Security Awareness in relatie tot NEN 7510: hoe maak je er werk van?

Hoe zit het met Security Awareness in relatie tot NEN 7510? Wat houdt het in? Waar vraagt de norm om? Welke maatregelen kun je treffen?

Security Awareness NEN 7510
Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens@certificeringsadvies.nl

Ziekenhuizen zijn door de Inspectie Gezondheidszorg en Jeugd (IGJ) verplicht gesteld om uiterlijk in 2023 te voldoen aan de norm voor informatiebeveiliging in de zorg: NEN 7510. Dit om toekomstige problemen bij ziekenhuizen te voorkomen. Daar hoort bij dat ziekenhuizen regelmatig een onafhankelijke beoordeling laten uitvoeren. De IGJ gaat dit opvragen bij alle ziekenhuizen. Wat betekent dat voor ziekenhuizen en zorginstellingen?

In een reeks van drie webinars vertellen CertificeringsAdvies Nederland & Infield ICT daar meer over. Op 25 mei 2023 vond het tweede webinar uit de reeks plaats waarin het onderwerp ‘Security Awareness: hoe maak je werk van’ uitgebreid is besproken. Ook deze keer schoof adviseur Laurens Hekkink, namens CertificeringsAdvies Nederland, aan tijdens het webinar. Hij zoomde tijdens zijn verhaal verder in op Security Awareness in relatie tot NEN 7510. Wat houdt het in? Waar vraagt de norm om? En welke maatregelen kun je treffen om risico’s te verkleinen? In dit artikel een samenvatting van zijn verhaal.

NEN 7510: informatiebeveiliging binnen de zorgsector

Wanneer je spreekt over informatiebeveiliging, en dus ook over NEN 7510, dan draait het erom dat je jouw organisatie beschermt tegen de risico’s en bedreigingen op gebied van informatie en ICT. Belangrijk daarbij zijn de drie pijlers van informatiebeveiliging (BIV):

  • Beschikbaarheid: informatie moet beschikbaar zijn op moment dat je het nodig hebt. Kun je bijvoorbeeld de website bereiken? Of is een device niet gestolen?
  • Integriteit: weet je zeker of kun je ervan uitgaan dat de informatie die je voor je ziet kloppend is?
  • Vertrouwelijkheid: de informatie is alleen gedeeld met personen die daar vanuit hun rol/verantwoordelijkheid toegang tot mogen hebben. Is informatie niet te breed gedeeld binnen de organisatie? Is informatie gelekt?

In het eerdere artikel, behorende bij webinar 1 uit de reeks, is al uitgebreid uiteengezet wat NEN 7510 precies is. Daarom beperken we ons in dit artikel tot een korte definitie:

NEN 7510 is een Nederlandse norm gericht op informatiebeveiliging binnen de zorgsector, die richtlijnen geeft voor waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van persoonlijke gezondheidsinformatie.

Wat NEN 7510 uniek maakt is dat er, naast de 114 beheersmaatregelen uit de ISO 27001, nog 36 verdiepende beheersmaatregelen zijn specifiek voor de zorg en de omgang met zorginformatie. Het draait erom dat het managementsysteem risico’s in kaart brengt die je gaat behandelen met bepaalde maatregelen.

Security Awareness risico’s in relatie tot NEN 7510

In dit geval spreken we van risico’s doordat medewerkers onveilig gedrag vertonen, vanwege dat er geen security awareness wordt onderlegd in een organisatie of doordat er onvoldoende aan security awareness wordt gewerkt. Gevolg daarvan is dat er datalekken of informatiebeveiligingsincidenten worden veroorzaakt, ondanks dat medewerkers hun best en werk doen. Dit kan optreden doordat medewerkers simpelweg niet bekend zijn met wat veilig gedrag precies is.

Normeisen

A.7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

Beheersmaatregel 

Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijnsopleiding en ‐training krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.

ZORGSPECIFIEKE BEHEERSMAATREGEL 

Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten garanderen dat onderwijs en training over informatiebeveiliging worden gegeven bij de introductie van nieuwe medewerkers en dat er regelmatig updates van beveiligingsbeleid en ‐procedures van de organisatie worden verstrekt aan alle werknemers en, indien relevant, derde‐ contractanten, onderzoekers, studenten en vrijwilligers die persoonlijke gezondheidsinformatie verwerken.

Werknemers van de organisatie en, waar relevant, derde‐contractanten moeten worden gewezen op disciplinaire processen en gevolgen met betrekking tot schendingen van informatiebeveiliging.

Wanneer er risico’s zijn op gebied van medewerkersbewustzijn, dan wordt vanuit de NEN 7510 norm verwacht dat daarvoor passende maatregelen worden getroffen. Je kunt eraan denken om medewerkers te gaan trainen en ze daarbij bewust te maken van de risico’s. De norm vraagt bovendien expliciet om training van medewerkers bij indiensttreding bij je organisatie. Op die manier zijn ze, bij het aan boord komen, al bekend met (het) informatiebeveiliging(sbeleid) binnen de organisatie en zijn ze gewezen op de risico’s van het niet naleven daarvan.

Schrikbarende cijfers, ook in de zorg!

Waarom is het zo belangrijk om die bewustwording van informatiebeveiliging onder medewerkers in de zorgsector te vergroten? Simpelweg omdat de dreigingen steeds groter worden! Hieronder wat feiten en cijfers:

  • Phishing is de meest voorkomende vorm van cybercrime.
  • Onderzoek van Securitymagazine.com wijst uit dat er naar schatting dagelijks 3,4 miljard phishing mails worden verstuurd.
  • Google blokkeert dagelijks circa 100 miljoen phishing e-mails (bron: workspace.google.com).
  • Het aantal phishing mails neemt jaarlijks met 150% toe (bron: docs.apwg.org).

Schrikbarende cijfers dus waarmee het risico wel duidelijk wordt. Het is dus van groot belang dat je hier als organisatie wat mee gaat doen.

Bron: Autoriteit Persoonsgegevens, Jaarrapportage meldplicht datalekken 2021

Uit cijfers van de Autoriteit Persoonsgegevens (AP) blijkt dat over het jaar 2021 zo’n 24.866 datalekmeldingen hebben plaatsgevonden. De realiteit leert dat het daadwerkelijke aantal nog hoger ligt, want niet alle datalekken worden gemeld bij de AP en ook niet alle datalekken hoeven daar gemeld te worden. Daarnaast zijn er ook nog betrokkenen die zelf een klacht indienen over de verwerking van persoonsgegevens.

In bovenstaande grafiek is te zien dat de meeste datalekmeldingen, namelijk zo’n 37%, afkomstig zijn uit de zorgsector. Gevolgd door het openbaar bestuur (23%). Wat opvallend is aan deze cijfers, wanneer ze vergeleken worden met 2020, is dat de zorgsector gestegen is met 29% ten opzichte van het jaar daarvoor. Dat benadrukt nog maar eens het belang van aandacht voor security awareness!

Security awareness in de zorg: wat kun je eraan doen?

Wat kun je doen tegen deze risico’s?

  • Zorg ervoor dat medewerkers bij indiensttreding op de hoogte worden gebracht van het informatiebeveiligingsbeleid dat geldt binnen de organisatie. Denk daarbij bijvoorbeeld aan een één op één sessie of nodig periodiek alle nieuwe medewerkers uit bij een centrale sessie.
  • Geef periodiek uitleg over een specifiek onderwerp. Het is namelijk van belang om er niet eenmalig, bij indiensttreding, aandacht aan te schenken, maar juist periodiek op terug te komen. Geef elke keer uitleg over een ander aspect uit je informatiebeveiligingsbeleid, zoals bijvoorbeeld phishing.
  • Maak eventueel gebruik van tooling. Denk hierbij bijvoorbeeld aan een e-learning module zoals we die bij CertificeringsAdvies Nederland aanbieden.

Meer weten over de e-learning rondom informatiebeveiligingsbewustzijn? Bekijk Security Awareness e-learning pagina.

Naast bovengenoemde zaken, zijn er nog meer dingen die je kunt doen op het gebied van bescherming. Niet alles kan immers gedaan worden door medewerkers. Een medewerker kan een heleboel en is daarmee de belangrijkste schakel in IT, maar is niet perfect. Daarom is het van belang om één of meerdere vormen van malware-protectie te implementeren.

Normeisen

A.12.2.1 Beheersmaatregelen tegen malware

Beheersmaatregel 

Ter bescherming tegen malware moeten beheersmaatregelen voor detectie, preventie en herstel worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers.

ZORGSPECIFIEKE BEHEERSMAATREGEL 

Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten gepaste preventie‐, detectie‐ en responsbeheersmaatregelen implementeren om bescherming te bieden tegen kwaadaardige software en moeten passende bewustzijnstraining voor gebruikers implementeren.

De norm, zie kader hierboven, geeft aan dat je voldoende maatregelen moet nemen om risico op malware te beperken. Daarnaast geeft de norm aan dat je voldoende moet doen om medewerkers zich hiervan bewust te maken.

Bron: NCSC – Kwantificering van cyberrisico’s

Toelichting:

  • Je moet de kwetsbaarheden beschermen door de laatste updates te installeren. Voldoende netwerkscheiding etc.
  • Je moet mogelijkheden implementeren om detectie toe te voegen.
  • Je dient reactieve maatregelen te nemen door een plan op te stellen: wat gaan we nu doen als een malware infectie heeft opgetreden?

Zoals gezegd: de mens is een belangrijke schakel, maar ook de zwakste schakel. Daarom is het van belang de mens te ondersteunen door één of meerdere vormen van malware-protectie te implementeren. Denk daarbij aan:

  • Netwerkscheiding en monitoring
  • Regels voor het installeren van software
  • Beperk het gebruik van verwijderbare media, zoals usb-sticks (zie ook A.8.3)
  • Limiteer de toegang tot gegevens en bestanden
  • Endpoint beveiliging

Voor wat betreft het limiteren van toegang tot bestanden willen we nog even meegeven dat daar het derde webinar uit de driedelige reeks op inzoomt. Dit gaat namelijk over Identity and Access management.

Meer informatie?

In dit artikel was te lezen hoe je werkt maakt van security awareness in relatie tot NEN 7510. Dit artikel is gebaseerd op een webinar dat onderdeel uitmaakt van een reeks van drie webinars rondom NEN 7510. Via onderstaande links zijn de webinars terug te kijken:

Wil je meer informatie over NEN 7510 of specifiek over Security Awareness? Neem gerust contact met ons op. We helpen je graag op weg!

Vraag vrijblijvend de demo e-learning informatiebeveiliging aan

Laurens Hekkink
Laurens Hekkink
Adviseur

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.

laurens@certificeringsadvies.nl

Download NEN 7510 informatiegids

Aan de slag met NEN 7510? Download vrijblijvend de handige NEN 7510 informatiegids. Met daarin:

  • Uitleg over de norm
  • Antwoord op al je vragen
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields