Bij CertificeringsAdvies Nederland verzorgen we adviestrajecten en trainingen met betrekking tot NEN 7510. Met regelmaat krijgen we daarbij vanuit organisaties die met NEN 7510 aan de slag willen de vraag of er een ‘handboek NEN 7510’ opgezet moet worden. Daarover kunnen we kort en bondig zijn: een handboek NEN 7510 of praktijkboek NEN 7510, zoals het ooit ook wel werd genoemd, is verleden tijd. Waar laat je dan al je documentatie? Het antwoord daarop vertellen we je in dit blogartikel.
NEN 7510: norm voor informatiebeveiliging binnen de zorgsector
Allereerst nog even terug naar de NEN 7510 norm. Wat is dat ook weer precies? NEN 7510 biedt zorginstellingen, en toeleveranciers die te maken hebben met patiëntgegevens, binnen de Nederlandse zorgsector een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Belangrijk natuurlijk, vanwege de verwerking van gevoelige gegevens. Om het NEN 7510 certificaat te behalen moet je aantoonbaar maken dat je voldoet aan de eisen uit de norm. Dat doe je, net als bij de ISO 27001 norm, door een managementsysteem op te zetten, ook wel het Information Security Management System (ISMS) genoemd.
Lees ook het artikel: ‘Kiezen voor ISO 27001 of NEN 7510? Of beide? Of zijn er alternatieven?’
Download vrijblijvend de handige NEN 7510 informatiegids
Wil je aan de slag met de implementatie van NEN 7510? Download dan geheel vrijblijvend de handige NEN 7510 informatiegids met daarin uitleg over deze norm voor informatiebeveiliging en antwoord op alle veel gestelde vragen.
Handboek NEN 7510? Of toch niet?
In het verleden werd er bij het implementeren van NEN 7510 al snel gedacht aan het optuigen van een handboek NEN 7510. En terecht, want destijds was dat ook daadwerkelijk wat er gebeurde. Er werd een dik en wollig praktijkboek NEN 7510 gemaakt waarin alles wat de organisatie deed op het gebied van bescherming van medische persoonsgegevens werd beschreven. Dat was immers nodig om te voldoen aan de eisen van de norm waarin om een verplichte structuur van vastlegging werd gevraagd. Zo bestond het handboek uit allerlei gedocumenteerde procedures, formulieren en checklists. Om die reden associëren veel organisaties ISO- en NEN-normen, zoals NEN 7510, tot op de dag van vandaag met dikke pakken papier.
Wil je weten of NEN 7510 voor jouw organisatie verplicht is? Lees dan het artikel: ‘Voor wie is NEN 7510 verplicht?’
Gelukkig is dat in de praktijk veranderd. Met de komst van de nieuwe generatie normen is het verplichte handboek NEN 7510 verleden tijd. Tegenwoordig wordt er bij NEN 7510 (en bij andere ISO-normen of afgeleiden daarvan) niet meer gesproken over een handboek, maar over ‘gedocumenteerde informatie’. Dat is eigenlijk een overkoepelende term voor alle documenten en systemen die je in je organisatie gebruikt.
Meer lezen over gedocumenteerde informatie? Artikeltip: ‘ISO 9001: Geen handboek, maar gedocumenteerde informatie’.
Een eerste stap naar certificering?
Informatiebeveiligingsrisico’s worden voor iedere organisatie steeds belangrijker. Niets doen is geen optie meer! Is het niet vanuit eigen behoefte, dan wel vanuit eisen van klanten/stakeholders. Tijd om aan de slag te gaan dus! Maar hoe? Een laagdrempelige en toegankelijke manier hiervoor is door te beginnen met een ISO 27001 opstaptraject!
Van handboek NEN 7510 naar een ISMS en gedocumenteerde informatie
Hoef je dan als organisatie niets meer vast te leggen? Natuurlijk wel! Je bent als organisatie echter vrij om zelf te bepalen op welke manier je iets vastlegt. Het belangrijkste van informatiebeveiliging, en de NEN 7510 norm, is dat je risico’s in kaart brengt en daarvoor beheersmaatregelen treft. Het draait er daarbij om ‘bewijs’ te leveren dat de beheersmaatregel is geïmplementeerd en effectief is, en niet om de manier waarop je iets documenteert of vastlegt. Bij veel organisaties zie je dat het papieren handboek inmiddels is omgezet naar een modern managementsysteem.
Wanneer we binnen de NEN 7510 norm spreken over een managementsysteem, dan bedoelen we een Information Security Management System (ISMS). In dat systeem wordt veel meer vastgelegd dan enkel een uitwerking van beleidsstukken en procedures. Het ISMS is veel meer een hulpmiddel bij de bedrijfsvoering en zorgt ervoor dat de kwaliteit van de gezondheidsinformatie die wordt verwerkt, geborgd en verbeterd wordt. En dat is precies waar het om draait!
Wil je meer lezen over het NEN 7510 ISMS? Lees dan het artikel: ‘NEN 7510 Information Security Management System’.
Meer informatie?
Wil je aan de slag met NEN 7510 of heb je vragen over het opzetten van een ISMS? Neem dan gerust contact met ons op. Wij helpen je graag op weg!
