Back-up management binnen NEN 7510: wat zijn de aandachtspunten?

Je back-ups ingeregeld hebben is een eis uit de NEN 7510 norm. Maar hoe doe je dat? Wat zijn de aandachtspunten?

Back-up management
Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens.hekkink@certificeringsadvies.nl

De Inspectie Gezondheidszorg en Jeugd (IGJ) stelt ziekenhuizen verplicht om uiterlijk in 2023 te voldoen aan de norm voor informatiebeveiliging in de zorg: NEN 7510. Dit om toekomstige problemen bij ziekenhuizen te voorkomen. Daar hoort bij dat ziekenhuizen regelmatig een onafhankelijke beoordeling laten uitvoeren. De IGJ gaat dit opvragen bij alle ziekenhuizen. Wat betekent dat voor ziekenhuizen en zorginstellingen? 

In een reeks van drie webinars vertellen CertificeringsAdvies Nederland & Infield ICT daar meer over. Onlangs, op 19 april 2023, vond het eerste webinar plaats waarin het topic ‘NEN 7510 compliant back-up: maak het onze zorg’ centraal stond. Namens CertificeringsAdvies Nederland heeft adviseur Laurens Hekkink daarin een en ander verteld over back-ups in relatie tot NEN 7510. Wat zijn de compliance requirements? Wat is het beleid dat wordt aangehouden bij het maken van back-ups en waar moet je daarbij aan denken? In dit artikel een uiteenzetting van zijn verhaal.

Wat is NEN 7510?

Informatiebeveiliging klinkt als iets heel abstracts, maar het gaat erom dat je de organisatie beschermt tegen de risico’s en bedreigingen op gebied van informatie en ICT. Dat houdt in dat het wellicht lijkt alsof het een feestje voor ICT is, maar het gaat juist veel verder dan dat. Het namelijk ook over de informatie die daarbij komt kijken zoals personeelsdata, bedrijfsgevoelige data etc. Kortom, informatiebeveiliging is niet enkel iets waar ICT een rol in speelt.

Belangrijk in het verhaal van informatiebeveiliging zijn de drie pijlers van informatiebeveiliging:

  • Beschikbaarheid: informatie moet op de gewenste momenten beschikbaar zijn
  • Integriteit: informatie moet juist en volledig zijn en de informatiesystemen moeten juiste en volledige informatie opslaan en verwerken
  • Vertrouwelijkheid: informatie moet alleen toegankelijk zijn voor degene die hiervoor bevoegd is.

Ook de NEN 7510 norm is op deze drie pijlers gebaseerd. Alvorens we verder gaan, een korte toelichting over wat NEN 7510 precies is:

NEN 7510 is een Nederlandse norm gericht op informatiebeveiliging binnen de zorgsector, die richtlijnen geeft voor waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie.

Wanneer je NEN 7510 implementeert in je organisatie en voldoet aan de (richtlijnen van de) norm, voldoe je aan de eisen van het ministerie van VWS. Je kunt er vervolgens ook voor kiezen om je organisatie te laten certificeren voor de NEN 7510 norm. Daarmee borg je onafhankelijke zekerheid omtrent je interne controles en je maakt, zowel intern als extern, aantoonbaar dat informatiebeveiliging goed geborgd is. Door middel van de NEN 7510-checklist en het periodieke beoordelingsproces kun je prestaties op de voet volgen en continu verbeteren.

De NEN 7510 norm bestaat uit twee gedeelten, namelijk de basishoofdstukken (4 t/m 10) waarmee je een PDCA-cyclus realiseert om continu verbeteren in kaart te brengen en een bijlage A welke gebruikt wordt voor het beheersen van mogelijke risico’s.

  • De ISO 27001 vormt de basis van de NEN 7510 norm, samen met nog een tweetal andere normen.
  • Verder is de NEN 7510 norm onderscheidend door 36 verdiepende zorgspecifieke maatregelen die beschreven zijn.

Uiteindelijk richt je bij NEN 7510 een managementsysteem (ISMS) in, waarbij risico’s worden geïdentificeerd voor behandeling. Je dient deze tot op een acceptabel niveau te beheersen.

Aantoonbare back-up van informatie en systemen

Wanneer je met NEN 7510 aan de slag gaat, dan is een aantoonbare back-up van informatie en systemen, inclusief een regelmatig geteste mogelijkheid tot herstel, daar een belangrijk onderdeel van. Sterker nog: het onderdeel back-up is een eis uit de norm.

