De eerste stap op weg naar NEN 7510 informatiebeveiliging (samenvatting)

Onlangs hebben we een infosessie georganiseerd over het onderwerp: 'De eerste stap op weg naar NEN 7510 informatiebeveiliging'. In dit artikel lees je de samenvatting!

NEN 7510
CAN ster
CertificeringsAdvies Nederland
Manager Algemeen

CertificeringsAdvies Nederland is de partner in certificeren! Met diverse diensten en tools helpen we je altijd naar een oplossing op maat!

info@certificeringsadvies.nl

Steeds vaker worden zorginstellingen gevraagd om een NEN 7510 certificering. Voor ziekenhuizen wordt de wet informatiebeveiliging (ofwel: voldoen aan NEN 7510) zelfs verplicht vanaf 2023. Maar, waar begin je? Hoe pak je het aan? Waarom is het belangrijk? En waar krijg je dan mee te maken? Dat vertelden verschillende kennisexperts op 29 september 2022 in de infosessie ‘De eerste stap op weg naar NEN 7510 informatiebeveiliging’. In dit artikel vatten we de highlights uit de infosessie voor je samen.

Waarom NEN 7510 informatiebeveiliging in de zorg?

Het zal je vast niet ontgaan zijn: de patiëntgegevens van Haga-ziekenhuis die gevonden werden in een winkelkarretje van een supermarkt of het overlijden van een patiënt na een ransomware-aanval op een ziekenhuis in Düsseldorf. Steeds vaker zien we nieuwsartikelen voorbijkomen waarbij het flink misgaat in de zorg als gevolg van onvoldoende informatieveiligheid. Ziekenhuizen en zorginstellingen zijn een groot doelwit van cybercriminaliteit. Niet zo gek, aangezien er met veel gevoelige data wordt gewerkt (bijzondere persoonsgegevens volgens de AVG). En daarnaast speelt ook de afhankelijkheid van data hierin mee. Deze data neemt iedere dag weer toe en wordt voornamelijk digitaal gebruikt.

Essentie NEN 7510

De essentie van de NEN 7510 norm is het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie (BIV). In het kort is de BIV-classificatie een hulpmiddel om te bepalen welke risico’s aanvaardbaar zijn en voor welke risico’s passende technische en organisatorische maatregelen genomen moeten worden.

De onmisbaarheid van BIV komt als volgt tot uiting:

  • Zonder beschikbaarheid van gegevens is zorg niet mogelijk
  • Er wordt verkeerde zorg geleverd wanneer de gegevens niet kloppen
  • Wanneer gegevens in verkeerde handen vallen kan identiteitsfraude of imagoschade het gevolg zijn

Stappenplan NEN 7510

De hoeveelheid tijd en geld dat je kwijt bent aan de implementatie van NEN 7510 is afhankelijk van diverse factoren. De grootte of complexiteit van je organisatie, het ICT-landschap (is dit intern geregeld of is dit uitbesteed), de relevante risico’s en wat er al goed geregeld is binnen de organisatie. Om dat laatste te onderzoeken kun je een nulmeting (laten) uitvoeren.
Hoe je het ook went of keert, niets doen is geen optie meer. Maar waar begin je dan? Met de basis! Onze basisbeginselen zijn:

  • Systeemtoegang
  • Beheer van hard- en software
  • Back-up
  • Dataclassificatie
  • Netwerkbeveiliging
  • Fysieke toegang
  • Leveranciersbeheersing
  • Informatiebeveiligingsbewustzijn

Om NEN 7510 te certificeren doorloop je de volgende stappen:

  • Het goed neerzetten van de basisbeginselen
  • Breed bewustzijn creëren in de organisatie
  • Monitoring op de basisbeginselen
  • Plan-Do-Check-Act (PDCA) op de basisbeginselen
  • Risico & GAP-analyse
  • Implementatie van de overige beheersmaatregelen
  • Monitoring op de overige beheersmaatregelen
  • Interne audit
  • Externe audit

De technische basics

De technische basics waarmee je het fundament voor een informatieveiligere organisatie kan leggen, zijn:

  • Operationele beveiliging
  • Netwerkbeveiliging
  • Autorisaties
  • Wachtwoorden
  • Leveranciersbeheersing
  • Fysieke toegang
  • Clean desk/clear screen beleid

Ook hier geldt dat je eerst kijkt naar de risico’s, dan bepaalt welke maatregelen getroffen moeten worden, inventariseert wat er al is en vervolgens in kleine behapbare projecten aan de slag gaat met het verbeteren en implementeren van oplossingen.

Lessons learned uit de praktijk

Ondanks dat iedere zorginstelling verschillend is, zijn er een aantal belangrijke ‘lessons learned’ die voor iedere NEN 7510 implementatie toe te passen zijn:

  • Het is geen ‘ICT-feestje’. Betrek medewerkers nog voordat je gaat starten.
  • Maak het zo simpel mogelijk en zorg dat het aansluit op je huidige manier van werken.
  • Bepaal samen wanneer een risico acceptabel is en waarom.
  • Maak de scope niet te groot. Bouw het later verder uit!
  • Zorg voor bewustwording. Begin met de ‘simpele’ aspecten: veilig omgaan met wachtwoorden, clean desk, afsluiten van een scherm bij het verlaten van de werkplek, updates tijdig uitvoeren.
  • Stel verwerkingsregisters op (dit is een eis vanuit AVG).
  • Maak draaiboeken en calamiteitenplannen ter houvast bij panieksituaties.
  • Ga je leveranciers goed na: heb je een PvE (pakket van eisen)? Zijn leveranciers gecertificeerd? Hoe gaan zij om met informatiebeveiliging?
  • Maak een afweging tussen veiligheid en gebruikersgemak. Onthoud dat er geen voorgeschreven standaard kader is en dat er ruimte is om het voor jouw organisatie passen en werkbaar te maken.
  • Zorg voor goede communicatie tussen de organisatie en auditoren om goed in te schatten welke medewerker aan welk interview moet deelnemen.
  • Ga je certificeren voor andere normen (denk aan HKZ of ISO 9001 bijvoorbeeld), probeer dit dan te combineren met NEN 7510 in verband met overlap.

De externe audit

Na het uitvoeren van een interne audit is het tijd voor de externe audit. Deze wordt altijd uitgevoerd door een externe onafhankelijke partij: een certificerende instantie (CI). Deze audit wordt in twee fases uitgevoerd. In fase 1 wordt een vooronderzoek gedaan waarin voornamelijk de documentatie (het Information Security Management System: ISMS) wordt bekeken en of de (verplichte) beleidsdocumenten zijn opgesteld en geïmplementeerd zijn. In fase 2 wordt het certificeringsonderzoek gedaan. De auditor onderzoekt in enkele dagen op locatie of de acties die uit fase 1 zijn gekomen zijn uitgevoerd en hoe deze zijn opgelost. Daarnaast kijkt de auditor of de beheersmaatregelen geïmplementeerd zijn door het interviewen van medewerkers van iedere afdeling. Ofwel: komt de ‘theorie’ met de praktijk overeen?

Afwijkingen die het vaakst voortkomen uit een externe audit zijn:

  • Logging
  • Meten en monitoren
  • De leveranciersbeoordeling
  • Competenties vaststellen
  • SAP c025 (scope & VVT)

Ondersteuning nodig?

Heb je ondersteuning nodig bij het beheren en verbeteren van je informatiebeveiligingsmanagement? Of bij het implementeren van de NEN 7510 norm? Neem dan gerust contact met ons op!

New call-to-action

CAN ster
CertificeringsAdvies Nederland
Manager Algemeen

CertificeringsAdvies Nederland is de partner in certificeren! Met diverse diensten en tools helpen we je altijd naar een oplossing op maat!

info@certificeringsadvies.nl

Alles weten over NEN 7510?

Download de gids

  • Praktische tips
  • De norm verklaard

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields