ISO 27001 of NEN 7510 zorgMet de steeds verder toenemende digitalisering, is informatiebeveiliging voor meer en meer organisaties van vitaal belang. Zowel voor de organisatie zelf als voor hun klanten is het immers cruciaal dat informatie op het juiste moment en op de juiste plaats beschikbaar is, dat die informatie correct is (niet gecorrumpeerd) en bovenal ook dat die informatie alleen toegankelijk is voor de personen voor wie deze bestemd is.

Met het toenemende belang van informatiebeveiliging stijgt ook de vraag naar certificeringen. Met een certificering toon je immers aan dat de risico’s goed in beeld zijn, dat er passende beheersmaatregelen zijn getroffen en dat er continu wordt gewerkt aan verbetering. De belangrijkste en meest voorkomende certificeringen in Nederland op het gebied van informatiebeveiliging zijn ISO 27001 en NEN 7510. Maar wanneer kies je nu voor welke certificering? En zijn er nog alternatieven? Om antwoord te geven op deze vragen zijn in grote lijn twee zaken van belang, te weten het soort informatie en de gewenste scope van de certificering. In dit artikel gaan we hier verder op in.

Het verschil tussen ISO 27001 en NEN 7510

Om te beginnen is het van belang om kort het verschil aan te duiden tussen ISO 27001 en NEN 7510.

ISO 27001 is de internationale norm voor informatiebeveiliging. De norm biedt een raamwerk voor het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in een organisatie. De norm is toepasbaar in alle branches. ISO staat voor International Standardization Organization, hetgeen al impliceert dat de norm wereldwijd wordt gebruikt.

NEN 7510 is een Nederlandse ‘specificatie’ van de ISO 27001 voor de zorgsector. De norm is gebaseerd op ISO 27001, maar bij NEN 7510 zijn 33 van de 114 standaard beheersmaatregelen van ISO 27001 uitgebreid met een specifieke ‘vertaling’ naar de zorg. Daarnaast zijn er 3 extra maatregelen specifiek voor de zorg toegevoegd. NEN staat voor Nederlands Normalisatie-instituut en is daarmee (je raadt het al) een norm die vooral in gebruik is in Nederland.

Belangrijkste keuzecriterium: het soort informatie

We hebben het hier over informatiebeveiliging. Het soort informatie is dan ook het belangrijkste criterium als het gaat om een keuze voor ISO 27001 of NEN 7510. Onderscheidend tussen ISO 27001 en NEN 7510 is daarbij de vraag of het gaat om gezondheidsinformatie of niet. Is er géén sprake van gezondheidsgegevens die beveiligd moeten worden, dan is NEN 7510 niet toepasbaar en kies je automatisch voor ISO 27001.

Heeft de informatiebeveiliging wel betrekking op gezondheidsinformatie (binnen de organisatie zelf of via een interface naar een zorginstelling, danwel door uitbesteding van bepaalde processen), kies dan altijd voor NEN 7510. Voor zorgverleners geldt in het kader van de verwerking van het Burgerservicenummer al de verplichting te voldoen aan NEN 7510. Daarnaast wordt binnen de zorgsector door bepaalde partijen NEN 7510 certificering als aansluitvoorwaarde gesteld, denk bijvoorbeeld aan Vecozo (digitale omgeving waarin ketenpartijen administratieve gegevens kunnen uitwisselen) of MedMij (Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen patiënten en gezondheidsprofessionals). NEN 7510 is daarmee dus niet alleen relevant voor zorgverlenende organisaties, maar ook voor leveranciers van zorgapplicaties, voor tussenpartijen voor zorgadministratie/-declaratie en voor andere ‘verwerkers’ van persoonlijke gezondheidsinformatie.

Kan er een reden zijn om voor zowel ISO 27001 als NEN 7510 te kiezen?

Het antwoord op deze vraag is ja en dat heeft te maken met het toepassingsgebied (de ‘scope’) van de certificering. Heb je als organisatie te maken met internationale belanghebbenden m.b.t. de informatie waar je certificering op van toepassing is, dan volstaat alleen een NEN 7510 certificering mogelijk niet. Dit is zoals gezegd immers een in Nederland gebruikte norm, die buiten onze landsgrenzen mogelijk (te) weinig bekendheid en daarmee zeggingskracht heeft. In dat geval loont het om ook voor ISO 27001 certificering te gaan.

Een andere reden om als speler in de zorgsector voor beide certificeringen te gaan, is als voor jouw organisatie (en jouw stakeholders) naast gezondheidsinformatie ook andersoortige informatie relevant is om aantoonbaar te beveiligen. Bijvoorbeeld als je als softwareleverancier niet alleen zorgapplicaties ontwikkelt, maar ook andersoortige applicaties die je ook in de scope van je certificering wilt opnemen.

ISAE 3402 en ISO 27001Dubbel certificeren, dus dubbele kosten?

Een logische gedachte, maar dit is gelukkig niet het geval. Voor een gelijktijdig implementatietraject zal maar beperkt extra tijd benodigd zijn. En als je als organisatie al voor één van de normen gecertificeerd bent en de tweede certificering wilt toevoegen, is implementatie over het algemeen slechts een kwestie van ‘finetunen’. Hetzelfde geldt feitelijk voor de kosten van de certificeringsaudit door de geaccrediteerde certificatie instelling (CI). Voor de ‘extra’ norm hoeft een CI slechts een deel van de normatieve audittijd toe te voegen.

Mogelijke aanvullingen op ISO 27001 / NEN 7510

Naast ISO 27001 en NEN 7510 zijn er normen op de markt waarmee specifieker op bepaalde onderdelen/aspecten van informatiebeveiliging binnen je organisatie kan worden ingezoomd. Denk daarbij bijvoorbeeld aan:

  • ISAE 3402: Deze norm heeft betrekking op uitbestede processen. Door middel van een ISAE3402 verklaring (type I en/of II) geef je als serviceorganisatie (leverancier) in opdracht van een gebruikersorganisatie (klant) inzicht in de getroffen (informatiebeveiligings)maatregelen waarmee directe en indirecte financiële risico’s voor de betreffende gebruikersorganisatie ‘in control’ zijn. De insteek van een ISAE 3402 verklaring is wezenlijk anders dan die van een ISO 27001 certificering.
  • ISO 27701: Deze norm is uitsluitend certificeerbaar als ‘add-on’ op ISO 27001 of NEN 7510 en richt zich specifiek op het onderwerp Privacy. De norm biedt hiermee, specifieker dan ISO 27001 en NEN 7510 dat doen, handvatten om bijvoorbeeld de AVG/GDPR in je organisatie (managementsysteem) te implementeren en hier aantoonbaar aan te voldoen. 

Zijn er alternatieven voor ISO 27001 en NEN 7510?

Naast de zorgsector zijn er nog enkele sectoren waar een ‘sectorspecifieke vertaling’ van ISO 27001 de gebruikelijke standaard is voor informatiebeveiliging, te weten de Baseline Informatiebeveiliging voor de Overheid (BIO) en de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO). Indien je je als organisatie in dit ‘speelveld’ bevindt, kies je voor implementatie van deze normen.

Afgezien van deze nuancering/kanttekening, kunnen we concluderen dat ISO 27001 en NEN 7510 in Nederland als dé standaarden gelden voor informatiebeveiliging. Het zijn managementsysteemnormen, wat o.a. inhoudt (en als voordeel heeft) dat je als organisatie zelf kunt bepalen welke organisatieonderdelen/-activiteiten je wel en niet in de scope van je certificering wilt opnemen. Op basis daarvan stel je de informatiebeveiligingsrisico’s vast en bepaal je de (invulling van de) beheersmaatregelen en de systematiek van monitoren en verbeteren. Indien je als organisatie een keuze moet maken voor een informatiebeveiligingscertificering, kies dan dus voor één van deze twee normen op basis van de criteria die wij hiervoor schetsten. Of voor allebei, als dat voor jouw organisatie toegevoegde waarde heeft. De normen zijn breed gedragen en geaccepteerd in de markt en dekken het thema informatiebeveiliging in brede zin; er bestaat daarmee in feite geen beter alternatief.

Meer informatie? Neem contact op!

Wil je meer weten over één of meer van de in dit artikel genoemde certificeringen? Heb je hulp nodig bij implementatie van een norm? Of wil je werkzaamheden rond het thema informatiebeveiliging uitbesteden aan een professionele partner? Wij bieden consultancy, trainingen en outsourcingdiensten passend bij iedere organisatie en binnen ieder budget. Neem voor al je vragen contact met ons op. Wij helpen je graag verder!


NEEM CONTACT OP

CertificeringsAdvies Nederland | T. 085 – 487 99 72 | E. info@certificeringsadvies.nl