NEN 7510 checklist: doorloop dit stappenplan op weg naar NEN 7510 certificering
Is er een NEN 7510 checklist? Nee, die is er niet. Wel kun je de NEN 7510 eisen of NEN 7510 richtlijnen in een ‘lijstje’ zetten waardoor je een soort van NEN 7510 checklist creëert waaraan je moet voldoen om uiteindelijk te kunnen certificeren voor deze norm voor de zorgsector. Wij geven je in dit artikel een stappenplan op weg naar NEN 7510 certificering.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlRegelmatig krijgen we de vraag gesteld of er een NEN 7510 checklist beschikbaar is? Nee, er is geen officiële checklist beschikbaar. Toch is er aan de hand van de NEN 7510 normelementen met bijbehorende eisen wel een soort van ‘checklist’ voor NEN 7510 op te stellen. Hieronder geven we een opsomming van de elementen die daarbij relevant zijn. Ook geven we een 6-stappenplan op weg naar NEN 7510 certificering. Waar moet je mee aan de slag? Waar dien je rekening mee te houden? Lees snel verder!
Meer weten over NEN 7510?
Op onze speciale NEN 7510 pagina vertellen we alles over deze norm voor de zorgsector!
Over NEN 7510
NEN 7510 is specifiek ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector waar medische- en patiëntgegevens een belangrijke plaats innemen. Bescherming en beveiliging van persoonlijke informatie is belangrijk voor alle personen, bedrijven, instellingen en overheden, maar voor de gezondheidssector gelden speciale NEN 7510 eisen waaraan voldaan moet worden om de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) van persoonlijke gezondheidsinformatie veilig te stellen.
De NEN 7510 norm is gebaseerd op de code voor informatiebeveiliging en lijkt sterk op ISO 27001. Bij NEN 7510 is bijna een derde van de standaard beheersmaatregelen van ISO 27001, de internationale norm voor informatiebeveiliging, uitgebreid met specifieke vertaling naar de zorg. Daarnaast zijn er een aantal extra maatregelen specifiek voor de zorg toegevoegd.
Zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zijn wettelijk verplicht om aantoonbaar aan NEN 7510 te voldoen. De toezichthouder Inspectie Gezondheidszorg en Jeugd (IGJ) verwacht:
- Dat zorgaanbieders aantoonbaar aan de slag gaan met een ISMS (Information Security Management System);
- Conform de NEN 7510 richtlijnen;
- En daar een continuïteitsplan aan koppelen;
- Dat regelmatig getest wordt.
Ook voor (toe)leveranciers in de zorg!
De NEN 7510 norm is zeer belangrijk in de zorg. Iedere patiënt verwacht van de zorginstellingen dat zijn of haar informatie goed beveiligd is en niet zomaar op straat komt. De NEN 7510 norm is tegenwoordig niet alleen maar voor instellingen, maar ook (toe) leveranciers die te maken hebben met patiëntgegevens kunnen zich laten certificeren.
Wanneer je met NEN 7510 aan de slag gaat dan zijn er een aantal NEN 7510 richtlijnen waaraan je moet voldoen. Grofweg geef je antwoord op de volgende drie vragen:
- Waar kom je in aanraking met persoonlijke gezondheidsinformatie?
- Welke aanvullende of verdiepende eisen van NEN 7510 zijn voor jou relevant?
- Hoe ga je verder met de implementatie en certificering?
Is er een NEN 7510 checklist?
Is er een NEN 7510 checklist? Nee, die is er niet. De NEN 7510 norm zelf is uiteindelijk de ‘NEN 7510 checklist’ waaraan moet worden voldaan. Wat ons betreft dien je een NEN 7510 certificering ook niet te benaderen als het afvinken van een checklist, maar juist als een manier van denken en werken binnen een organisatie op planmatige wijze:
- De Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) van informatie te inventariseren;
- De juiste risicobeheersmaatregelen te treffen;
- Daarvan structureel de effectiviteit te monitoren;
- Op basis daarvan continu te verbeteren.
Zoals gezegd is er geen checklist NEN 7510 beschikbaar. Tijdens de NEN 7510 implementatie kun je onderstaande lijst wel hanteren als soort van NEN 7510 checklist waarmee dieper wordt ingegaan op de algemene manier om de norm te interpreteren in je organisatie;
- Inventarisatie en nulmeting (GAP-analyse);
- Een projectteam samenstellen;
- De scope van het Information Security Management System (ISMS) bepalen;
- Inventarisatie processen, data en systemen in deze scope;
- Stakeholderanalyse m.b.t. BIV van informatie;
- Informatiebeveiligingsbeleid opstellen;
- Risicoanalyse uitvoeren;
- Beheersmaatregelen samenstellen (opstellen VvT);
- Geprioriteerde beheersmaatregelen implementeren;
- Security awareness creatie;
- Verbetercyclus opzetten (PDCA);
- Interne audit;
- Directiebeoordeling uitvoeren;
- Externe audit;
- Onderhoud ISMS.
