Informatiebeveiliging in de zorg

NEN 7510 certificering

NEN 7510 biedt zorginstellingen een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Belangrijk natuurlijk, vanwege de verwerking van gevoelige gegevens. Voor zorginstellingen heeft NEN 7510 daarom een verplichtend karakter. Ook van toeleveranciers wordt steeds vaker het NEN 7510 certificaat gevraagd. Heb jij daar ook mee te maken en ben je op zoek naar NEN 7510 certificering? Dan ben je aan het juiste adres! Vanuit de filosofie dat niet de norm, maar jouw organisatie als uitgangspunt zou moeten dienen, helpt CertificeringsAdvies Nederland je bij de NEN 7510 certificering.

NEN 7510
Laptop werken bij CertificeringsAdvies Nederland

Meer informatie of offerte aanvragen?

Wil je meer weten over NEN 7510? Neem dan contact met
ons op! Wil je direct aan de slag? Vraag dan een offerte aan!

Met oog voor resultaat

Aan de slag met NEN 7510?

In onze aanpak nemen wij niet de norm, maar de organisatie als uitgangspunt. Op pragmatische wijze analyseren wij processen en optimaliseren deze conform de NEN 7510 richtlijnen. Met oog voor praktijk en resultaat en altijd in samenwerking met jou en je collega’s. Jullie kennen de onderneming tenslotte het beste en alleen op die manier komen we tot het beste resultaat voor de organisatie.

NEN 7510 verplicht

Met de toenemende digitalisering is informatiebeveiliging voor meer en meer zorgorganisaties van vitaal belang!

De gezondheidszorg heeft, in tegenstelling tot andere branches, te maken met veel persoonlijke gezondheidsgegevens die vertrouwelijk van aard zijn. Informatiebeveiliging staat binnen de zorgsector daarom sterk op de radar. Verder is het natuurlijk zo dat met de komst van de AVG-wet de regels rondom medische gegevens strenger zijn geworden. Medische gegevens gelden als bijzondere persoonsgegevens en genieten daardoor extra bescherming. Het is daarom essentieel dat persoonlijke gezondheidsdata goed beveiligd wordt (opgeslagen) en dat er vertrouwelijk mee wordt omgegaan. Met een NEN 7510 certificering kun je dat als organisatie aantoonbaar maken.

Informatiebeveiliging in de zorg

Wat is NEN 7510?

De NEN 7510 norm is specifiek ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector. NEN staat voor Nederlands Normalisatie-instituut. Een NEN-norm is daarmee een norm die vooral in gebruik is in Nederland. NEN 7510 biedt zorginstellingen een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Belangrijk natuurlijk, vanwege de verwerking van gevoelige gegevens.

De norm is gebaseerd op de code voor informatiebeveiliging en lijkt sterk op de ISO 27001 norm. Bij de NEN 7510 is bijna een derde van de standaard beheersmaatregelen van ISO 27001 uitgebreid met een specifieke ‘vertaling’ naar de zorg. Daarnaast zijn er een aantal extra maatregelen specifiek voor de zorg toegevoegd.

Om het NEN 7510 certificaat te behalen moet je aantoonbaar maken dat je voldoet aan de eisen uit de norm. Dat doe je, net als bij ISO 27001, door een managementsysteem om te zetten, ook wel het Information Security Management System (ISMS) genoemd.

Thumbnail ISO 27001 / NEN 7510 normkennis training video Tobias

Opleidingen en e-learnings

NEN 7510 trainingen

Om je organisatie voor te bereiden op een NEN 7510 certificering en deze te onderhouden, zijn er diverse mogelijkheden voor het volgen van NEN 7510 trainingen via onze CAN Academy. Wanneer je aan de slag gaat met de NEN 7510 norm, krijg je te maken met theorie en wet- en regelgeving. Om jezelf op het juiste niveau te krijgen kun je kiezen voor een NEN 7510 training. Zo blijf je up-to-date van de laatste ontwikkelingen of helpen we je op weg met het doorgronden van de norm.

ISO 14001 praktijktraining

Trainingsaanbod

Een greep uit het NEN 7510 aanbod

Een greep uit het informatiebeveiligings- en NEN 7510 trainingsaanbod via onze CAN Academy:

Bekijk het complete aanbod of informeer gerust naar de mogelijkheden voor jouw organisatie.

Demo e-learning

Aantoonbaar maken

Is NEN 7510 verplicht in de zorg?

NEN 7510 certificering voor zorginstellingen is niet verplicht. Aantoonbaar voldoen aan de eisen echter wel. Je kunt je voorstellen dat er binnen de zorgsector veel gevoelige gegevens worden verwerkt. Samen met de komst van de AVG-wet zijn de regels rondom medische gegevens strenger geworden. En aangezien medische gegevens behoren tot bijzondere persoonsgegevens genieten deze daardoor extra bescherming.

Ondanks dat certificering voor de norm niet verplicht is, kan het wel in je voordeel werken als het gaat om samenwerkingen met andere partijen. Vaak is een NEN 7510 certificering namelijk een aansluitvoorwaarde. Daarmee is NEN 7510 niet alleen relevant voor zorginstellingen, maar ook voor toeleveranciers. Denk bijvoorbeeld aan tussenpartijen voor zorgadministratie, leveranciers van zorgapplicaties of andere verwerkers van medische gegevens.

NEN 7510 stappenplan

Ook voor (toe)leveranciers in de zorg!

De NEN 7510 norm is zeer belangrijk in de zorg. Iedere patiënt verwacht van de zorginstellingen dat zijn of haar informatie goed beveiligd is en niet zomaar op straat komt. De NEN 7510 norm is tegenwoordig niet alleen maar voor instellingen, maar ook (toe) leveranciers die te maken hebben met patiëntgegevens kunnen zich laten certificeren.

Zorgaanbieders

Voor wie is NEN 7510 verplicht?

De NEN 7510 norm is specifiek ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector. De norm biedt alle type zorgaanbieders die werkzaam zijn binnen de gezondheidszorg of organisaties die bij de informatievoorziening betrokken zijn, een leidraad voor het formuleren, vastleggen en controleren van de interne informatiebeveiliging. Deze organisaties dienen de juiste IT-beveiligingsprotocollen door te voeren en kritisch te kijken naar de gegevensverzameling en de noodzaak daarvan.

Doordat er in de gezondheidszorgsector veel gevoelige gegevens worden verwerkt, heeft NEN 7510 voor zorginstellingen (ziekenhuizen, verpleeghuizen, GGZ-instellingen, fysiotherapiepraktijken etc.) een verplichtend karakter. Zorgverleners zijn met het oog op de AVG-wet in het kader van de verwerking van het Burgerservicenummer al verplicht om aan de NEN 7510 te voldoen. Ook zijn er binnen de zorgbranche diverse partijen die NEN 7510 eisen als aansluitvoorwaarde, denk bijvoorbeeld aan Vecozo of MedMij. Dat betekent dat de NEN 7510 certificering niet enkel relevant is voor zorgverlenende instanties, maar ook voor toeleveranciers, zoals:

  • Leveranciers van zorgapplicaties;
  • Tussenpartijen voor zorgadministratie en/of – declaratie;
  • Andere verwerkers van persoonlijke gezondheidsinformatie.

NEN 7510 is van toepassing voor organisaties die in aanraking komen met persoonlijke gezondheidsinformatie. Dit kan binnen de organisatie zelf zijn (zorgverlener), via een interface naar een zorginstelling, dan wel door uitbesteding van bepaalde (ICT of andere) processen. Je ziet dan ook dat er van toeleveranciers aan de zorgsector steeds vaker wordt verlangd dat zij het NEN 7510 certificaat behalen.

ISO 27001 of NEN 7510 kiezen

Toepasbaarheid

Wat is het verschil tussen ISO 27001 en NEN 7510?

Het grootste verschil tussen de ISO 27001 en de NEN 7510 norm is de gespecificeerde toepasbaarheid van de NEN norm in de zorg. We hebben het hier over informatiebeveiliging. Het soort informatie is dan ook het belangrijkste criterium als het gaat om een keuze voor ISO 27001 of NEN 7510. Onderscheidend tussen ISO 27001 en NEN 7510 is daarbij de vraag of het gaat om gezondheidsinformatie of niet. Is er géén sprake van gezondheidsgegevens die beveiligd moeten worden, dan is NEN 7510 niet toepasbaar en kies je automatisch voor ISO 27001. Heeft de informatiebeveiliging wel betrekking op gezondheidsinformatie (binnen de organisatie zelf of via een interface naar een zorginstelling, danwel door uitbesteding van bepaalde processen), kies dan altijd voor NEN 7510.

Er kan soms ook een reden zijn om voor zowel ISO 27001 als NEN 7510 te kiezen. Dat heeft namelijk te maken met het toepassingsgebied (de ‘scope’) van de certificering. Wanneer je te maken hebt met internationale belanghebbenden m.b.t. de informatie waar je certificering op van toepassing is, dan volstaat alleen een NEN 7510 certificering mogelijk niet. In dat geval loont het om voor ISO 27001 certificering te gaan. Een andere reden om voor beide certificaten te gaan, is als voor jouw organisatie (en jouw stakeholders) naast gezondheidsinformatie ook andersoortige informatie relevant is om aantoonbaar te beveiligen.

Stappenplan ISO 27001

De HLS structuur is een nieuwe structuur waaronder de ISO normen worden uitgegeven. Hiermee hanteren alle normen dezelfde onderwerpen. Dat maakt het makkelijker om verschillende normen te combineren in één managementsysteem. In het managementsysteem van CertificeringsAdvies Nederland kunnen alle normen verwerkt worden. Ook degene die geen gebruik maken van de HLS.

De overeenkomst tussen NEN 7510 en ISO 27001, is dat het beide kaders zijn voor het opzetten van een managementsysteem; het ISMS. Beide normen beschrijven hoe een organisatie de informatiebeveiliging moet organiseren in haar processen. De NEN 7510 lijkt inhoudelijk dan ook erg veel op de ISO 27001 norm. Om het NEN 7510 certificaat te behalen moet je aantoonbaar maken dat je voldoet aan de eisen uit de norm. Dat doe je door een managementsysteem om te zetten, ook wel het Information Security Management System (ISMS) genoemd.

CAN-NEN-7510-ISMS-voordelen

Stappenplan

NEN 7510 checklist

Tijdens de implementatie van NEN 7510 hanteren we een checklist die dieper ingaat op de algemene manier om de norm te implementeren in je organisatie. De NEN 7510 checklist bestaat uit de volgende stappen:

  • Waar kom je in aanraking met persoonlijke gezondheidsinformatie?
  • Welke aanvullende of verdiepende eisen van NEN 7510 zijn voor jou relevant?
  • Hoe ga je verder met de implementatie en certificering?
ISO 27001 checklist

De voordelen op een rij

Waarom NEN 7510?

NEN 7510 certificering van je organisatie kan de volgende voordelen hebben:

  • Hiermee voldoe je aan de eisen van het ministerie van VWS of van je klanten met betrekking tot informatiebeveiliging in de zorg.
  • NEN 7510 certificering biedt onafhankelijke zekerheid omtrent je interne controles en geeft intern en aan externe partijen zoals patiënten en zorgverzekeraars aan dat de informatiebeveiliging goed geborgd is.
  • Het NEN 7510 certificaat vormt het onafhankelijke bewijs dat de risico’s voor je organisatie kritisch zijn onderzocht, beoordeeld en beheerd en tegelijkertijd de processen, procedures en documentatie voor gegevensbeveiliging zijn geformaliseerd.
  • Door middel van de NEN 7510-checklist en het regelmatige beoordelingsproces kun je jouw prestaties op de voet volgen en continu verbeteren.
ISMS NEN 7510

Waar moet je aan voldoen?

Eisen voor NEN 7510 certificering

Wat is de impact van NEN 7510 op je organisatie? We bespreken een aantal belangrijke eisen.

Het beheersen van de risico’s is het belangrijkste principe van beveiliging en is dus ook een belangrijk onderdeel in de norm. Eerst zullen de risico’ s bepaald moeten worden en dat kan met het doorlopen van de volgende stappen:

  • Benoem de bedreigingen en kwetsbaarheden binnen de organisatie;
  • Schat in wat de gevolgen zijn als incidenten zich voor doen
  • Schat per bedreiging en kwetsbaarheid in hoe waarschijnlijk het is dat die tot een incident leidt.
nen-7510-identity-access-management

De organisatie bepaalt of de risico’s aanvaardbaar zijn aan de hand van criteria die ze eerder heeft vastgesteld. Ook wordt in de norm over beheersmaatregelen gesproken, zoals:

  • Opstellen van een informatiebeveiligingsbeleid
  • Organisatie van de informatiebeveiliging
  • Beheer van bedrijfsmiddelen
  • Fysieke beveiliging en beveiliging van de omgeving
  • Toegangsbeveiliging
  • Beheer van informatiebeveiligingsincidenten
10 bestuurlijke principes voor informatiebeveiliging

