NEN 7510 risicoanalyse: 5-stappenplan
De NEN 7510 risicoanalyse is een belangrijk aspect bij implementatie van de NEN 7510 in je organisatie. Wat is een risicoanalyse? Waarom is het belangrijk en wat zijn de te doorlopen stappen?
Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".
bradley@certificeringsadvies.nlDe digitalisering van de zorg is in volle gang. Dat brengt allerlei risico’s met zich mee op het gebied van informatiebeveiliging. Niet voor niets zijn zorginstellingen, gezien de gevoelige aard van medische gegevens, een aantrekkelijk doelwit voor cybercriminelen. Ook technische fouten of fouten voortkomend uit menselijk handelen vormen een risico met grote gevolgen met het oog op de beschikbaarheid van zorg en privacy van patiënten. Hoe zorg je ervoor dat gevoelige patiëntgegevens veilig zijn? De NEN 7510 norm, de norm voor informatiebeveiliging in de zorg, biedt een kader dat zorginstellingen helpt bij het beter beveiligingen van dit soort gegevens. Een belangrijk aspect dat binnen deze norm aan bod komt is de NEN 7510 risicoanalyse. Waar bestaat die risicoanalyse NEN 7510 uit? Hoe voer je deze uit? En waarom is deze zo belangrijk? Dat en meer lees je in dit artikel.
Wat is NEN 7510?
NEN 7510 is specifiek ontwikkeld voor informatiebeveiliging binnen de Nederlandse zorgsector waar medische- en patiëntgegevens een belangrijke plaats innemen. Bescherming en beveiliging van persoonlijke informatie is belangrijk voor alle personen, bedrijven, instellingen en overheden, maar voor de gezondheidssector gelden speciale NEN 7510 eisen waaraan voldaan moet worden om de Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) van persoonlijke gezondheidsinformatie veilig te stellen.
Waarom is de NEN 7510 risicoanalyse belangrijk?
Wanneer je met NEN 7510 aan de slag gaat, vormt de risicoanalyse een belangrijk onderdeel. Door middel van het uitvoeren van een risicoanalyse krijg je een beeld van de kwetsbaarheden en bedreigingen die invloed kunnen hebben op de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van medische gegevens. Met behulp van de NEN 7510 risicoanalyse kun je bepalen wat de belangrijkste dreigingen zijn en per dreiging maatregelen treffen om de informatie te beveiligen. De risicoanalyse NEN 7510 is een krachtig hulpmiddel bij het maken van doelgerichte keuzes met betrekking tot beveiligen van patiëntgegevens. Wanneer je de risicoanalyse correct uitvoert, verkleint dat de kans op incidenten en beperkt het eventuele schade.
Om met de NEN 7510 risicoanalyse aan de slag te kunnen is het van belang dat er aan deze twee voorwaarden is voldaan:
- Het informatiebeveiligingsbeleid binnen je organisatie is vastgesteld. Zo zijn er doelstellingen opgenomen en is het beleid passend voor je organisatie.
- De scope is bepaald. Voor welke activiteiten ga je de NEN 7510 certificering behalen? Voor je hele zorginstelling? Of voor een aantal specifieke processen of afdelingen?
NEN 7510 risicoanalyse stappenplan
Nu bovengenoemde duidelijk is, kunnen we verder met de uitvoering van de NEN 7510 risicoanalyse. Hoe stel je deze op? Wat zijn de te nemen stappen? Hieronder een 5-stappenplan:
1. Inventarisatie van informatie(bronnen)
Allereerst is het van belang dat je de informatie assets binnen de organisatie gaat vaststellen. Denk aan:
- Patiëntgegevens;
- Medische apparaten;
- IT-systemen;
- Etc.
Dit zijn bronnen en systemen waarin de gevoelige informatie is opgeslagen of die een rol spelen in dat proces.
2. Bepaal de bedreigingen
Nu is het zaak om te gaan bekijken welke bedreigingen en kwetsbaarheden er zijn met het oog op bovengenoemde assets. Denk hierbij aan informatie-uitwisseling, wie heeft er toegang, hoe zijn de systemen beveiligd, zijn er back-ups ingericht, hoe worden updates gedraaid? Etc. Allemaal zaken om bij stil te staan om uiteindelijk beveiligd te zijn tegen datalekken, aanvallen van buitenaf, menselijke handelingsfouten en eventuele storing of uitval van het systeem.
3. Beoordeel de risico’s
Nadat de dreigingen zijn vastgesteld, dienen de risico’s te worden beoordeeld. Hoe groot is de kans dat een risico zich voordoet en wat is de impact ervan? Een handig hulpmiddel hierbij is de zogenaamde risicomatrix. Daarbij wordt een risico gewogen op basis van de kans dat het voorkomt en de gevolgen voor de organisatie bij het plaatsvinden ervan.
Om risico’s te identificeren en de bijbehorende maatregelen vast te stellen, wordt er gebruik gemaakt van bijlage A van de NEN 7510 norm. In deze bijlage A (ook wel Annex A genoemd) staan alle informatiebeveiligingsrisico’s, referentiedoelstellingen en risico’s (ook wel controls genoemd). Bij NEN 7510 is dit met een extra specificatie voor de zorg.
4. Beveiligingsmaatregelen treffen
Op basis van de vastgestelde risico’s en de prioritering daarvan kunnen er maatregelen getroffen worden. Dit zijn maatregelen, zowel technisch als organisatorisch van aard, in allerlei vormen, zoals:
- Encryptie;
- Back-ups;
- Wachtwoordbeleid;
- E-learnings over phishing;
- Toegangscontroles;
- Etc.
Met behulp van de bijlage A uit de norm, kies je de beheersmaatregelen die voor jouw organisatie van toepassing zijn. Hoe je weet of een betreffende maatregel voor jouw organisatie van toepassing is? Daar kom je achter door het uitvoeren van de risicoanalyse. Het is namelijk erg belangrijk om passende maatregelen te nemen voor specifieke risico’s binnen jouw organisatie.
Voorbeeld
- Risico: Medische gegevens in een systeem van een zorginstelling zijn niet goed beveiligd, waardoor onbevoegde personen toegang kunnen krijgen.
- Impact: Dit kan leiden tot privacy-issues, reputatieschade, boetes van o.a. de Autoriteit Persoonsgegevens (AP).
- Maatregel: Zorgen voor een correctie informatieclassificatie. Patiëntgegevens zijn ‘hoog vertrouwelijk’ als classificatie. Beveilig het systeem door middel van toegangscontrole (bijv. 2FA/MFA) en gebruik encryptie voor opslag/transport van deze gegevens.
5. Continue verbetering
Nadat de maatregelen geïmplementeerd zijn, stopt de risicoanalyse niet. Een risicoanalyse is in feite een continu terugkerend proces, waarbij je steeds op zoek gaat naar verdere verbetering. Dit doe je met behulp van de PDCA-cyclus. Door de risico’s en bijbehorende maatregelen periodiek te evalueren kun je bijsturen en andere/betere maatregelen treffen. Ook kunnen er dan eventuele nieuwe risico’s geïdentificeerd worden waarop je kunt acteren.
Wie voert de NEN 7510 risicoanalyse uit?
Wie is er binnen je organisatie verantwoordelijk voor het uitvoeren van een NEN 7510 risicoanalyse? Dat kun je uiteraard naar eigen wens en mogelijkheden invullen. Hieronder een gangbaar voorbeeld:
- De directie is verantwoordelijk voor de strategische richting van de organisatie en de doeltreffendheid van het information security management system (ISMS). Zij moeten middelen, rollen, verantwoordelijkheden, bevoegdheden beschikbaar stellen en toekennen.
- Doorgaans wordt een risicoanalyse voor NEN 7510 uitgevoerd door de CISO (Chief Information Security Officer) of SO (Security Officer).
- Bij het proces, afhankelijk van de grootte en complexiteit van de organisatie en scope, kunnen (externe) adviseurs, IT-beheerders, auditoren, managers betrokken zijn.
- Ook gebruikers van systemen kunnen nuttige input leveren voor de risicoanalyse. Als gebruiker weten zij als geen ander hoe het systeem werkt en daarnaast kan hun gedrag juist risico’s opleveren. Om die reden is medewerking bij de risicoanalyse gewenst.
Ondersteuning nodig?
Heb je hulp of ondersteuning nodig bij implementatie of onderhoud van de NEN 7510 norm? Of wil je specifiek hulp bij het uitvoeren van de risicoanalyse NEN 7510? Neem dan gerust contact met ons op. Onze adviseurs informatiebeveiliging kennen de norm en te nemen stappen op hun duimpje en helpen je graag verder!
Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".
bradley@certificeringsadvies.nlAan de slag met NEN 7510 (risicoanalyse)?
Voldoe direct aan de eisen!
- Verklein risico's
- Tref maatregelen
- Offerte op maat