Door bovenstaande NEN 7510 richtlijnen te volgen, kom je vanzelf in aanraking met de verplichte documenten waar de NEN 7510 norm om vraagt. Deze documentatie maakt onderdeel uit van je ISMS. Met behulp van een aantal verplichte registraties, waar de NEN 7510 om vraagt, kun je aantoonbaar maken dat je ISMS functioneert zoals beschreven.
Wat zijn de NEN 7510 eisen?
Wanneer je NEN 7510 wilt implementeren of jezelf aan het oriënteren bent op de norm, dan krijg je te maken met een aantal NEN 7510 eisen waaraan je organisatie dient te voldoen. Het beheersen van de risico’s met het oog op informatiebeveiliging, is een belangrijk onderdeel van de norm. Eerst moeten de risico’s bepaald worden en dat kan door onderstaand vragen achtereenvolgens te doorlopen:
- Benoem de bedreigingen en kwetsbaarheden binnen de organisatie;
- Schat in wat de gevolgen zijn als incidenten zich voor doen;
- Schat per bedreiging en kwetsbaarheid in hoe waarschijnlijk het is dat die tot een incident leidt.
De organisatie bepaalt of de risico’s aanvaardbaar zijn aan de hand van criteria die ze eerder heeft vastgesteld. Ook wordt in de norm over beheersmaatregelen gesproken, zoals:
- Opstellen van een informatiebeveiligingsbeleid
- Organisatie van de informatiebeveiliging
- Beheer van bedrijfsmiddelen
- Fysieke beveiliging en beveiliging van de omgeving
- Toegangsbeveiliging
- Beheer van informatiebeveiligingsincidenten
NEN 7510 stappenplan
Hierboven is als het ware een NEN 7510 checklist weergegeven met allerlei zaken die ingeregeld dienen te worden alvorens je kunt certificeren voor NEN 7510. Om e.e.a. bondig samen te vatten geven we hieronder nog een verkort NEN 7510 stappenplan. Deze 6 stappen moet je doorlopen om te voldoen aan de norm:
- Nulmeting
- Contextanalyse
- Risicoanalyse & PvA
- Bewustwording creëren
- Interne audit
- Certificeringsaudit
Hieronder lichten we elke stap wat uitgebreider toe:
Stap 1: Nulmeting
Wanneer je een start maakt met NEN 7510, dan dien je een ISMS in te richten. Alvorens je daarmee aan de slag gaat, is het verstandig om na te gaan waar je organisatie nu staat. Dat noemen we een nulmeting uitvoeren (ook wel GAP-analyse genoemd). Daarin:
- Bepaal je of en in hoeverre je als organisatie voldoet aan de basismaatregelen met betrekking tot cybersecurity;
- Wordt de werkwijze onder de loep genomen;
- Wordt gekeken naar de reeds beschikbare informatie;
- Wordt de IT-infrastructuur doorlopen;
- Wordt de scope bepaald.
Bij het bepalen van de scope bepaal je waarop het ISMS betrekking gaat hebben? Op de BIV van informatie die omgaat in ALLE bedrijfsactiviteiten of in een gedeelte daarvan? Bijvoorbeeld een specifiek product of dienst. Vervolgens bekijk je welke bedrijfsprocessen in die scope vallen. Welke informatie gaat daar in rond waarvoor BIV-eisen gelden? Welke systemen worden daarbij gebruikt? Etc.
Laat een nulmeting uitvoeren!
Weten waar je staat met het oog op NEN 7510? Laat een nulmeting uitvoeren en bepaal zo direct waar je aandachtspunten liggen!
Stap 2: Contextanalyse en beleid bepalen
In deze stap voer je de contextanalyse uit. Het doel is inzicht verkrijgen in de organisatie en haar context. Met welke stakeholders, ofwel belanghebbenden, heb je te maken, zowel intern als extern? Welke eisen en verwachtingen hebben deze stakeholders met betrekking tot de BIV van informatie? Wanneer je de stakeholders eisen in ogenschouw neemt, waar sta je dan als organisatie voor? Wat zijn je doelen op gebied van de BIV van informatie?
