Verklaring van Toepasselijkheid NEN 7510

In dit artikel wordt uitgelegd wat de Verklaring van Toepasselijkheid NEN 7510:2017 precies inhoudt en hoe je er als organisatie mee omgaat.

Verklaring van Toepasselijkheid NEN 7510
Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Wanneer je als organisatie aan de slag gaat met een NEN 7510 certificering, dan kom je op gegeven moment in aanraking met de Verklaring van Toepasselijkheid. Deze verklaring hangt samen met de risicoanalyse. In feite is de Verklaring van Toepasselijkheid een opsomming van hetgeen dat van toepassing is voor een bedrijf en geïmplementeerd dient te worden om risico’s te mitigeren. In dit artikel wordt uitgelegd wat de Verklaring van Toepasselijkheid NEN 7510:2017 precies inhoudt en hoe je er als organisatie mee omgaat.

Structuur van een Verklaring van Toepasselijkheid NEN7510

De NEN 7510:2017 norm heeft een bijlage (Annex A) die alle beheersmaatregelen omvat. De Verklaring van Toepasselijkheid is een document waarin de organisatie deze beheersmaatregelen van toepassing verklaart of niet. Deze verklaring maakt uiteindelijk integraal onderdeel uit van het NEN 7510 certificaat van de organisatie. Voor iedere beheersmaatregel kijkt de organisatie of die van toepassing en geïmplementeerd is of niet. Bij een beheersmaatregel kun je denken aan:

  • Een organisatorische maatregel in de vorm van beleid en/of een procedure (beveiligd ontwikkelen, in-/uitdiensttreding, toekenning autorisaties, clean desk/clear screen, etc);
  • Een technische maatregel zoals een technische handeling (logging, back-up etc) en/of de implementatie van een technische eis (fysieke beveiliging, encryptie, firewall etc).

Wel of niet van toepassing

Als een maatregel niet van toepassing is, is het zaak dat deze als ‘niet van toepassing’ wordt verklaard en dat toegelicht wordt waarom deze niet van toepassing is. Voorbeeld: een organisatie is niet verantwoordelijk voor de inhoud van software, maar enkel voor de technische werking ervan. In dat geval is de maatregel zoals weergegeven in onderstaande afbeelding niet van toepassing en dient dit als volgt ingevuld te worden:

Beheersmaatregel in relatie tot vereisten

Bij de van toepassing verklaarde beheersmaatregelen is het zaak dat deze vervolgens worden geïmplementeerd. Bij het van toepassing verklaren van beheersmaatregelen en het implementeren ervan dient de organisatie te onderzoeken of de maatregel raakvlakken heeft met een aantal aspecten, namelijk:

  • Wet- en regelgeving
    De maatregel is van toepassing op het moment dat vanuit de wet- en regelgeving is vereist dat deze maatregel geïmplementeerd dient te zijn.
  • Contract
    De maatregel is van toepassing op het moment dat de organisatie in een contract en/of SLA heeft opgenomen dat ze hiervoor verantwoordelijkheid draagt.
  • Uitbesteed proces
    Er wordt gesproken over een uitbesteed proces op het moment dat de organisatie er niet voor verantwoordelijk is, maar er wel mee te maken krijgt tijdens het uitvoeren van werkzaamheden.
  • Interface
    Dit is van toepassing op het moment dat verschillende systemen met elkaar kunnen communiceren.
  • Risicoanalyse
    De maatregelen worden door de organisatie geïmplementeerd om risico’s te kunnen mitigeren. Het is daarom een vereiste dat de maatregelen die van toepassing zijn, terug te vinden zijn in de risicoanalyse.

Voorbeeld

Voorbeeld: Een organisatie maakt back-ups van systemen voor huisartsen waarin cliëntendossiers worden opgeslagen. Dan dient bij de maatregel die hierover gaat onderzocht te worden welke connectie deze heeft met bovengenoemde aspecten.

De redenatie achter de kruisjes in de vakjes bij de maatregel kunnen als volgt zijn:

  • Wet- en regelgeving
    Conform de wet is de organisatie verplicht om persoonlijke gezondheidsinformatie die is geback-upt encrypted op te slaan.
  • Contract
    In het contract en/of de SLA is opgenomen dat de organisatie back-ups moet maken van de cliëntendossiers.
  • Interface
    Om back-ups te kunnen maken, gebruikt de organisatie een back-up tool. Deze zorgt ervoor dat de back-up encrypted wordt opgeslagen op het systeem dat door de organisatie wordt gebruikt.
  • Risicoanalyse
    De maatregelen die de organisatie implementeert hebben als doel risico’s te mitigeren. Kortom, alle maatregelen dienen dan ook gelinkt te zijn aan risico’s uit de risicoanalyse.

Meer informatie over NEN 7510?

Hopelijk heeft dit blog kunnen bijdragen aan een beter beeld van het doel en de werking van de Verklaring van Toepasselijkheid binnen de NEN 7510:2017 norm. Mocht je meer willen weten over de VvT of heb je andere vragen over NEN 7510, schroom dan niet om contact met ons op te nemen. Onze adviseurs helpen je graag op weg!

Offerte aanvragen

Profielfoto Tobias op den Brouw
Tobias op den Brouw
Manager Advies

Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.

tobias@certificeringsadvies.nl

Een keertje sparren over NEN 7510?

Wij denken graag met je mee!

  • Uitleg over de norm
  • Antwoord op al je vragen
  • Praktische tips

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields