NEN7510

NEN 7510 is de Nederlandse norm voor een managementsysteem voor informatiebeveiliging (ISMS). Hiermee kunt u aantonen dat u aan alle beveiligingsvereisten voldoet en uw bedrijfsprocessen goed zijn ingericht. Eventueel kunt u dit onderstrepen met een certificering.

De standaard is opgezet conform de High Level Structure (HLS) en heeft een inhoudsopgave vergelijkbaar met andere nieuwe ISO standaarden zoals ISO 9001 en HKZ. Echter, er is een essentieel onderscheid met andere ISO normen, omdat in de Appendix A van de standaard een aantal managementdoelstellingen en beheersmaatregelen worden beschreven die u in de risico-analyse moet opnemen.

NEN 7510 heeft betrekking op alle aspecten van de bedrijfsvoering, zoals een eenduidige beschrijving van bedrijfsmiddelen en applicaties, governance, gegevensclassificatie en risico-analyse. Daarnaast omvat het een lijst van 114 informatiebeveiligingsmaatregelen die genomen moeten worden, afhankelijk van de context en risk appetite van uw organisatie.

Om dit effectief in te richten en goed te kunnen onderhouden, is het belangrijk om verbanden te leggen tussen de context, het informatiebeveiligingsbeleid, de risicoanalyses en de onderwerpen uit de Annex A. Daarbij zijn thema’s zoals security bewustzijn, security incident management, het meten van ISO-beheersprestaties en het inrichten van een jaarlijkse verbetercyclus (PDCA) van groot belang.

Voor wie is de NEN 7510?

NEN 7510 is ontwikkeld voor alle organisaties in de zorgsector die patiënt- en cliëntgegevens verwerken. De norm helpt om informatiebeveiliging op een structurele wijze te borgen vanuit de AVG en andere wetgeving. Dit geldt voor zowel zorgaanbieders als leveranciers, ongeacht hun grootte of soort. Het is dus van belang voor elke organisatie die binnen de zorgsector actief is en persoonsgegevens verwerkt om de NEN 7510 te implementeren en te voldoen aan de gestelde eisen. Zo kan de veiligheid van de patiënt- en cliëntgegevens gewaarborgd worden en kunnen organisaties voorkomen dat zij in overtreding zijn van wet- en regelgeving.

De voordelen van NEN 7510 certificering

De voordelen van het implementeren van de NEN 7510 norm voor informatiebeveiliging in de zorgsector zijn onder andere:

1. Risico’s worden inzichtelijk: Door het implementeren van NEN 7510 worden de risico’s die de organisatie loopt in kaart gebracht. Dit biedt inzicht en maakt het mogelijk om gerichte maatregelen te nemen om deze risico’s te beheersen.
2. Betere beveiliging van patiëntgegevens: De norm richt zich specifiek op de bescherming van privacygevoelige informatie, waardoor de beveiliging van patiëntgegevens wordt verbeterd.
3. Voldoen aan wet- en regelgeving: NEN 7510 is in lijn met de Algemene Verordening Gegevensbescherming (AVG) en de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Door te voldoen aan deze norm wordt ook voldaan aan de wettelijke eisen.
4. Toenemend vertrouwen van patiënten: Het voldoen aan de norm kan het vertrouwen van patiënten in de zorgorganisatie vergroten. Het geeft aan dat er aandacht is voor de bescherming van privacygevoelige informatie en dat er zorgvuldig met patiëntgegevens wordt omgegaan.
5. Efficiëntere bedrijfsvoering: Door het implementeren van NEN 7510 worden processen en procedures gestandaardiseerd en geoptimaliseerd. Dit kan leiden tot een efficiëntere bedrijfsvoering en kostenbesparingen.

ISMS staat voor information security management system en wordt bijvoorbeeld gebruikt als methodologie voor de ISO 27001 en in dit geval de NEN 7510.

Een ISMS is de manier waarop je de informatiebeveiliging kunt inrichten en besturen. Dat kan op basis van eigen organisatie specifieke kenmerken en doelen. Er zijn een aantal ISMS activiteiten die verplicht zijn. Denk daarbij aan bijvoorbeeld een verklaring van toepasselijkheid, het uitvoeren van een jaarlijkse interne audit of het uitvoeren van risico analyses. Belangrijk is verder de aantoonbaarheid (bewijs aanleveren) van alle onderdelen van het ISMS tijdens een audit. Het ISMS is dus feitelijk een manier van werken die aantoonbaar te maken is.

Het ISMS gaat uit van de PDCA cyclus, wat betekent dat je constant moet blijven verbeteren. Deze verbeteringen dienen ook aantoonbaar vastgelegd te zijn.

Het is belangrijk dat het ISMS geïntegreerd is met de procedures, de algehele managementstructuur van de organisatie en dat bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen rekening wordt gehouden met informatiebeveiliging.
Het doel van het ISMS is om continu te beoordelen of beveiligingsmaatregelen passend en effectief zijn en of deze moeten worden aangepast vanwege veranderende omstandigheden of nieuwe wet- en regelgeving.

Samoerai biedt praktische richtlijnen voor overheidsinstanties en samenwerkingsverbanden om aan geldende regelgeving te voldoen.

Om u een beeld te geven hebben we een aantal vragen met toelichting inzake NEN 7510 certificering op een rijtje gezet:

• Tot in hoeverre heeft u de context van de organisatie bepaald? Hierbij moet rekening worden gehouden met de eisen en verwachtingen van interne en externe stakeholders, regelgeving, ontwikkelingen van buitenaf en concrete kwesties die intern een rol spelen in de organisatie.
• Wat is het toepassingsgebied van het ISMS? Dit moet duidelijk zijn vastgesteld.
• In welke mate is de directie betrokken bij het informatiebeveiligingsbeleid? Om te voldoen aan NEN 7510 moeten duidelijke regels, rollen en verantwoordelijkheden zijn opgesteld, en middelen beschikbaar zijn gesteld.
• Zijn de risico’s en kansen voor uw organisatie vastgesteld door middel van een risico analyse? Hiervoor is het verplicht procedures vast te leggen zodat de risico analyse in de toekomst gerepliceerd kan worden en dus gelijkwaardige uitkomsten opleveren.
• Alle vastgestelde beheersdoelen dienen te worden beoordeeld op relevantie, toepasselijk te worden verklaard en indien vereist schriftelijk vastgelegd en te worden geïmplementeerd.
• Worden er interne audits uitgevoerd? Volgens de NEN 7510 moeten onderstaande zaken periodiek worden gemeten en gemonitord:
  • Informatiebeveiligingsdoelen
  • Incidenten
  • Gegevensbeveiligingsprocessen
• Vinden er evaluaties plaats over de effectiviteit van de genomen maatregelen m.b.t. gegevensbeveiliging? Denk hierbij aan een periodieke directiebeoordeling.
• De organisatie dient aantoonbaar te leren van fouten, klachten en afwijkingen. Tevens moet de organisatie corrigerende maatregelen treffen om hiermee om te gaan.

De complete eisen vindt u terug in de officiële NEN 7510 norm.