Steeds vaker worden zorginstellingen gevraagd om een NEN 7510 certificering. Voor ziekenhuizen wordt de wet informatiebeveiliging (ofwel: voldoen aan NEN 7510) zelfs verplicht vanaf 2023. Maar, waar begin je? Hoe pak je het aan? Waarom is het belangrijk? En waar krijg je dan mee te maken? Dat vertelden verschillende kennisexperts op 29 september 2022 in de infosessie ‘De eerste stap op weg naar NEN 7510 informatiebeveiliging’. In dit artikel vatten we de highlights uit de infosessie voor je samen.
Waarom NEN 7510 informatiebeveiliging in de zorg?
Het zal je vast niet ontgaan zijn: de patiëntgegevens van Haga-ziekenhuis die gevonden werden in een winkelkarretje van een supermarkt of het overlijden van een patiënt na een ransomware-aanval op een ziekenhuis in Düsseldorf. Steeds vaker zien we nieuwsartikelen voorbijkomen waarbij het flink misgaat in de zorg als gevolg van onvoldoende informatieveiligheid. Ziekenhuizen en zorginstellingen zijn een groot doelwit van cybercriminaliteit. Niet zo gek, aangezien er met veel gevoelige data wordt gewerkt (bijzondere persoonsgegevens volgens de AVG). En daarnaast speelt ook de afhankelijkheid van data hierin mee. Deze data neemt iedere dag weer toe en wordt voornamelijk digitaal gebruikt.
Essentie NEN 7510
De essentie van de NEN 7510 norm is het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie (BIV). In het kort is de BIV-classificatie een hulpmiddel om te bepalen welke risico’s aanvaardbaar zijn en voor welke risico’s passende technische en organisatorische maatregelen genomen moeten worden.
Meer lezen over de BIV-classificatie? Lees dan: ‘Dataclassificatie bij informatiebeveiliging: Beschikbaarheid, integriteit en vertrouwelijkheid (BIV)’
De onmisbaarheid van BIV komt als volgt tot uiting:
- Zonder beschikbaarheid van gegevens is zorg niet mogelijk
- Er wordt verkeerde zorg geleverd wanneer de gegevens niet kloppen
- Wanneer gegevens in verkeerde handen vallen kan identiteitsfraude of imagoschade het gevolg zijn
Download de NEN 7510 informatiegids
Wil je alles weten over de NEN 7510 norm? In deze infogids vertellen we je onder andere over de norm, voor wie NEN 7510 verplicht is, wat een NEN 7510 ISMS is, een handig stappenplan en geven we antwoord op de meestgestelde vragen. De gids is geheel vrijblijvend te downloaden.


Stappenplan NEN 7510
De hoeveelheid tijd en geld dat je kwijt bent aan de implementatie van NEN 7510 is afhankelijk van diverse factoren. De grootte of complexiteit van je organisatie, het ICT-landschap (is dit intern geregeld of is dit uitbesteed), de relevante risico’s en wat er al goed geregeld is binnen de organisatie. Om dat laatste te onderzoeken kun je een nulmeting (laten) uitvoeren.
Hoe je het ook went of keert, niets doen is geen optie meer. Maar waar begin je dan? Met de basis! Onze basisbeginselen zijn:
- Systeemtoegang
- Beheer van hard- en software
- Back-up
- Dataclassificatie
- Netwerkbeveiliging
- Fysieke toegang
- Leveranciersbeheersing
- Informatiebeveiligingsbewustzijn
Om NEN 7510 te certificeren doorloop je de volgende stappen:
- Het goed neerzetten van de basisbeginselen
- Breed bewustzijn creëren in de organisatie
- Monitoring op de basisbeginselen
- Plan-Do-Check-Act (PDCA) op de basisbeginselen
- Risico & GAP-analyse
- Implementatie van de overige beheersmaatregelen
- Monitoring op de overige beheersmaatregelen
- Interne audit
- Externe audit
De technische basics
De technische basics waarmee je het fundament voor een informatieveiligere organisatie kan leggen, zijn:
- Operationele beveiliging
- Netwerkbeveiliging
- Autorisaties
- Wachtwoorden
- Leveranciersbeheersing
- Fysieke toegang
- Clean desk/clear screen beleid
Ook hier geldt dat je eerst kijkt naar de risico’s, dan bepaalt welke maatregelen getroffen moeten worden, inventariseert wat er al is en vervolgens in kleine behapbare projecten aan de slag gaat met het verbeteren en implementeren van oplossingen.
Meer weten over de technische basics? Lees dan: ‘5 basismaatregelen cybersecurity: start vandaag nog!’
Lessons learned uit de praktijk
Ondanks dat iedere zorginstelling verschillend is, zijn er een aantal belangrijke ‘lessons learned’ die voor iedere NEN 7510 implementatie toe te passen zijn:
- Het is geen ‘ICT-feestje’. Betrek medewerkers nog voordat je gaat starten.
- Maak het zo simpel mogelijk en zorg dat het aansluit op je huidige manier van werken.
- Bepaal samen wanneer een risico acceptabel is en waarom.
- Maak de scope niet te groot. Bouw het later verder uit!
- Zorg voor bewustwording. Begin met de ‘simpele’ aspecten: veilig omgaan met wachtwoorden, clean desk, afsluiten van een scherm bij het verlaten van de werkplek, updates tijdig uitvoeren.
- Stel verwerkingsregisters op (dit is een eis vanuit AVG).
- Maak draaiboeken en calamiteitenplannen ter houvast bij panieksituaties.
- Ga je leveranciers goed na: heb je een PvE (pakket van eisen)? Zijn leveranciers gecertificeerd? Hoe gaan zij om met informatiebeveiliging?
- Maak een afweging tussen veiligheid en gebruikersgemak. Onthoud dat er geen voorgeschreven standaard kader is en dat er ruimte is om het voor jouw organisatie passen en werkbaar te maken.
- Zorg voor goede communicatie tussen de organisatie en auditoren om goed in te schatten welke medewerker aan welk interview moet deelnemen.
- Ga je certificeren voor andere normen (denk aan HKZ of ISO 9001 bijvoorbeeld), probeer dit dan te combineren met NEN 7510 in verband met overlap.
De externe audit
Na het uitvoeren van een interne audit is het tijd voor de externe audit. Deze wordt altijd uitgevoerd door een externe onafhankelijke partij: een certificerende instantie (CI). Deze audit wordt in twee fases uitgevoerd. In fase 1 wordt een vooronderzoek gedaan waarin voornamelijk de documentatie (het Information Security Management System: ISMS) wordt bekeken en of de (verplichte) beleidsdocumenten zijn opgesteld en geïmplementeerd zijn. In fase 2 wordt het certificeringsonderzoek gedaan. De auditor onderzoekt in enkele dagen op locatie of de acties die uit fase 1 zijn gekomen zijn uitgevoerd en hoe deze zijn opgelost. Daarnaast kijkt de auditor of de beheersmaatregelen geïmplementeerd zijn door het interviewen van medewerkers van iedere afdeling. Ofwel: komt de ‘theorie’ met de praktijk overeen?
Afwijkingen die het vaakst voortkomen uit een externe audit zijn:
- Logging
- Meten en monitoren
- De leveranciersbeoordeling
- Competenties vaststellen
- SAP c025 (scope & VVT)
Ondersteuning nodig?
Heb je ondersteuning nodig bij het beheren en verbeteren van je informatiebeveiligingsmanagement? Of bij het implementeren van de NEN 7510 norm? Neem dan gerust contact met ons op!