Wanneer je als organisatie aan de slag gaat met een NEN 7510 certificering, dan kom je op gegeven moment in aanraking met de Verklaring van Toepasselijkheid. Deze verklaring hangt samen met de risicoanalyse. In feite is de Verklaring van Toepasselijkheid een opsomming van hetgeen dat van toepassing is voor een bedrijf en geïmplementeerd dient te worden om risico’s te mitigeren. In dit artikel wordt uitgelegd wat de Verklaring van Toepasselijkheid NEN 7510:2017 precies inhoudt en hoe je er als organisatie mee omgaat.
Structuur van een Verklaring van Toepasselijkheid NEN7510
De NEN 7510:2017 norm heeft een bijlage (Annex A) die alle beheersmaatregelen omvat. De Verklaring van Toepasselijkheid is een document waarin de organisatie deze beheersmaatregelen van toepassing verklaart of niet. Deze verklaring maakt uiteindelijk integraal onderdeel uit van het NEN 7510 certificaat van de organisatie. Voor iedere beheersmaatregel kijkt de organisatie of die van toepassing en geïmplementeerd is of niet. Bij een beheersmaatregel kun je denken aan:
- Een organisatorische maatregel in de vorm van beleid en/of een procedure (beveiligd ontwikkelen, in-/uitdiensttreding, toekenning autorisaties, clean desk/clear screen, etc);
- Een technische maatregel zoals een technische handeling (logging, back-up etc) en/of de implementatie van een technische eis (fysieke beveiliging, encryptie, firewall etc).
Artikeltip: Lees ook ‘Kiezen voor ISO 27001 of NEN 7510? Of beide? En zijn er alternatieven?‘
Download vrijblijvend de handige NEN 7510 informatiegids
Wil je aan de slag met de implementatie van NEN 7510? Download dan geheel vrijblijvend de handige NEN 7510 informatiegids met daarin uitleg over deze norm voor informatiebeveiliging en antwoord op alle veel gestelde vragen.
Wel of niet van toepassing
Als een maatregel niet van toepassing is, is het zaak dat deze als ‘niet van toepassing’ wordt verklaard en dat toegelicht wordt waarom deze niet van toepassing is. Voorbeeld: een organisatie is niet verantwoordelijk voor de inhoud van software, maar enkel voor de technische werking ervan. In dat geval is de maatregel zoals weergegeven in onderstaande afbeelding niet van toepassing en dient dit als volgt ingevuld te worden:
Beheersmaatregel in relatie tot vereisten
Bij de van toepassing verklaarde beheersmaatregelen is het zaak dat deze vervolgens worden geïmplementeerd. Bij het van toepassing verklaren van beheersmaatregelen en het implementeren ervan dient de organisatie te onderzoeken of de maatregel raakvlakken heeft met een aantal aspecten, namelijk:
- Wet- en regelgeving
De maatregel is van toepassing op het moment dat vanuit de wet- en regelgeving is vereist dat deze maatregel geïmplementeerd dient te zijn.
- Contract
De maatregel is van toepassing op het moment dat de organisatie in een contract en/of SLA heeft opgenomen dat ze hiervoor verantwoordelijkheid draagt.
- Uitbesteed proces
Er wordt gesproken over een uitbesteed proces op het moment dat de organisatie er niet voor verantwoordelijk is, maar er wel mee te maken krijgt tijdens het uitvoeren van werkzaamheden.
- Interface
Dit is van toepassing op het moment dat verschillende systemen met elkaar kunnen communiceren.
- Risicoanalyse
De maatregelen worden door de organisatie geïmplementeerd om risico’s te kunnen mitigeren. Het is daarom een vereiste dat de maatregelen die van toepassing zijn, terug te vinden zijn in de risicoanalyse.
Bekijk ook het artikel ‘Voor wie is NEN 7510 verplicht?‘
Voorbeeld
Voorbeeld: Een organisatie maakt back-ups van systemen voor huisartsen waarin cliëntendossiers worden opgeslagen. Dan dient bij de maatregel die hierover gaat onderzocht te worden welke connectie deze heeft met bovengenoemde aspecten.
De redenatie achter de kruisjes in de vakjes bij de maatregel kunnen als volgt zijn:
- Wet- en regelgeving
Conform de wet is de organisatie verplicht om persoonlijke gezondheidsinformatie die is geback-upt encrypted op te slaan.
- Contract
In het contract en/of de SLA is opgenomen dat de organisatie back-ups moet maken van de cliëntendossiers.
- Interface
Om back-ups te kunnen maken, gebruikt de organisatie een back-up tool. Deze zorgt ervoor dat de back-up encrypted wordt opgeslagen op het systeem dat door de organisatie wordt gebruikt.
- Risicoanalyse
De maatregelen die de organisatie implementeert hebben als doel risico’s te mitigeren. Kortom, alle maatregelen dienen dan ook gelinkt te zijn aan risico’s uit de risicoanalyse.
Meer informatie over NEN 7510?
Hopelijk heeft dit blog kunnen bijdragen aan een beter beeld van het doel en de werking van de Verklaring van Toepasselijkheid binnen de NEN 7510:2017 norm. Mocht je meer willen weten over de VvT of heb je andere vragen over NEN 7510, schroom dan niet om contact met ons op te nemen. Onze adviseurs helpen je graag op weg!
