Logo NEN 7510 certificering

NEN 7510 certificering

Het implementeren van de informatiebeveiligingsnorm NEN 7510 in de zorgsector kan een uitdaging zijn voor uw organisatie. De primaire focus van de organisatie ligt immers vooral op het verlenen van zorg en minder op het voldoen aan normen. Bovendien kan het in kaart brengen van risico’s, middelen en processen complex zijn, omdat de norm op verschillende manieren geïnterpreteerd kan worden. Dit maakt informatiebeveiliging tot een ingewikkeld labyrint, waarbij u bij elke stap verder kunt verdwalen. Gelukkig hebben wij een bewezen succesvolle implementatieaanpak in zes stappen om de NEN 7510-certificering te behalen. Als u wilt voldoen aan de norm, maar nog niet gecertificeerd wilt worden, dan kunt u de zesde stap in deze aanpak overslaan.

Neem vrijblijvend contact op

Wettelijke relevantie NEN 7510

Hieronder een kleine opsomming van de wettelijke relevantie van de NEN 7510 norm

Art. 3 Besluit elektronische gegevensverwerking door Zorgaanbieders: NEN 7510 verplichting voor het ZIS van o.a. alle zorg aanbieders.

Thema 5 Informatiebeveiliging en Continuïteit uit Toetsingskader IGJ: Lid 5.1 eis is een ISMS zoals NEN 7510.

Onderzoeksrapport Haga ziekenhuis 2019: Toetsing maatregelen en Controls aan de NEN 7510 én Besluit elektronische gegevensverwerking voor Zorgaanbieders. Niet voldoen aan NEN7510 heeft geleid tot boete 400K door de AP.

Toetsing Art. 32 Algemene Verordening Gegevensbescherming door AP: NEN 7510, NEN 7512 en NEN 7513 wordt gebruikt als norm.

Elektronische gegevensuitwisseling in de Zorg (maatregel van bestuur op wet Cliëntenrechten bij elektronische verwerking van gegevens): Normering is NEN 7513 vanaf 1-7-2020.

In 6 stappen uw NEN 7510 certificaat behalen

Onze implementatieaanpak voor de NEN 7510 in de zorgsector bestaat uit 6 stappen en is gebaseerd op een integrale benadering van ‘opzet’, ‘bestaan’ en ‘werking’. Hierbij wordt de effectieve werking direct geïntegreerd. Door het inrichten van een Information Security Management System (ISMS) en het uitvoeren van verplichte activiteiten kan uw organisatie aantonen voldoende aandacht te besteden aan informatiebeveiliging. Bovendien wordt deze aanpak ondersteund door een uitgebreide reeks aan standaard content, zoals templates, vragenlijsten, dreigingslijsten, risico-assessments en beleidsdocumenten.

Meer over onze werkwijze

Werkwijze van NEN 7510 certificering in 6 stappen
Binnen 5 minuten gratis weten wat uw risicoprofiel is?

Toegevoegde waarde van NEN 7510 certificering

Waarom NEN 7510 implementeren? Allereerst moet uw organisatie natuurlijk voldoen aan de wet- en regelgeving, waarbij compliance aan de norm een verplichting is. Denk hierbij aan AVG-artikel 32. Maar dat zijn niet de belangrijkste redenen. U wilt immers ook onnodige boetes en reputatieschade voorkomen.

Naast deze argumenten zijn er nog andere belangrijke redenen om te kiezen voor certificering. Zo wordt de volwassenheid van informatiebeveiliging rondom de belangrijkste processen sterk vergroot tijdens het certificeringsproces. Bovendien worden de beveiligingsmaatregelen beter ingericht, waardoor bijvoorbeeld het risico op gijzeling van software sterk verkleind wordt.

Daarnaast is het belangrijk om aan uw partners en cliënten te kunnen aantonen dat informatiebeveiliging en privacy goed belegd zijn binnen uw organisatie. Naast de wettelijke verplichting wordt dit namelijk steeds vaker als randvoorwaarde gesteld door uw klanten en relaties. Hiermee zorgt u voor een betere continuïteit van de bedrijfsvoering.

Kortom, de voordelen van NEN 7510-certificering zijn talrijk en kunnen een positief effect hebben op uw organisatie en haar relaties.

Stel uw vraag vrijblijvend
NEN 7510 certificering implementeren binnen uw organisatie

Wat is NEN 7510?

NEN 7510 is de Nederlandse norm voor een managementsysteem voor informatiebeveiliging (ISMS). Hiermee kunt u aantonen dat u aan alle beveiligingsvereisten voldoet en uw bedrijfsprocessen goed zijn ingericht. Eventueel kunt u dit onderstrepen met een certificering.

De standaard is opgezet conform de High Level Structure (HLS) en heeft een inhoudsopgave vergelijkbaar met andere nieuwe ISO standaarden zoals ISO 9001 en HKZ. Echter, er is een essentieel onderscheid met andere ISO normen, omdat in de Appendix A van de standaard een aantal managementdoelstellingen en beheersmaatregelen worden beschreven die u in de risico-analyse moet opnemen.

NEN 7510 heeft betrekking op alle aspecten van de bedrijfsvoering, zoals een eenduidige beschrijving van bedrijfsmiddelen en applicaties, governance, gegevensclassificatie en risico-analyse. Daarnaast omvat het een lijst van 114 informatiebeveiligingsmaatregelen die genomen moeten worden, afhankelijk van de context en risk appetite van uw organisatie.

Om dit effectief in te richten en goed te kunnen onderhouden, is het belangrijk om verbanden te leggen tussen de context, het informatiebeveiligingsbeleid, de risicoanalyses en de onderwerpen uit de Annex A. Daarbij zijn thema’s zoals security bewustzijn, security incident management, het meten van ISO-beheersprestaties en het inrichten van een jaarlijkse verbetercyclus (PDCA) van groot belang.

Voor wie is de NEN 7510?

NEN 7510 is ontwikkeld voor alle organisaties in de zorgsector die patiënt- en cliëntgegevens verwerken. De norm helpt om informatiebeveiliging op een structurele wijze te borgen vanuit de AVG en andere wetgeving. Dit geldt voor zowel zorgaanbieders als leveranciers, ongeacht hun grootte of soort. Het is dus van belang voor elke organisatie die binnen de zorgsector actief is en persoonsgegevens verwerkt om de NEN 7510 te implementeren en te voldoen aan de gestelde eisen. Zo kan de veiligheid van de patiënt- en cliëntgegevens gewaarborgd worden en kunnen organisaties voorkomen dat zij in overtreding zijn van wet- en regelgeving.

De voordelen van NEN 7510 certificering

De voordelen van het implementeren van de NEN 7510 norm voor informatiebeveiliging in de zorgsector zijn onder andere:

  1. Risico’s worden inzichtelijk: Door het implementeren van NEN 7510 worden de risico’s die de organisatie loopt in kaart gebracht. Dit biedt inzicht en maakt het mogelijk om gerichte maatregelen te nemen om deze risico’s te beheersen.
  2. Betere beveiliging van patiëntgegevens: De norm richt zich specifiek op de bescherming van privacygevoelige informatie, waardoor de beveiliging van patiëntgegevens wordt verbeterd.
  3. Voldoen aan wet- en regelgeving: NEN 7510 is in lijn met de Algemene Verordening Gegevensbescherming (AVG) en de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Door te voldoen aan deze norm wordt ook voldaan aan de wettelijke eisen.
  4. Toenemend vertrouwen van patiënten: Het voldoen aan de norm kan het vertrouwen van patiënten in de zorgorganisatie vergroten. Het geeft aan dat er aandacht is voor de bescherming van privacygevoelige informatie en dat er zorgvuldig met patiëntgegevens wordt omgegaan.
  5. Efficiëntere bedrijfsvoering: Door het implementeren van NEN 7510 worden processen en procedures gestandaardiseerd en geoptimaliseerd. Dit kan leiden tot een efficiëntere bedrijfsvoering en kostenbesparingen.

Wat is een ISMS?

ISMS staat voor information security management system en wordt bijvoorbeeld gebruikt als methodologie voor de ISO 27001 en in dit geval de NEN 7510.

Een ISMS is de manier waarop je de informatiebeveiliging kunt inrichten en besturen. Dat kan op basis van eigen organisatie specifieke kenmerken en doelen. Er zijn een aantal ISMS activiteiten die verplicht zijn. Denk daarbij aan bijvoorbeeld een verklaring van toepasselijkheid, het uitvoeren van een jaarlijkse interne audit of het uitvoeren van risico analyses. Belangrijk is verder de aantoonbaarheid (bewijs aanleveren) van alle onderdelen van het ISMS tijdens een audit. Het ISMS is dus feitelijk een manier van werken die aantoonbaar te maken is.

Het ISMS gaat uit van de PDCA cyclus, wat betekent dat je constant moet blijven verbeteren. Deze verbeteringen dienen ook aantoonbaar vastgelegd te zijn.

Het is belangrijk dat het ISMS geïntegreerd is met de procedures, de algehele managementstructuur van de organisatie en dat bij het ontwerpen van processen, informatiesystemen en beheersmaatregelen rekening wordt gehouden met informatiebeveiliging.
Het doel van het ISMS is om continu te beoordelen of beveiligingsmaatregelen passend en effectief zijn en of deze moeten worden aangepast vanwege veranderende omstandigheden of nieuwe wet- en regelgeving.

Isatis Cyber Security biedt praktische richtlijnen voor overheidsinstanties en samenwerkingsverbanden om aan geldende regelgeving te voldoen.

Waar moet een bedrijf aan voldoen voor NEN 7510 certificering?

Om u een beeld te geven hebben we een aantal vragen met toelichting inzake NEN 7510 certificering op een rijtje gezet:

  • Tot in hoeverre heeft u de context van de organisatie bepaald? Hierbij moet rekening worden gehouden met de eisen en verwachtingen van interne en externe stakeholders, regelgeving, ontwikkelingen van buitenaf en concrete kwesties die intern een rol spelen in de organisatie.
  • Wat is het toepassingsgebied van het ISMS? Dit moet duidelijk zijn vastgesteld.
  • In welke mate is de directie betrokken bij het informatiebeveiligingsbeleid? Om te voldoen aan NEN 7510 moeten duidelijke regels, rollen en verantwoordelijkheden zijn opgesteld, en middelen beschikbaar zijn gesteld.
  • Zijn de risico’s en kansen voor uw organisatie vastgesteld door middel van een risico analyse? Hiervoor is het verplicht procedures vast te leggen zodat de risico analyse in de toekomst gerepliceerd kan worden en dus gelijkwaardige uitkomsten opleveren.
  • Alle vastgestelde beheersdoelen dienen te worden beoordeeld op relevantie, toepasselijk te worden verklaard en indien vereist schriftelijk vastgelegd en te worden geïmplementeerd.
  • Worden er interne audits uitgevoerd? Volgens de NEN 7510 moeten onderstaande zaken periodiek worden gemeten en gemonitord:
    • Informatiebeveiligingsdoelen
    • Incidenten
    • Gegevensbeveiligingsprocessen
  • Vinden er evaluaties plaats over de effectiviteit van de genomen maatregelen m.b.t. gegevensbeveiliging? Denk hierbij aan een periodieke directiebeoordeling.
  • De organisatie dient aantoonbaar te leren van fouten, klachten en afwijkingen. Tevens moet de organisatie corrigerende maatregelen treffen om hiermee om te gaan.

De complete eisen vindt u terug in de officiële NEN 7510 norm.

Hier onder een aantal opdrachtgevers van Isatis Cyber Security:

Heeft u een vraag of wilt u aanvullende informatie over uw proces tot volledige NEN 7510 certificering?

Neem contact op via het onderstaande formulier en we komen er binnen 24 uur op terug