De eerste stap op weg naar NEN 7510 informatiebeveiliging (samenvatting)

Steeds vaker worden zorginstellingen gevraagd om een NEN 7510 certificering. Voor ziekenhuizen wordt de wet informatiebeveiliging (ofwel: voldoen aan NEN 7510) zelfs verplicht vanaf 2023. Maar, waar begin je? Hoe pak je het aan? Waarom is het belangrijk? En waar krijg je dan mee te maken? Dat vertelden verschillende kennisexperts op 29 september 2022 in de infosessie ‘De eerste stap op weg naar NEN 7510 informatiebeveiliging’. In dit artikel vatten we de highlights uit de infosessie voor je samen.

Het zal je vast niet ontgaan zijn: de patiëntgegevens van Haga-ziekenhuis die gevonden werden in een winkelkarretje van een supermarkt of het overlijden van een patiënt na een ransomware-aanval op een ziekenhuis in Düsseldorf. Steeds vaker zien we nieuwsartikelen voorbijkomen waarbij het flink misgaat in de zorg als gevolg van onvoldoende informatieveiligheid. Ziekenhuizen en zorginstellingen zijn een groot doelwit van cybercriminaliteit. Niet zo gek, aangezien er met veel gevoelige data wordt gewerkt (bijzondere persoonsgegevens volgens de AVG). En daarnaast speelt ook de afhankelijkheid van data hierin mee. Deze data neemt iedere dag weer toe en wordt voornamelijk digitaal gebruikt.

De essentie van de NEN 7510 norm is het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie (BIV). In het kort is de BIV-classificatie een hulpmiddel om te bepalen welke risico’s aanvaardbaar zijn en voor welke risico’s passende technische en organisatorische maatregelen genomen moeten worden.

De onmisbaarheid van BIV komt als volgt tot uiting:

De hoeveelheid tijd en geld dat je kwijt bent aan de implementatie van NEN 7510 is afhankelijk van diverse factoren. De grootte of complexiteit van je organisatie, het ICT-landschap (is dit intern geregeld of is dit uitbesteed), de relevante risico’s en wat er al goed geregeld is binnen de organisatie. Om dat laatste te onderzoeken kun je een nulmeting (laten) uitvoeren.
Hoe je het ook went of keert, niets doen is geen optie meer. Maar waar begin je dan? Met de basis! Onze basisbeginselen zijn:

Om NEN 7510 te certificeren doorloop je de volgende stappen:

De technische basics waarmee je het fundament voor een informatieveiligere organisatie kan leggen, zijn:

Ook hier geldt dat je eerst kijkt naar de risico’s, dan bepaalt welke maatregelen getroffen moeten worden, inventariseert wat er al is en vervolgens in kleine behapbare projecten aan de slag gaat met het verbeteren en implementeren van oplossingen.

Ondanks dat iedere zorginstelling verschillend is, zijn er een aantal belangrijke ‘lessons learned’ die voor iedere NEN 7510 implementatie toe te passen zijn:

Na het uitvoeren van een interne audit is het tijd voor de externe audit. Deze wordt altijd uitgevoerd door een externe onafhankelijke partij: een certificerende instantie (CI). Deze audit wordt in twee fases uitgevoerd. In fase 1 wordt een vooronderzoek gedaan waarin voornamelijk de documentatie (het Information Security Management System: ISMS) wordt bekeken en of de (verplichte) beleidsdocumenten zijn opgesteld en geïmplementeerd zijn. In fase 2 wordt het certificeringsonderzoek gedaan. De auditor onderzoekt in enkele dagen op locatie of de acties die uit fase 1 zijn gekomen zijn uitgevoerd en hoe deze zijn opgelost. Daarnaast kijkt de auditor of de beheersmaatregelen geïmplementeerd zijn door het interviewen van medewerkers van iedere afdeling. Ofwel: komt de ‘theorie’ met de praktijk overeen?

Afwijkingen die het vaakst voortkomen uit een externe audit zijn:

Heb je ondersteuning nodig bij het beheren en verbeteren van je informatiebeveiligingsmanagement? Of bij het implementeren van de NEN 7510 norm? Neem dan gerust contact met ons op!