Verklaring van Toepasselijkheid NEN 7510
In dit artikel wordt uitgelegd wat de Verklaring van Toepasselijkheid NEN 7510:2017 precies inhoudt en hoe je er als organisatie mee omgaat.


Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlWanneer je als organisatie aan de slag gaat met een NEN 7510 certificering, dan kom je op gegeven moment in aanraking met de Verklaring van Toepasselijkheid NEN 7510 of afgekort VvT NEN 7510. Deze verklaring hangt samen met de risicoanalyse. In feite is de Verklaring van Toepasselijkheid een opsomming van hetgeen dat van toepassing is voor een organisatie en geïmplementeerd dient te worden om risico’s op gebied van informatiebeveiliging te mitigeren. In dit artikel wordt uitgelegd wat de Verklaring van Toepasselijkheid NEN 7510:2017 precies inhoudt en hoe je er als organisatie mee omgaat.
Wat is de Verklaring van Toepasselijkheid NEN 7510?
Er wordt veel gesproken over de Verklaring van Toepasselijkheid NEN 7510 (Statement of Applicability, of SoA in het Engels). En dat is niet zo gek: de VvT is namelijk een essentieel document binnen de NEN 7510 norm. De VvT helpt organisaties om gestructureerd in kaart te brengen welke beveiligingsmaatregelen ze wel of niet toepassen en waarom. De VvT bevat een overzicht van beveiligingsmaatregelen uit de norm, evenals de toelichting op de keuzes die gemaakt zijn. De Verklaring van Toepasselijkheid NEN 7510 geeft weer:
- Welke beveiligingsmaatregelen binnen de organisatie worden toegepast;
- Waarom bepaalde maatregelen wel of niet van toepassing zijn;
- Eventuele uitzonderingen en de argumentatie hiervoor.
Deze verklaring maakt uiteindelijk integraal onderdeel uit van het NEN 7510 certificaat van de organisatie.
Hoe stel je de Verklaring van Toepasselijkheid NEN 7510 voor informatiebeveiliging op?
Hoe werkt dat precies? De NEN 7510:2017 norm heeft een bijlage (Annex A) die alle beheersmaatregelen met het oog op informatiebeveiliging binnen de zorgsector omvat. De Verklaring van Toepasselijkheid NEN 7510 voor informatiebeveiliging is een document waarin de organisatie deze beheersmaatregelen van toepassing verklaart of niet; ofwel welke maatregelen zijn relevant voor de organisatie?
Alvorens dat wordt uitgevoerd, is het allereerst zaak om een NEN 7510 risicoanalyse uit te voeren. De organisatie moet begrijpen welke risico’s zij loopt en welke beveiligingsmaatregelen nodig zijn om die risico’s onder controle te krijgen. Vervolgens wordt voor iedere beheersmaatregel, uit de norm, bepaald en bekeken of deze van toepassing, en geïmplementeerd, wordt of niet. Bij een beheersmaatregel kun je denken aan:
- Een organisatorische maatregel in de vorm van beleid en/of een procedure (beveiligd ontwikkelen, in-/uitdiensttreding, toekenning autorisaties, clean desk/clear screen, etc);
- Een technische maatregel zoals een technische handeling (logging, back-up etc) en/of de implementatie van een technische eis (fysieke beveiliging, encryptie, firewall etc).
VvT NEN 7510: wel of niet van toepassing?
Als een maatregel niet van toepassing is, is het zaak dat deze als ‘niet van toepassing’ wordt verklaard en dat toegelicht wordt waarom deze niet van toepassing is.
- Voorbeeld: een organisatie is niet verantwoordelijk voor de inhoud van software, maar enkel voor de technische werking ervan. In dat geval is de maatregel zoals weergegeven in onderstaande afbeelding niet van toepassing en dient dit als volgt ingevuld te worden:

Beheersmaatregel in relatie tot vereisten
Bij de van toepassing verklaarde beheersmaatregelen is het zaak dat deze vervolgens worden geïmplementeerd. Bij het van toepassing verklaren van beheersmaatregelen en het implementeren ervan dient de organisatie te onderzoeken of de maatregel raakvlakken heeft met een aantal aspecten, namelijk:
- Wet- en regelgeving
De maatregel is van toepassing op het moment dat vanuit de wet- en regelgeving is vereist dat deze maatregel geïmplementeerd dient te zijn. - Contract
De maatregel is van toepassing op het moment dat de organisatie in een contract en/of SLA heeft opgenomen dat ze hiervoor verantwoordelijkheid draagt. - Uitbesteed proces
Er wordt gesproken over een uitbesteed proces op het moment dat de organisatie er niet voor verantwoordelijk is, maar er wel mee te maken krijgt tijdens het uitvoeren van werkzaamheden. - Interface
Dit is van toepassing op het moment dat verschillende systemen met elkaar kunnen communiceren. - Risicoanalyse
De maatregelen worden door de organisatie geïmplementeerd om risico’s te kunnen mitigeren. Het is daarom een vereiste dat de maatregelen die van toepassing zijn, terug te vinden zijn in de risicoanalyse.
Voorbeeld
Een organisatie maakt back-ups van systemen voor huisartsen waarin cliëntendossiers worden opgeslagen. Dan dient bij de maatregel die hierover gaat onderzocht te worden welke connectie deze heeft met bovengenoemde aspecten.
De redenatie achter de kruisjes in de vakjes bij de maatregel kunnen als volgt zijn:
- Wet- en regelgeving
Conform de wet is de organisatie verplicht om persoonlijke gezondheidsinformatie die is geback-upt encrypted op te slaan. - Contract
In het contract en/of de SLA is opgenomen dat de organisatie back-ups moet maken van de cliëntendossiers. - Interface
Om back-ups te kunnen maken, gebruikt de organisatie een back-up tool. Deze zorgt ervoor dat de back-up encrypted wordt opgeslagen op het systeem dat door de organisatie wordt gebruikt. - Risicoanalyse
De maatregelen die de organisatie implementeert hebben als doel risico’s te mitigeren. Kortom, alle maatregelen dienen dan ook gelinkt te zijn aan risico’s uit de risicoanalyse.

Waarom is de Verklaring van Toepasselijkheid belangrijk?
De VvT NEN 7510 geeft duidelijk aan zowel interne als externe stakeholders aan hoe de (zorg)organisatie omgaat met informatiebeveiliging. Door maatregelen te beoordelen en toe te passen, kan een organisatie een goede inschatting maken van de te beheersen risico’s. En zoals gezegd is de NEN 7510 VVT een verplicht onderdeel dat o.a. auditoren helpt met inzicht krijgen in hoe een organisatie omgaat met beveiligingseisen. Vaak is het zo dat een VvT NEN 7510 goedgekeurd moet worden door het management en, op een later moment, door een auditor bij de NEN 7510 audit.
Meer informatie over NEN 7510?
Hopelijk heeft dit blog over de Verklaring van Toepasselijkheid NEN 7510 voor informatiebeveiliging kunnen bijdragen aan een beter beeld van het doel en de werking van de Verklaring van Toepasselijkheid binnen de NEN 7510:2017 norm. Mocht je meer willen weten over de VvT NEN 7510 of heb je andere vragen over NEN 7510, schroom dan niet om contact met ons op te nemen. Onze adviseurs helpen je graag op weg!

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlEen keertje sparren over NEN 7510?
Wij denken graag met je mee!
- Uitleg over de norm
- Antwoord op al je vragen
- Praktische tips