Stap 3: Uitvoeren risicoanalyse
Met behulp van een risicoanalyse ga je beoordelen in hoeverre de informatiebeveiliging in de organisatie op een acceptabel niveau is. Welke mogelijke risico’s zijn er op technisch en organisatorisch vlak, die invloed hebben op de organisatie en de doelstellingen?
Risico’s waar je naar gaat kijken bevinden zich bijvoorbeeld op het vlak van:
- Informatiebeveiligingsbeleid;
- Veilig personeel;
- Beheer van bedrijfsmiddelen;
- Autorisaties;
- Toegangsbeveiliging;
- Communicatiebeveiliging.
Je bepaalt vervolgens de kans dat het risico zich voordoet en de impact per risico. Daarna bekijk je of je een bepaald risico acceptabel vindt of niet? Mocht je een risico niet acceptabel vinden, dan ga je het behandelen. Een dergelijk risico ga je implementeren, door er een maatregelen voor te bedenken. Dit noemen we een risicoanalyse en die voeren we uit op basis van de NEN 7510 normelementen in combinatie met deel 2 van de NEN 7510 norm (vergelijkbaar met de Annex A uit ISO 27002). Dit is een lijst met veelvoorkomende beheersmaatregelen.
Nadat je geïdentificeerd hebt wat je wilt gaan doen, wat je doelen zijn en wat je maatregelen voor risicobehandeling zijn, bekijk je welke middelen nodig zijn om de bedachte maatregelen ten uitvoer te brengen. Dit ga je vervolgens monitoren.
Dat alles breng je samen in een zogenaamd Plan van Aanpak (PvA). Daarin staat beschreven wat de benodigde maatregelen en eisen zijn m.b.t. het managementsysteem. Daarop wordt het actieplan afgestemd. Met behulp van dat actieplan zet je de verkregen inzichten uit de contextanalyse om naar concrete verbeteracties. Dat is een terugkerend proces dat blijft draaien door middel van de PDCA-cyclus. Daaropvolgend stel je het bedrijfsbeleid vast op alle geselecteerde beheersmaatregelen en implementeert dit, op het juiste niveau passend bij het risiconiveau.
Stap 4: Bewustwording creëren
Een stap in het proces die vaak onderbelicht blijft, maar ontzettend belangrijk is, is bewustwording creëren bij medewerkers. Medewerkers moeten op de hoogte zijn van het bedrijfsbeleid en zich bewust zijn van (operationele) risico’s en hun gedrag daarop afstemmen. Stel vast op welke wijze je de naleving en effectiviteit van de getroffen beheersmaatregelen kunt monitoren en evalueren. Denk daarbij aan technische monitoring, maar ook proces-KPI’s en een proces voor incidentenmelding, -registratie en opvolging. Stel een operationele planning op voor de benodigde periodieke controles, acties en werkzaamheden hiervoor.
Stap 5: Interne audit
Je gaat aan de slag met opstellen van een interne auditplanning voor een auditcyclus van drie jaar. Periodiek worden daarbij de onderdelen uit het ISMS gecontroleerd m.b.t. opzet, bestaan en werking.
Als onderdeel van het benodigde leiderschap rondom het ISMS, is het een verplichting dat het eindverantwoordelijke management een review uitvoert op de effectiviteit van het ISMS.
Stap 6: Certificeringsaudit en -cyclus
Als er een ISMS staat dat goed functioneert en leidt tot continue verbetering, dan kun je de officiële certificeringsaudit door een Certificerende Instelling (CI) laten uitvoeren. Bij positief resultaat ontvang je het NEN 7510 certificaat.
De NEN 7510 certificeren vormt niet het einde van het proces. Nadat het certificaat behaald is, is het ISMS nog lang niet klaar. Sterker nog: hier begint het pas. Het ISMS moet onderhouden worden en de PDCA moet blijven draaien.
Hulp nodig bij NEN 7510?
Wil je aan de slag met NEN 7510, maar kun je daarbij wel wat hulp gebruiken? Wij kunnen je op diverse manieren ondersteunen. Zo bieden we diverse NEN 7510 trainingen aan, geven we advies en ondersteuning bij implementatie en/of onderhoud van de norm en bieden we allerlei handige tools aan zoals de nulmeting, interne audit en een security awareness e-learning. Wat je vraag of wens ook is; kom met ons in contact! Wij helpen je graag op weg.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlDirect aan de slag met NEN 7510?
Voldoe aan de eisen!
- Deskundige adviseurs
- Advies, training en meer
- Vrijblijvende offerte op maat