Wat betekent de nieuwe versie van ISO 27001 voor NEN 7510?

NEN 7510 is: dé norm voor informatiebeveiliging in de zorg. Na de publicatie in 2004 zijn er zowel in 2011 als in 2017 revisies geweest. Momenteel wordt gewerkt met de versie uit 2017. De NEN 7510 norm is gebaseerd op drie andere normen voor informatiebeveiliging: ISO 27001, ISO 27002 en ISO 27799. Aangezien van de ISO 27001 en ISO 27002 in 2022 nieuwe versies zijn gepubliceerd, doet zich automatisch de vraag voor wat dit betekent voor NEN 7510.  In dit artikel vertellen we je er alles over (voor zover nu bekend)!

Het oorspronkelijke doel van de NEN 7510 norm was:

Veel mensen denken vaak dat een informatiebeveiligingsnorm, in dit geval NEN 7510, volledig gericht is op IT aspecten. Het tegendeel is echter waar. Informatiebeveiligingsnormen bevatten zeker (veel) IT technische elementen, maar zijn daarnaast vooral ook gericht op risicomanagement, beleid, organisatie, personele en fysieke aspecten en techniek. De reden om voor de zorgsector een specifieke branchegerichte ‘vertaling’ te maken in de vorm van NEN 7510, is dat de zorgsector te maken heeft met bijzondere risico’s en medische informatie (bijzondere persoonsgegevens volgens de AVG).

Ondanks de directe verwantschap aan de ISO 27001/27002, betekent de publicatie van de nieuwe 2022 versie van deze ISO-normen niet dat de NEN 7510 ook per direct wijzigt. Daar zitten nog stappen tussen. De komende maanden gaat de NEN aan de slag met de herziening van de NEN 7510 norm. Input daarvoor vormt naast de eerdergenoemde ISO-normen ook de gedragslijn toegangsbeveiliging digitale patiëntendossiers (NFU/NVZ). Dit is een onderlinge afspraak die tussen ziekenhuizen gemaakt is en dus ook essentieel is voor de herziening van NEN 7510. Tot slot wordt uiteraard ook de input vanuit betrokkenen en lessen uit de praktijk meegenomen. Iedere belanghebbende partij (denk bijvoorbeeld aan zorginstellingen, ICT-leveranciers, zorgverzekeraars of adviesbureaus) mag deelnemen aan het herzieningstraject vanuit de NEN.

Buiten de internationale herzieningen zijn er nationale ontwikkelingen die van invloed zijn op de herziening van NEN 7510:

Naast de herziening van de NEN 7510 norm is er ook aandacht voor de ontwikkeling van implementatiepools om zorgaanbieders te helpen.

Veel ISO-normen hebben een ‘vrijwillig’ karakter en zijn niet verplicht. Toch zijn er wel een aantal normen die wel worden verplicht vanuit wet- en regelgeving. Zo is het bijvoorbeeld wettelijk verplicht dat elektrische laagspanningsinstallaties voldoen aan de opleveringsinspectie van NEN 1010. Dit geldt (deels) ook voor de NEN 7510 norm:

Buiten bovenstaande specifieke wetten zijn er nog meer (indirecte) relaties tussen NEN 7510 en de Nederlandse wet- en regelgeving. Denk bijvoorbeeld aan het verplicht moeten voldoen aan de AVG-wet (veilig omgaan met persoonsgegevens). Aangezien de NEN 7510 norm betrekking heeft op beveiliging van persoonlijke gezondheidsgegevens, kom je automatisch ook bij de AVG uit. Aan die wet kun je voldoen door met persoonsgegevens om te gaan volgens de NEN 7510 norm.

Met een NEN 7510 toon je aan belanghebbende partijen aan dat je zorgvuldig en vertrouwelijk omgaat met gegevens en de juiste beheersmaatregelen treft. Wil je aan de slag met het behalen van NEN 7510? Neem dan gerust contact met ons op. Onze adviseurs helpen je graag!

Transcriptie video: Wat verandert er met de ISO 27001 update?

Wat verandert er aan ISO 27001? Even wat context. ISO 27001 is een norm voor een managementsysteem voor informatiebeveiliging. Die norm die wordt uitgegeven door, in Nederland, de NEN. En die verandert periodiek. Dus we hebben het nu over een normtekst die in 2022 is geactualiseerd. Die norm is geactualiseerd voor zowel ISO 27001 (het management stuk van de norm) als ISO 27002. Het stuk waarin een aantal best practices (dus goede beheersmaatregelen) zowel organisatorisch als technisch bijvoorbeeld worden geactualiseerd. Die tekst is veranderd in 2022. Dat betekent dat organisaties die een werkend managementsysteem hebben voor informatiebeveiliging een nieuwe lat hebben om dat systeem tegen af te meten. Dat betekent dat in de komende periode van drie jaar jouw managementsysteem in transitie zal moeten gaan. Als je dat nog niet hebt, kun je gewoon beginnen aan een managementsysteem voor ISO 27001 alsof je elk willekeurig moment zou beginnen. Moet je een transitie doen, dan is het goed om te weten dat het management-denken fundamenteel niet aangepast is. Als je enigszins ingevoerd bent in die ISO 27001 norm zou ik je bij wijze van spreken in een half uurtje op detail wijze de ISO 27001 wijzigingen kunnen laten zien waarbij de grootste wijziging dan misschien wel is dat je iets beter over je inkomen moet nadenken. Met betrekking tot 27002: daar zitten nu 93 beheersmaatregelen in terwijl dit er vroeger 114 waren. Zijn die echt nieuw? Nee. Er zijn er misschien een paar waarvan je kan zeggen dat ze nieuw zijn. Het is goed om eens een keer via een risicoanalyse na te denken over wat dat precies voor je betekent. Maar in feite is misschien wel de grootste impact dat je even bekijkt in hoeverre jouw managementsysteem echt geënt is op 114 best practices (de oude werkwijze van de norm). Want dan heb je waarschijnlijk een harde koppeling naar de normtekst die immers moet gaan vervallen want er is een nieuwe norm. Daar kan ik je ook meer over vertellen, maar dat duurt wat langer want er zitten meer details aan vast. Dat doen we niet in deze video. In ieder geval: de transitie is goed te doen. Zeker voor iemand die ingevoerd is in het ISO-denken. Ik wens je sowieso succes daarbij!