ISO 27001 of NEN 7510? Of beide? En zijn er alternatieven?

Het thema informatiebeveiliging is voor veel organisaties van vitaal belang. Zowel voor de organisatie zelf als voor hun klanten is het cruciaal dat informatie op het juiste moment en op de juiste plaats beschikbaar is, dat die informatie correct is (niet gecorrumpeerd) en bovenal ook dat die informatie alleen toegankelijk is voor de personen voor wie deze bestemd is. Met het toenemende belang van informatiebeveiliging stijgt ook de vraag naar certificeringen. Met een certificering toon je immers aan dat de risico’s goed in beeld zijn, dat er passende beheersmaatregelen zijn getroffen en dat er continu wordt gewerkt aan verbetering. De belangrijkste en meest voorkomende certificeringen in Nederland op het gebied van informatiebeveiliging zijn ISO 27001 en NEN 7510. Maar wat is het verschil tussen ISO 27001 en NEN 7510? Wanneer kies je voor welke certificering en zijn er nog alternatieven? In dit artikel gaan we hier verder op in.

Wat is precies het verschil tussen ISO 27001 en NEN 7510? Onze adviseur Laurens legt het uit in deze video:

Het verschil tussen ISO 27001 en NEN 7510 zit hem op hoofdlijnen in dat:

Naast bovengenoemde verschil tussen ISO 27001 en NEN 7510, zijn er ook overeenkomsten. Beide normen:

We hebben het hier over informatiebeveiliging. Het soort informatie is dan ook het belangrijkste criterium als het gaat om een keuze voor ISO 27001 of NEN 7510. Onderscheidend tussen ISO 27001 en NEN 7510 is daarbij de vraag of het gaat om gezondheidsinformatie of niet. Is er géén sprake van gezondheidsgegevens die beveiligd moeten worden, dan is NEN 7510 niet toepasbaar en kies je automatisch voor ISO 27001.

Heeft de informatiebeveiliging wel betrekking op gezondheidsinformatie (binnen de organisatie zelf of via een interface naar een zorginstelling, danwel door uitbesteding van bepaalde processen), kies dan altijd voor NEN 7510.

NEN 7510 is daarmee dus niet alleen relevant voor zorgverlenende organisaties, maar ook voor leveranciers van zorgapplicaties, voor tussenpartijen voor zorgadministratie/-declaratie en voor andere ‘verwerkers’ van persoonlijke gezondheidsinformatie.

Het antwoord op deze vraag is ja en dat heeft te maken met het toepassingsgebied (de ‘scope’) van de certificering. Heb je als organisatie te maken met internationale belanghebbenden m.b.t. de informatie waar je certificering op van toepassing is, dan volstaat alleen een NEN 7510 certificering mogelijk niet. Dit is zoals gezegd immers een in Nederland gebruikte norm, die buiten onze landsgrenzen mogelijk (te) weinig bekendheid en daarmee zeggingskracht heeft. In dat geval loont het om ook voor ISO 27001 certificering te gaan.

Een andere reden om als speler in de zorgsector voor beide certificeringen te gaan, is als voor jouw organisatie (en jouw stakeholders) naast gezondheidsinformatie ook andersoortige informatie relevant is om aantoonbaar te beveiligen. Bijvoorbeeld als je als softwareleverancier niet alleen zorgapplicaties ontwikkelt, maar ook andersoortige applicaties die je ook in de scope van je certificering wilt opnemen.

Een logische gedachte, maar dit is gelukkig niet het geval. Voor een gelijktijdig implementatietraject zal maar beperkt extra tijd benodigd zijn. En als je als organisatie al voor één van de normen gecertificeerd bent en de tweede certificering wilt toevoegen, is implementatie over het algemeen slechts een kwestie van ‘finetunen’. Hetzelfde geldt feitelijk voor de kosten van de certificeringsaudit door de geaccrediteerde certificatie instelling (CI). Voor de ‘extra’ norm hoeft een CI slechts een deel van de normatieve audittijd toe te voegen.

