit die optiek dringt zich de vraag op: is het eigenlijk wel toegestaan een NEN 7510-certificaat te eisen en partijen zonder certificaat uit te sluiten?
Lees het hele artikel op AGConnect.nl: Strenge NEN-normen bij IT-aanbestedingen? (agconnect.nl)