NEN7510 für IKT-Dienste - wann und wann nicht?

Von IKT-Organisationen, die Dienstleistungen für Gesundheitsdienstleister erbringen, wird häufig verlangt, dass sie die Norm NEN7510-1:2017 erfüllen. Aber ist diese Forderung richtig und kann jeder IKT-Anbieter nach dieser Norm zertifiziert werden? Dies ist eine Frage, die wir oft gestellt bekommen und über die wir in diesem Artikel berichten. Ein IKT-Lieferant, der Dienstleistungen für eine Einrichtung des Gesundheitswesens erbringt, kann nur dann eine NEN7510-Zertifizierung erhalten, wenn er tatsächlich personenbezogene Gesundheitsdaten verarbeitet.

Die Definition gemäß dem "Handbuch Soldat" der NEN7510 lautet: IInformationen über eine identifizierbare Person, die sich auf den körperlichen oder geistigen Zustand der betreffenden Person oder die Erbringung von Gesundheitsdienstleistungen für diese Person beziehen, was Folgendes umfassen kann

(a) Informationen über die Registrierung der Person für die Erbringung von Gesundheitsdienstleistungen;

(b) Informationen über die Zahlungen oder die Anspruchsberechtigung für die Pflege der betreffenden Person;

(c) eine Zahl, ein Symbol oder eine Angabe, die einer Person als eindeutige Kennung für medizinische Zwecke zugewiesen wird;

(d) alle Informationen über die Person, die bei der Erbringung von Betreuungsleistungen für die Person gesammelt wurden;

(e) Informationen, die sich aus einem Test oder einer Untersuchung eines Körperteils oder einer Körpersubstanz ergeben; und

(f) Identifizierung einer Person (z. B. einer medizinischen Fachkraft), die die Person betreut.

Ein IKT-Dienstleister kann also nur dann NEN7510-zertifiziert werden, wenn er damit personenbezogene Gesundheitsdaten verarbeitet. Aber was ist Prozess dann?

Hier ist die AVG in Artikel 4 Erklärung gegeben. Das AVG beschreibt; jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten wie das Erheben, das Speichern, die Organisation, die Strukturierung, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

In einem separaten Dokument (SAP-C025) hat der RvA Anforderungen an IKT-Dienstleister gestellt, die Gesundheitsinformationen verwalten. Damit soll verhindert werden, dass Organisationen, die überhaupt keine Gesundheitsinformationen verarbeiten, sich trotzdem zertifizieren lassen wollen. Für diese Organisationen gilt ISO27001. Darüber hinaus besagt die SAP-C025, dass in der Anwendbarkeitserklärung die Schnittstellen angegeben werden müssen. Wenn eine Organisation dies nicht tun kann, ist es offensichtlich, dass sie deshalb nicht für NEN7510 zertifiziert werden kann. Daher ist es nicht möglich, viele gesundheitsspezifische Maßnahmen auszuschließen.

SchlussfolgerungDer IKT-Dienstleister ist ein Verarbeiter der persönlichen Gesundheitsinformationen. Somit stellt die bloße Speicherung und Aufbewahrung bereits eine Schnittstelle dar. Darüber hinaus sollte aus dem Anwendungsbereich klar hervorgehen, welche Tätigkeiten, Produkte und Dienstleistungen sich auf die Verwaltung personenbezogener Gesundheitsinformationen beziehen und welche ausgelagert sind. Der VVT sollte für jede Verwaltungsmaßnahme angeben, ob sie mit der Schnittstelle in Zusammenhang steht.

DigiTrust ist ein aktiver Teilnehmer der NEN-Konsultationsplattform und war 2019 die erste Zertifizierungsstelle, die sowohl für das Gesundheitswesen als auch für den IKT-Cluster akkreditiert wurde. Wir verfügen also über eine Menge Erfahrung und Wissen im Haus.

Das DigiTrust-Backoffice kann Ihnen jederzeit weitere Informationen geben. Auch eine kostenlose Beratung durch einen erfahrenen leitenden Prüfer ist jederzeit möglich. Wir haben kurze Kommunikationswege und stehen jederzeit für weitere Informationen zu den oben genannten Anforderungen zur Verfügung.