Naast ISO 27001 en NEN 7510 zijn er normen op de markt waarmee specifieker op bepaalde onderdelen/aspecten van informatiebeveiliging binnen je organisatie kan worden ingezoomd. Denk daarbij bijvoorbeeld aan:

Naast de zorgsector zijn er nog enkele sectoren waar een ‘sectorspecifieke vertaling’ van ISO 27001 de gebruikelijke standaard is voor informatiebeveiliging, te weten de Baseline Informatiebeveiliging voor de Overheid (BIO) en de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO). Indien je je als organisatie in dit ‘speelveld’ bevindt, kies je voor implementatie van deze normen.

Afgezien van deze nuancering/kanttekening, kunnen we concluderen dat ISO 27001 en NEN 7510 in Nederland als dé standaarden gelden voor informatiebeveiliging. Het zijn managementsysteemnormen, wat o.a. inhoudt (en als voordeel heeft) dat je als organisatie zelf kunt bepalen welke organisatieonderdelen/-activiteiten je wel en niet in de scope van je certificering wilt opnemen. Op basis daarvan stel je de informatiebeveiligingsrisico’s vast en bepaal je de (invulling van de) beheersmaatregelen en de systematiek van monitoren en verbeteren. Indien je als organisatie een keuze moet maken voor een informatiebeveiligingscertificering, kies dan dus voor één van deze twee normen op basis van de criteria die wij hiervoor schetsten. Of voor allebei, als dat voor jouw organisatie toegevoegde waarde heeft. De normen zijn breed gedragen en geaccepteerd in de markt en dekken het thema informatiebeveiliging in brede zin; er bestaat daarmee in feite geen beter alternatief.

Momenteel wordt gewerkt met de NEN 7510 versie uit 2017. De NEN 7510 norm is gebaseerd op drie andere normen voor informatiebeveiliging, namelijk de ISO 27001, de ISO 27002 en de ISO 27799. Van ISO 27001 en 27002 zijn recent nieuwe versies gepubliceerd, maar wat betekent dit voor NEN 7510? Hieronder leggen we in een video uit wat de recente wijzigingen zijn geweest aan de ISO 27001 norm.

Ondanks de directe verwantschap aan de ISO 27001/27002, betekent de publicatie van de nieuwe 2022 versie van deze ISO-normen niet dat de NEN 7510 ook per direct is gewijzigd. Afgelopen maanden is hier door de NEN intensief aandacht aan besteed. Input daarvoor vormt naast de eerdergenoemde ISO-normen ook de gedragslijn toegangsbeveiliging digitale patiëntendossiers (NFU/NVZ). Dit is een onderlinge afspraak die tussen ziekenhuizen gemaakt is en dus ook essentieel is voor de herziening van NEN 7510. Tot slot wordt uiteraard ook de input vanuit betrokkenen en lessen uit de praktijk meegenomen. Iedere belanghebbende partij (denk bijvoorbeeld aan zorginstellingen, ICT-leveranciers, zorgverzekeraars of adviesbureaus) mag deelnemen aan het herzieningstraject vanuit de NEN.

Buiten de internationale herzieningen zijn er nationale ontwikkelingen die van invloed zijn op de herziening van NEN 7510:

Naast de herziening van de NEN 7510 norm is er ook aandacht voor de ontwikkeling van implementatiepools om zorgaanbieders te helpen. Naar verwachting zal de herziene versie van NEN 7510 eind 2024/begin 2025 gepubliceerd worden.

Wil je meer weten over één of meer van de in dit artikel genoemde certificeringen? Heb je hulp nodig bij implementatie van een norm? Of wil je werkzaamheden rond het thema informatiebeveiliging uitbesteden aan een professionele partner? Wij bieden consultancy, trainingen en outsourcingdiensten passend bij iedere organisatie en binnen ieder budget. Neem voor al je vragen contact met ons op. Wij helpen je graag verder!