Leestijd: 5 minuten

Verklaring van Toepasselijkheid NEN 7510

In dit artikel wordt uitgelegd wat de Verklaring van Toepasselijkheid NEN 7510:2017 precies inhoudt en hoe je er als organisatie mee omgaat.

Verklaring van Toepasselijkheid NEN 7510
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Innovatiemanager & Adviseur

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Wanneer je als organisatie aan de slag gaat met een NEN 7510 certificering, dan kom je op gegeven moment in aanraking met de Verklaring van Toepasselijkheid NEN 7510 of afgekort VvT NEN 7510. Deze verklaring hangt samen met de risicoanalyse. In feite is de Verklaring van Toepasselijkheid een opsomming van hetgeen dat van toepassing is voor een organisatie en geïmplementeerd dient te worden om risico’s op gebied van informatiebeveiliging te mitigeren. In dit artikel wordt uitgelegd wat de Verklaring van Toepasselijkheid NEN 7510:2017 precies inhoudt en hoe je er als organisatie mee omgaat.

Wat is de Verklaring van Toepasselijkheid NEN 7510?

Er wordt veel gesproken over de Verklaring van Toepasselijkheid NEN 7510 (Statement of Applicability, of SoA in het Engels). En dat is niet zo gek: de VvT is namelijk een essentieel document binnen de NEN 7510 norm. De VvT helpt organisaties om gestructureerd in kaart te brengen welke beveiligingsmaatregelen ze wel of niet toepassen en waarom. De VvT bevat een overzicht van beveiligingsmaatregelen uit de norm, evenals de toelichting op de keuzes die gemaakt zijn. De Verklaring van Toepasselijkheid NEN 7510 geeft weer:

  • Welke beveiligingsmaatregelen binnen de organisatie worden toegepast;
  • Waarom bepaalde maatregelen wel of niet van toepassing zijn;
  • Eventuele uitzonderingen en de argumentatie hiervoor.

Deze verklaring maakt uiteindelijk integraal onderdeel uit van het NEN 7510 certificaat van de organisatie.

Hoe stel je de Verklaring van Toepasselijkheid NEN 7510 voor informatiebeveiliging op?

Hoe werkt dat precies? De NEN 7510:2017 norm heeft een bijlage (Annex A) die alle beheersmaatregelen met het oog op informatiebeveiliging binnen de zorgsector omvat. De Verklaring van Toepasselijkheid NEN 7510 voor informatiebeveiliging is een document waarin de organisatie deze beheersmaatregelen van toepassing verklaart of niet; ofwel welke maatregelen zijn relevant voor de organisatie?

Alvorens dat wordt uitgevoerd, is het allereerst zaak om een NEN 7510 risicoanalyse uit te voeren. De organisatie moet begrijpen welke risico’s zij loopt en welke beveiligingsmaatregelen nodig zijn om die risico’s onder controle te krijgen. Vervolgens wordt voor iedere beheersmaatregel, uit de norm, bepaald en bekeken of deze van toepassing, en geïmplementeerd, wordt of niet. Bij een beheersmaatregel kun je denken aan:

  • Een organisatorische maatregel in de vorm van beleid en/of een procedure (beveiligd ontwikkelen, in-/uitdiensttreding, toekenning autorisaties, clean desk/clear screen, etc);
  • Een technische maatregel zoals een technische handeling (logging, back-up etc) en/of de implementatie van een technische eis (fysieke beveiliging, encryptie, firewall etc).

VvT NEN 7510: wel of niet van toepassing?

Als een maatregel niet van toepassing is, is het zaak dat deze als ‘niet van toepassing’ wordt verklaard en dat toegelicht wordt waarom deze niet van toepassing is.

  • Voorbeeld: een organisatie is niet verantwoordelijk voor de inhoud van software, maar enkel voor de technische werking ervan. In dat geval is de maatregel zoals weergegeven in onderstaande afbeelding niet van toepassing en dient dit als volgt ingevuld te worden:
VVT lijst

Beheersmaatregel in relatie tot vereisten

Bij de van toepassing verklaarde beheersmaatregelen is het zaak dat deze vervolgens worden geïmplementeerd. Bij het van toepassing verklaren van beheersmaatregelen en het implementeren ervan dient de organisatie te onderzoeken of de maatregel raakvlakken heeft met een aantal aspecten, namelijk:

  • Wet- en regelgeving
    De maatregel is van toepassing op het moment dat vanuit de wet- en regelgeving is vereist dat deze maatregel geïmplementeerd dient te zijn.
  • Contract
    De maatregel is van toepassing op het moment dat de organisatie in een contract en/of SLA heeft opgenomen dat ze hiervoor verantwoordelijkheid draagt.
  • Uitbesteed proces
    Er wordt gesproken over een uitbesteed proces op het moment dat de organisatie er niet voor verantwoordelijk is, maar er wel mee te maken krijgt tijdens het uitvoeren van werkzaamheden.
  • Interface
    Dit is van toepassing op het moment dat verschillende systemen met elkaar kunnen communiceren.
  • Risicoanalyse
    De maatregelen worden door de organisatie geïmplementeerd om risico’s te kunnen mitigeren. Het is daarom een vereiste dat de maatregelen die van toepassing zijn, terug te vinden zijn in de risicoanalyse.

Voorbeeld
Een organisatie maakt back-ups van systemen voor huisartsen waarin cliëntendossiers worden opgeslagen. Dan dient bij de maatregel die hierover gaat onderzocht te worden welke connectie deze heeft met bovengenoemde aspecten.

De redenatie achter de kruisjes in de vakjes bij de maatregel kunnen als volgt zijn:

  • Wet- en regelgeving
    Conform de wet is de organisatie verplicht om persoonlijke gezondheidsinformatie die is geback-upt encrypted op te slaan.
  • Contract
    In het contract en/of de SLA is opgenomen dat de organisatie back-ups moet maken van de cliëntendossiers.
  • Interface
    Om back-ups te kunnen maken, gebruikt de organisatie een back-up tool. Deze zorgt ervoor dat de back-up encrypted wordt opgeslagen op het systeem dat door de organisatie wordt gebruikt.
  • Risicoanalyse
    De maatregelen die de organisatie implementeert hebben als doel risico’s te mitigeren. Kortom, alle maatregelen dienen dan ook gelinkt te zijn aan risico’s uit de risicoanalyse.
VVT lijst 2

Waarom is de Verklaring van Toepasselijkheid belangrijk?

De VvT NEN 7510 geeft duidelijk aan zowel interne als externe stakeholders aan hoe de (zorg)organisatie omgaat met informatiebeveiliging. Door maatregelen te beoordelen en toe te passen, kan een organisatie een goede inschatting maken van de te beheersen risico’s. En zoals gezegd is de NEN 7510 VVT een verplicht onderdeel dat o.a. auditoren helpt met inzicht krijgen in hoe een organisatie omgaat met beveiligingseisen. Vaak is het zo dat een VvT NEN 7510 goedgekeurd moet worden door het management en, op een later moment, door een auditor bij de NEN 7510 audit.

Meer informatie over NEN 7510?

Hopelijk heeft dit blog over de Verklaring van Toepasselijkheid NEN 7510 voor informatiebeveiliging kunnen bijdragen aan een beter beeld van het doel en de werking van de Verklaring van Toepasselijkheid binnen de NEN 7510:2017 norm. Mocht je meer willen weten over de VvT NEN 7510 of heb je andere vragen over NEN 7510, schroom dan niet om contact met ons op te nemen. Onze adviseurs helpen je graag op weg!

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Innovatiemanager & Adviseur

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Een keertje sparren over NEN 7510?

Wij denken graag met je mee!

  • Uitleg over de norm
  • Antwoord op al je vragen
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields