NEN 7510 audit uit laten voeren

De audit is een verplicht onderdeel binnen NEN 7510. Hoe gaat een audit in zijn werk? Doe je een audit in huis of besteed je het uit?

NEN 7510 audit
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Informatiebeveiliging staat binnen de zorgsector sterk op de radar. Het is immers essentieel dat persoonlijke gezondheidsdata goed beveiligd wordt (opgeslagen) en dat er vertrouwelijk met de gegevens wordt omgegaan. Met een NEN 7510:2017 certificering kun je als organisatie aantoonbaar maken dat je dit goed hebt geborgd. Zodra je als organisatie een Information Security Management System (ISMS) hebt opgetuigd en aan alle eisen van de NEN 7510 norm voldoet, kun je de inspanningen van je organisatie laten toetsen door een Certificerende Instantie. Dat noemen we de NEN 7510 externe audit. In dit artikel leggen we je uit hoe dat in zijn werk gaat.

NEN 7510 audit door een CI

Ben je de afgelopen maanden druk bezig geweest met de implementatie van NEN 7510 in je organisatie? Dan kom je op gegeven moment op het punt dat de externe audit in beeld komt. Een externe audit wordt altijd uitgevoerd door een Certificerende Instantie (CI). Middels een dergelijke audit kan een organisatie aantoonbaar maken dat ze voldoet aan specifieke normeisen en wet- en regelgeving. Het doel van de externe audit is uiteindelijk certificatie. Een externe audit wordt uitgevoerd door een Certificerende Instantie, omdat:

  • Deze vrij is van belangverstrengeling;
  • Deze de audit onafhankelijk en objectief kan uitvoeren;
  • De CI bevoegd is om, indien de organisatie voldoet, het certificaat uit te reiken.

De NEN 7510 audit bestaat uit twee fasen, die hieronder verder worden toegelicht:

Fase 1: vooronderzoek

Hierin vindt het vooronderzoek plaats. Daarin wordt voornamelijk de documentatie, ofwel het ISMS, onderzocht en wordt bekeken of de (verplichte) beleidsdocumenten zijn opgesteld en aantoonbaar geïmplementeerd zijn.

Documentatie die in fase 1 van belang is:

  • De contextanalyse van de organisatie met daarin onder andere de stakeholders- en risicoanalyse en alle bijbehorende beheersmaatregelen. De bijbehorende maatregelen dienen geïmplementeerd te zijn en de werking hiervan wordt getoetst in fase 2 van de audit;
  • De scope van het Information Security Management System (ISMS);
  • De Verklaring Van Toepasselijkheid (VVT);
  • (Verplichte) beleidsdocumenten vanuit de norm;
  • Fysieke beveiliging;
  • Processen en informatiestromen;
  • De directiebeoordeling.

Aan het einde van fase 1 stelt de auditor vast of de organisatie gereed is voor fase 2, het certificeringsonderzoek.

Fase 2: Het certificeringsonderzoek

In deze fase vindt het certificeringsonderzoek plaats. De auditor komt dan enkele dagen langs bij het bedrijf op locatie en onderzoekt of de organisatie de vastgestelde acties die (mogelijk) uit fase 1 naar voren zijn gekomen heeft uitgevoerd en kijkt naar hoe deze zijn opgelost. Ook wordt onderzocht hoe de beheersmaatregelen geïmplementeerd zijn. Er worden daarvoor o.a. interviews met medewerkers van iedere afdeling gehouden om te verifiëren of beleid, procedures en werkinstructies overeenkomen met de manier van werken.

Documentatie die in fase 2 van belang is:

  • De directiebeoordeling;
  • Het complete Information Security Managementsysteem (Hst. 4 t/m Hst. 10);
  • Alle beheersmaatregelen van de annex A (117 beheersmaatregelen);
  • Het bewustzijn op het gebied van informatiebeveiliging van alle medewerkers;
  • Naleving van beleidsdocumenten en contractuele eisen vanuit wet- en regelgeving (denk aan Wgbo/Wbsn-z/Wkkgz).

Op weg naar de NEN 7510 externe audit?

Alvorens je een externe audit voor NEN 7510 uit laat voeren door een CI is het verplicht om een interne audit uit te (laten) voeren. Deze dient volgens de expliciete eis uit A. 18.2 uitgevoerd te worden door een onafhankelijke partij. CertificeringsAdvies Nederland kan bijvoorbeeld die onafhankelijke partij zijn. Ook wij verzorgen interne audits bij organisaties. Hieronder opgesomd waarom de interne audit belangrijk is:

  • Je voldoet aan de verplichting vanuit de norm. Alvorens je kunt certificeren is het namelijk verplicht om een interne audit uit te laten voeren door een onafhankelijke partij.
  • Zo ga je goed voorbereid de externe audit tegemoet. Je ervaart als het ware hoe een externe audit in zijn werk gaat. Wanneer je een interne audit uit laat voeren door CertificeringsAdvies Nederland dan zorgen we ervoor dat de interne audit zo goed mogelijk op de externe audit lijkt, zodat medewerkers ook echt weten hoe een externe audit eraan toe gaat.
  • Er wordt gekeken naar waar je nu staat en krijg je praktische tips. Daarbij krijg je praktisch advies en ontvang je een intern auditrapport (wat vereist is voor certificering) waarin alle bevindingen, tekortkomingen en verbeterpunten zijn opgenomen. Met dit auditrapport kun je de laatste stappen zetten op weg naar een succesvolle certificering!

Meer informatie?

Hopelijk heeft dit artikel meer duidelijkheid gegeven over de NEN 7510 audit. Indien je meer informatie wilt of andere vragen hebt, neem dan gerust contact met ons op. Onze adviseurs helpen je graag!

New call-to-action

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

NEN 7510 implementeren?

Download de gids en kom alles te weten!

  • Alles over 7510
  • Praktische tips
  • Stappenplan

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields