NEN 7510 handboek transformeren naar een futureproof NEN 7510 ISMS
Het handboek NEN 7510? Dat is verleden tijd! Maar waar laat je dan al je documentatie? Dat vertellen we je in dit artikel!
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlMoet er een NEN 7510 handboek opgezet worden? Die vraag horen we nog regelmatig. Het antwoord daarop: nee, een NEN 7510 handboek of praktijkboek NEN 7510, zoals het ook wel genoemd werd, is verleden tijd. Waar laat je dan al je documentatie rondom NEN 7510 certificering? In een NEN 7510 ISMS (Information Security Management System)! Het NEN 7510 ISMS is meer dan een documentlog, het helpt bij de bedrijfsvoering van de organisatie en zorgt ervoor dat de kwaliteit van de gezondheidsinformatie die wordt verwerkt, geborgd en verbeterd wordt.
Het NEN 7510 handboek is verleden tijd
In het verleden werd er bij het implementeren van NEN 7510 al snel de stap gezet naar het optuigen van een handboek NEN 7510. En terecht, want destijds was dat ook daadwerkelijk wat er gebeurde. Er werd een dik en wollig praktijkboek NEN 7510 gemaakt waarin alles wat de organisatie deed op het gebied van bescherming van medische persoonsgegevens werd beschreven. Dat was immers nodig om te voldoen aan de eisen van de norm waarin om een verplichte structuur van vastlegging werd gevraagd. Zo bestond het handboek uit allerlei gedocumenteerde procedures, formulieren en checklists. Om die reden associëren veel organisaties ISO- en NEN-normen, zoals NEN 7510, tot op de dag van vandaag met dikke pakken papier.
Gelukkig is dat in de praktijk veranderd. Met de komst van de nieuwe generatie normen is het verplichte handboek NEN 7510 verleden tijd. Tegenwoordig wordt er bij NEN 7510 (en bij andere ISO-normen of afgeleiden daarvan) niet meer gesproken over een handboek, maar over ‘gedocumenteerde informatie’. Dat is eigenlijk een overkoepelende term voor alle documenten en systemen die je in je organisatie gebruikt en welke je kunt borgen in een modern NEN 7510 ISMS.
Van handboek NEN 7510 naar een NEN 7510 ISMS
Waar je voorheen alles in een NEN 7510 handboek vastlegde, draait het nu om gedocumenteerde informatie. Je bent als organisatie vrij om zelf te bepalen op welke manier je iets vastlegt. Het belangrijkste van informatiebeveiliging, en de NEN 7510 norm, is dat je risico’s in kaart brengt en daarvoor beheersmaatregelen treft. Het draait er daarbij om ‘bewijs’ te leveren dat de beheersmaatregel is geïmplementeerd en effectief is, en niet om de manier waarop je iets documenteert of vastlegt. Bij veel organisaties zie je dat het papieren handboek inmiddels is omgezet naar een modern managementsysteem.
Wanneer we binnen de NEN 7510 norm spreken over een managementsysteem, dan bedoelen we een Information Security Management System (ISMS). In dat systeem wordt veel meer vastgelegd dan enkel een uitwerking van beleidsstukken en procedures. Het ISMS is veel meer een hulpmiddel bij de bedrijfsvoering en zorgt ervoor dat de kwaliteit van de gezondheidsinformatie die wordt verwerkt, geborgd en verbeterd wordt. En dat is precies waar het om draait!
Het NEN 7510 ISMS opzetten
In deze video legt onze adviseur Tobias uit wat een ISMS precies is.
NEN 7510 ISMS: Start met de contextanalyse
Bij het ISMS start je met het in kaart brengen van de context van de organisatie. Deze contextanalyse bestaat uit een aantal elementen namelijk:
- SWOT en confrontatiematrix of een Business Plan
In een SWOT of Business Plan worden de interne en externe factoren in kaart gebracht die van invloed zijn op de organisatie en specifiek op het verwerken van gezondheidsinformatie (marktontwikkelingen, kansen, bedreigingen). - Stakeholderanalyse
In de Stakeholderanalyse worden de belanghebbenden bij de organisatie in kaart gebracht en wordt vanuit hun perspectief gekeken naar de eisen en verwachtingen op het gebied van het verwerken van gezondheidsinformatie. - Risicoanalyse
Bij het inventariseren van de risico’s ligt de nadruk op het in kaart brengen van de risico’s op het gebied van de verwerking en/of opslag van gezondheidsinformatie. Van de geïnventariseerde risico’s wordt de kans en impact bepaald, op basis waarvan risico’s kunnen worden geprioriteerd. - Scope
In de scope van de NEN 7510:2017 wordt de dienst of het product beschreven, waarbij het een vereiste is om te beschrijven dat de organisatie verantwoordelijk is voor de bescherming van gezondheidsinformatie bij de levering ervan. Naast deze verantwoordelijkheid dient de organisatie de systemen te benoemen waarin de gezondheidsinformatie wordt verwerkt en/of wordt opgeslagen. - Verklaring van Toepasselijkheid
In de Verklaring van Toepasselijkheid dienen alle beheersmaatregelen vanuit de Annex A van de NEN 7510 te worden opgenomen en dient te worden aangegeven of deze van toepassing en geïmplementeerd zijn. De organisatie dient te inventariseren of de maatregelen gerelateerd zijn aan een wet, contract, uitbesteed proces, interface en/of de risicoanalyse.
GAP-analyse en beheersmaatregelen
Vanuit de context wordt het informatiebeveiligingsbeleid van de organisatie bepaald en worden de doelstellingen geformuleerd die de organisatie wil bereiken om de gezondheidsinformatie beter te borgen of om meer focus te leggen op de gezondheidssector.
Als de doelstellingen geformuleerd zijn, gaat de organisatie een GAP-analyse uitvoeren op de beheersmaatregelen. Daarbij wordt in kaart gebracht welke beheersmaatregelen al geïmplementeerd zijn en wat de organisatie nog wil/moet implementeren. Dit gebeurt op basis van de risicoanalyse. Deze GAP-analyse dient als leidraad voor de verdere implementatie van het NEN 7510 ISMS. In de onderstaande afbeelding is weergegeven wat de correlatie is tussen de verschillende onderwerpen bij de opzet van het managementsysteem.
Beheer managementsysteem
Bij het opzetten van een ISMS voor NEN 7510:2017 is de aanwezigheid van documentatie niet het belangrijkste. De focus dient met name te liggen op de wijze waarop de bedrijfsvoering in beheer is. Dit is voor gezondheidsinformatie van belang, want door continu te werken aan verbetering wordt de kans op een datalek steeds verder geminimaliseerd.
Werkzaamheden die hieraan bij kunnen dragen zijn bijvoorbeeld:
- Het monitoren en meten van de doelstellingen met behulp van KPI’s;
- Monitoren van de naleving van SLA-afspraken door toeleveranciers;
- Intern monitoren van het informatiebeveiligingsbewustzijn van het personeel, met behulp van een incidenten- en een datalekregistratie.
Uit deze methoden komen bevindingen voort, die vervolgens kunnen worden meegenomen in het verbeterplan. Op deze manier blijf je als organisatie in control en kan de kwaliteit voor het borgen van de gezondheidsinformatie steeds verder worden verbeterd.
Voorbeelden ‘in control’
In de onderstaande afbeelding worden een aantal voorbeelden gegeven op welke wijze de organisatie in control kan komen.
NEN 7510 ISMS inrichten?
Wil je aan de slag met NEN 7510 certificering of heb je vragen over het opzetten van een NEN 7510 ISMS? Neem dan gerust contact met ons op. Wij helpen je graag op weg!
Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nl
Een NEN 7510 ISMS inrichten of updaten?
Al 500+ organisaties vertrouwden op onze expertise!
- Bescherm patiëntgegevens
- Voorkom datalekken
- Deskundig advies