Intern en extern

NEN 7510 audit

Wanneer je de NEN 7510 norm hebt geïmplementeerd, is het tijd om een audit uit te voeren. Allereerst bepaal je door middel van een interne audit of je organisatie voldoende klaargestoomd is voor de officiële externe audit. Deze interne audit mag uitgevoerd worden door een eigen medewerker. Hier zitten echter wel nog een aantal haken en ogen aan. Deze persoon mag bijvoorbeeld niet zijn eigen processen beoordelen. Onder andere om die reden kiezen organisaties er vaak voor om de interne audit uit te laten voeren door een externe onafhankelijke deskundige. Heb je de interne audit gehad, dan is het tijd voor de externe audit. Deze wordt altijd uitgevoerd door een Certificerende Instantie (CI), omdat:

  • De CI de bevoegdheid heeft om een officieel certificaat uit te reiken;
  • Deze vrij is van belangverstrengeling;
  • De CI objectief en onafhankelijk is.
Interne audit

Managementsysteem opzetten

NEN 7510 ISMS

Een Information Security Management System (ISMS) is een managementsysteem voor informatiebeveiliging. Bij een managementsysteem wordt vaak gedacht aan een dik en wollig handboek waarin alles wat de organisatie doet dient te worden beschreven. Het gaat bij een NEN 7510 ISMS echter om veel meer dan alleen het uitwerken van beleidsstukken en procedures. Het NEN 7510 Information Security Management System (ISMS) moet helpen bij de bedrijfsvoering van de organisatie en ervoor zorgen dat de beschikbaarheid, integriteit en vertrouwelijkheid van de gezondheidsinformatie geborgd en verbeterd wordt. Bij een managementsysteem voor NEN 7510 dient de context van de organisatie in kaart te worden gebracht. Vanuit deze context wordt het informatiebeveiligingsbeleid van de organisatie bepaald en van daaruit worden doelstellingen geformuleerd die de organisatie wil bereiken om de beveiliging van gezondheids-informatie beter te borgen.

Als de doelstellingen geformuleerd zijn, gaat de organisatie een GAP-analyse uitvoeren op de beheersmaatregelen. Daarbij wordt in kaart gebracht welke beheersmaatregelen al geïmplementeerd zijn en wat de organisatie nog wil/moet implementeren. Dit gebeurt op basis van de risicoanalyse. Deze GAP-analyse dient als leidraad voor de verdere implementatie van het NEN 7510 ISMS.

7510 ISMS

Implementatie

Stappenplan voor NEN 7510 certificering

Voordat een organisatie het NEN 7510:2017 certificaat ontvangt, dienen de volgende stappen doorlopen te worden:

Fase 1:

  • Algemene inventarisatie van de organisatie
  • Uitvoeren contextanalyse
  • Uitvoeren risicoanalyse
  • Opstellen Plan van Aanpak (PvA)

Fase 2:

  • Aanscherpen contextanalyse
  • Beleidscyclus
  • Uitvoeren Plan van Aanpak
  • Borging en implementatie
  • Interne audit
  • Certificering

Stappenplan Contextanalyse 9001 voor kleine organisatie

Situatie

Wat kost NEN 7510?

Het is verstandig om als organisatie het kostenplaatje in kaart te brengen als je NEN 7510 wilt certificeren. Er zit immers verschil in de kosten en de aanpak van de verschillende consultancybureaus en certificerende instanties. Iedere organisatie is echter uniek en heeft unieke risico’s die de impact van de informatiebeveiliging bepalen. Een NEN 7510 traject is daarom vaak maatwerk. De impact en kosten kunnen pas bepaald worden na een analyse van de huidige situatie en risico’s. Bovendien is de investering in een consultant afhankelijk van de hoeveelheid werk die je wilt uitbesteden en de rol die aan de consultant wordt toebedeeld (coachend / uitvoerend).

Desalniettemin kunnen we bij CertificeringsAdvies Nederland, op basis van onze ruime ervaring op dit gebied, aan de hand van een intake een offerte op maat maken voor jouw organisatie. Zo weet je wat de investering gaat zijn als je aan de slag gaat met de implementatie van de norm.

Kosten ISO

Hoelang duurt het?

Wat is de doorlooptijd van een NEN 7510 implementatie?

Het is vooraf lastig te zeggen hoelang een dergelijk traject precies duurt. Dit is namelijk o.a. afhankelijk van:

  • De huidige stand van zaken binnen de organisatie;
  • De aanwezige organisatorische, technische en fysieke beheersmaatregelen;
  • De complexiteit van de organisatie;
  • De grootte van de organisatie;
  • De interne capaciteit en slagkracht van de organisatie.

Wanneer je als organisatie je bedrijfsprocessen helder in kaart hebt, gaat implementatie sneller dan wanneer je vanaf nul moet beginnen. Des te meer er al is en des te minder complex de organisatie in elkaar steekt, des te sneller het NEN 7510 traject doorlopen kan worden. Wanneer je vervolgens aan wilt tonen dat je de informatiebeveiliging op orde hebt, dan kun je dat ISMS laten toetsen en uiteindelijk laten certificeren door een onafhankelijke, certificerende instantie. Wil je een dergelijke toetsing succesvol doorlopen, dan dien je aan te kunnen tonen dat je voldoende aandacht besteedt aan informatiebeveiliging. Daarvoor moet je minimaal drie maanden volgens het ISMS hebben gewerkt. Dit wordt ook wel de ‘bewijsperiode’ genoemd. Na drie maanden kan een externe auditor namelijk beoordelen of het ISMS in de praktijk functioneert.

hoe lang duurt iso certificering

VvT

Wat is de Verklaring van Toepasselijkheid (VvT) binnen NEN 7510?

Deze verklaring hangt samen met de risicoanalyse. In feite is de Verklaring van Toepasselijkheid een opsomming van hetgeen dat van toepassing is voor een bedrijf en geïmplementeerd dient te worden om risico’s te mitigeren. De NEN 7510:2017 norm heeft een bijlage (Annex A) die alle beheersmaatregelen omvat. De Verklaring van Toepasselijkheid is een document waarin de organisatie deze beheersmaatregelen van toepassing verklaart of niet. Deze verklaring maakt uiteindelijk integraal onderdeel uit van het NEN 7510 certificaat van de organisatie.

Verklaring van Toepasselijkheid NEN 7510

Sectorspecifiek

Zijn er alternatieven voor ISO 27001 en NEN 7510?

Naast de zorgsector zijn er nog enkele sectoren waar een ‘sectorspecifieke vertaling’ van ISO 27001 de gebruikelijke standaard is voor informatiebeveiliging, te weten de Baseline Informatiebeveiliging voor de Overheid (BIO) en de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO). Indien je je als organisatie in dit ‘speelveld’ bevindt, zijn deze normen van
toepassing. Afgezien van deze nuancering/kanttekening, kunnen
we concluderen dat ISO 27001 en NEN 7510 in Nederland als dé
standaarden gelden voor informatiebeveiliging.

BIO2.0 eind 2024 van kracht

Uitbestede processen

Wanneer kies je voor ISAE 3402?

Naast ISO 27001 en NEN 7510 zijn er normen op de markt waarmee specifieker op bepaalde onderdelen/aspecten van informatiebeveiliging binnen je organisatie kan worden ingezoomd. Denk daarbij bijvoorbeeld aan ISAE 3402. Deze norm heeft betrekking op uitbestede processen. Door middel van een ISAE3402 verklaring (type I en/of II) geef je als serviceorganisatie (leverancier) in opdracht van een gebruikersorganisatie (klant) inzicht in de getroffen (informatiebeveiligings)maatregelen waarmee directe en indirecte financiële risico’s voor de betreffende gebruikersorganisatie ‘in control’ zijn. ISAE 3402 is een accountantsonderzoek en -verklaring, waarbij ieder aspect jaarlijks beoordeeld moet worden.

Bij NEN 7510 wordt naast de opzet van het ISMS veel meer gekeken naar het vermogen van de organisatie om zelf afwijkingen te signaleren, deze op te pakken en op deze manier continu te verbeteren. De insteek van een ISAE 3402 verklaring is wezenlijk anders dan die van een NEN 7510/ISO 27001 certificering.

verschil-isae-3000-versus-isae-3402

Kom in contact met de partner in certificeren!

Aan de slag met NEN 7510 of NEN 7510 onderhouden?

Wil je NEN 7510 implementeren in je organisatie? Of zoek je juist advies of ondersteuning bij het onderhouden van je ISMS? In alle gevallen ben je bij CertificeringsAdvies Nederland aan het juiste adres! Neem gerust contact met ons op of vraag direct, geheel vrijblijvend, een offerte aan!