Vanuit ISO 27001, de norm voor informatiebeveiliging, is de basiseis dat de back-up gemaakt moet worden en dat je periodiek controleert of het back-up beleid ook werkt in de praktijk. Binnen NEN 7510 komt daar als extra eis bij dat je ook moet garanderen dat alle persoonlijke gezondheidsinformatie fysiek beveiligd is. De back-up mag niet zomaar midden in een kantoor of niet afgesloten kast staan. Daarnaast wordt verwacht dat je de back-up ook voorziet van een vorm van versleuteling om te voorkomen dat er onbevoegde personen bij kunnen.

Normeisen: A. 12.3.1 Back-up van informatie

Beheersmaatregel:
Regelmatig moeten back-up kopieën van informatie, software en systeemafbeeldingen worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.

Zorgspecifieke beheersmaatregel:
Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten back-ups maken van alle persoonlijke gezondheidsinformatie en deze in een fysiek beveiligde omgeving opslaan om te garanderen dat de informatie in de toekomst beschikbaar is.

Om de vertrouwelijkheid ervan te beschermen moeten er versleutelde back-ups worden gemaakt van persoonlijke gezondheidsinformatie.

Overwegingen bij het maken van back-ups

Voor het maken van back-ups zijn een aantal belangrijke overwegingen:

  • Wat wil je back-uppen?
    • Je kunt alles back-uppen, maar is het ook relevant?
  • Hoelang moet een back-up bewaard worden?
    • Denk daarbij aan wensen van de organisatie, eisen van klanten en wettelijke verplichtingen (bijv. belastingdienst eist dat je zaken 7 jaar bewaart).
  • Waar dient de back-up te worden opgeslagen?
  • Hoeveel dataverlies is acceptabel (RPO)?
    • Hoe vaak maak je een back-up en hoever mag je terug in de tijd gaan voordat een back-up teruggezet mag zijn?
  • Hoelang mag het initiëren van de back-up duren? (RTO)?
    • Hoeveel tijd heb je nodig om over te gaan tot herstel van de back-up?
  • Hoelang mag het duren voordat de back-up teruggezet moet zijn (MTD)?
    • Je moet rekening houden met de tijd tussen het initiëren van de back-up en het weer operationeel zijn.
Backup schema

Voorbeeld back-up inrichting maand

Je kunt kijken naar een back-up inrichting per maand. Elke maand wordt er een full back-up gemaakt en daarnaast wordt er wekelijks een full back-up bovenop gemaakt. Tot slot vindt er een incrementele back-up plaats die dagelijks wordt gemaakt. Hieronder, in het kader van NEN 7510, een voorbeeldschema:

Backup voorbeeldplanning

En een voorbeeld beleid:

Backup planning

Let op: Dit is een voorbeeld. Gebruikt dit voorbeeld niet zonder een professional te raadplegen.

Back-up restore

Wanneer we spreken over testen van de back-up en daarbij kijken naar de norm, dan zeggen zowel onderdeel A12 als onderdeel A17 daar wat over:

Beheersmaatregel:
De organisatie moet de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geïmplementeerde beheersmaatregelen regelmatig verifiëren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties.

Hier staat dus eigenlijk dat het goed is dat er een back-up is en dat er maatregelen voor continuïteit zijn genomen, maar dat er ook geborgd moet worden dat deze ook te gebruiken zijn in geval van een ongunstige situatie. Dat borgen doe je door middel van een back-up restore.

Methodes:

  • Item level recovery
    • Een bestand of map uit een back-up terugzetten
    • Een mailtje of SharePoint item uit een back-up terugzetten
  • Een volledige back-up terugzetten
  • Een volledige, gevolgd door de incrementele back-up terugzetten

Vastlegging (in het kader van NEN 7510):

  • Leg vast wat je hebt gedaan, eventueel aangevuld met screenshots
  • Geef aan wat er goed ging en wat niet
  • Leg afwijkingen vast in je afwijkingenregister

Take-aways

Back-ups zijn belangrijk. Je hoeft weliswaar niet alles te back-uppen, maar dient rekening te houden met het type informatie, de frequentie van opslag (hoe vaak) en de bewaartermijn van een back-up.

Enkel een back-up hebben is niet toereikend, één back-up is geen back-up. Daarnaast geldt dat het niet testen ook geen goede back-up methode is, omdat je dan niet weet of je hem ook terug kunt zetten in het geval van een calamiteit.

Meer informatie?

In dit artikel is teruggeblikt op het eerste webinar uit een reeks van drie webinars rondom NEN 7510. Het eerste webinar terugkijken?

Wil je meer informatie over NEN 7510 of specifiek over back-ups? Neem dan gerust contact met ons op. We helpen je graag op weg.

Offerte aanvragen

Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens.hekkink@certificeringsadvies.nl

Back-ups beter inregelen?

Ga aan de slag met NEN 7510 voor de zorg.

  • Vrijblijvende offerte
  • Op maat advies
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields