Revisie ISO 27001 met de upgrade service
Bent u er klaar voor? Nieuws

NEN 7510 niet voor elke organisatie

NEN7510 is een norm voor informatiebeveiliging in de Zorg. Behoor je als organisatie niet tot de hieronder aangegeven doelgroep, dan is het ook vaak niet mogelijk om je managementsysteem tegen deze norm te laten certificeren.

De norm
NEN7510, of preciezer NEN 7510-1:2017 en NEN 7510-2:2017 is een norm gebaseerd op de Code voor Informatiebeveiliging. Het is de norm m.b.t. informatiebeveiliging voor de zorg en afgeleid van de norm ISO27001:2017. Inhoudelijk zijn er bij enkele maatregelen (controls) verschillen, dan wel aanvullingen. De norm NEN7510 kent dus 2 delen. Het 1e deel gaat over de PDCA (Plan-Do-Check-Act) cyclus (vergelijkbaar met ISO 27001:2013, hoofdstukken 4 - 10) en het 2e deel gaat over de beheersmaatregelen, controls (vergelijkbaar met ISO 27001:2013, Annex A)

Om tijdens de fase 1 - audit van een certificerende instantie als
BSI, DEKRA, DNVGL of TüV niet meteen tegen een tekortkoming aan te lopen, is het wijs vooraf te weten welke documentatie nodig is. En wat de verschillen zijn met de ISO27001, de internationale norm voor informatiebeveiliging. Met onderstaande tabel is een overzicht van de verschillen en uitbreidingen gegeven. Praktisch om door te nemen, zeker als de organisatie een ISMS - Information Security Management System heeft gebaseerd op de ISO 27001. Beschouw het simpelweg als een checklist.

NEN 7510:2017, voor welke organisatie specifiek

De norm NEN7510 is, zoals gezegd, bestemd voor de zorg. Dit zijn zorgorganisaties, maar ook organisaties die persoonlijke gezondheidsinformatie verwerken. Of zoals het in de norm letterlijk staat:

De doelgroep van NEN 7510-1 en NEN 7510-2 bestaat uit:
- zorginstellingen
- andere beheerders van persoonlijke gezondheidsinformatie

Tot de laatste groep behoren leveranciers die applicaties met persoonlijke gezondsheidsinformatie hosten, software leveranciers van PGO's - Persoonlijke GezondheidsOmgevingen, ISP - Internet Service Providers met een relatie tot zorgapplicaties etc. 

 

NEN 7510, voorbeelden - vragen

Een voorbeeld van een ISMS - Information Security Management System genoemd of wel managementsysteem voor informatiebeveiliging is hier te vinden: demo ISMS NEN 7510. Voor inhoudelijke vragen raadplegen wij onze collega's van meta-audit.nl of vraag ze het zelf.

 

NEN 7510 in een ISMS - Information Security Management System

We hebben een simpele oplossing om een ISMS op te zetten en -niet onbelangrijk- te onderhouden. Voor alle documenten en risico's. Zet in 60 seconden onze cloudoplossing Proware op proef klaar, een simpele en innovatieve software tool voor het managementsysteem. Nog meer? Het duurt iets langer ... maar dan hebben we ook een eigen en geschikt voorbeeld, conform NEN7510:2017 natuurlijk. 

Eerst zien, bekijk dan onze video en demo’s op de productpagina.

 

NEN 7510, de verschillen met ISO 27001 

Hieronder staat een overzicht (checklist) van de verschillen, aandachtspunten dan wel uitbreidingen NEN7510:2017 deel II versus ISO27001:2013

  NEN 7510:2017 deel II
Gedocumenteerde informatie
 
Onderdeel
 
- Organisaties moeten beschikken over een schriftelijk informatiebeveiligingsbeleid dat door het management wordt goedgekeurd, wordt gepubliceerd en vervolgens wordt gecommuniceerd aan alle werknemers en relevante externe partijen. II - 5.1.1
- Het informatiebeveiligingsbeleid moet aan voortdurende, gefaseerde beoordelingen worden onderworpen zodat het volledige beleid ten minste eenmaal per jaar wordt beoordeeld. Het beleid moet worden beoordeeld als er zich een ernstig beveiligingsincident heeft voorgedaan.  II - 5.1.2
- Organisaties moeten:
a) duidelijk verantwoordelijkheden op het gebied van informatiebeveiliging definiëren en toewijzen;
b) over een informatiebeveiligingsmanagementforum (IBMF) beschikken om te garanderen dat ...
II - 6.1.1

- Organisaties moeten, indien dit haalbaar is, plichten en verantwoordelijkheidsgebieden scheiden om de kansen te verkleinen van onbevoegde wijziging of misbruik van persoonlijke gezondheidsinformatie.

II - 6.1.2
- Bij het management van projecten moet de patiëntveiligheid als projectrisico in aanmerking worden genomen voor elk project dat gepaard gaat met het verwerken van persoonlijke gezondheidsinformatie.  II - 6.1.5
- Organisaties moeten minimaal de identiteit, het huidige adres en de vorige werkkring van personeel en contractanten en vrijwilligers op het moment van de sollicitatie verifiëren. II - 7.1.1
- Alle organisaties waarvan personeelsleden betrokken zijn bij het verwerken van persoonlijke gezondheidsinformatie, moeten die betrokkenheid in relevante functieomschrijvingen vastleggen.  II - 7.1.2
- Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten garanderen dat onderwijs en training over informatiebeveiliging worden gegeven bij de introductie van nieuwe medewerkers en dat er regelmatig updates van II - 7.2.2
- Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten:
a) verantwoording afleggen over informatiebedrijfsmiddelen (d.w.z. een inventaris bijhouden van dergelijke bedrijfsmiddelen);
b) een eigenaar hebben aangewezen voor deze informatiebedrijfsmiddelen (zie 8.1.2);
c) regels hebben voor
II - 8.1.1
- Alle werknemers en contractanten moeten, na beëindiging van hun dienstverband, alle persoonlijke gezondheidsinformatie in niet‐elektronische vorm die zij in hun bezit hebben, teruggeven en erop toezien dat II - 8.1.4
- Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten dergelijke gegevens op uniforme wijze als vertrouwelijk classificeren. II - 8.2.1
- Alle gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, moeten de gebruikers wijzen op de vertrouwelijkheid van persoonlijke gezondheidsinformatie die toegankelijk is vanaf het systeem (bijv. bij het opstarten of inloggen), en moeten papieren output als vertrouwelijk labelen als die II - 8.2.2
- Media die persoonlijke gezondheidsinformatie bevatten, moeten fysiek worden beschermd of de gegevens ervan moeten versleuteld worden. De status en locatie van media die niet‐versleutelde persoonlijke gezondheidsinformatie bevatten, moeten gemonitord worden. II - 8.3.1
- Alle persoonlijke gezondheidsinformatie moet veilig worden gewist of anders moeten de media worden vernietigd als ze niet meer gebruikt hoeven te worden. II - 8.3.2
- Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten de toegang tot dergelijke informatie controleren. In het algemeen moeten de gebruikers van gezondheidsinformatiesystemen hun toegang tot persoonlijke gezondheidsinformatie beperken tot situaties:
a) waarin er een zorgrelatie bestaat tussen de gebruiker en de persoon waarop de gegevens betrekking hebben (de cliënt tot wiens persoonlijke gezondheidsinformatie er toegang wordt gemaakt);
b) waarin de gebruiker een activiteit uitvoert namens de persoon waarop de gegevens betrekking hebben;
c) waarin er specifieke gegevens nodig zijn om
II - 9.1.1
- De toegang tot gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, moet onderhevig zijn aan II - 9.2.1
- Alle organisaties die persoonlijke gezondheidsinformatie verwerken, moeten voor elke  II - 9.2.6
- Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, moeten de identiteit van gebruikers vaststellen en dit moet worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden.
De toegang tot
II - 9.4.1
- Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten gebruikmaken van beveiligde zones om gebieden te beschermen die informatieverwerkingsfaciliteiten bevatten die dergelijke gezondheidstoepassingen ondersteunen.
Deze beveiligde gebieden moeten worden beschermd door 
II - 11.1.1
- Organisaties die uitrusting, gegevens of software voor het ondersteunen van een zorgtoepassing met persoonlijke gezondheidsinformatie leveren of gebruiken, mogen niet toestaan dat die uitrusting, gegevens of software van de locatie wordt of worden verwijderd of  II - 11.2.5
- Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten garanderen dat het eventuele gebruik buiten hun gebouw van medische apparaten die worden gebruikt om gegevens te registreren of te rapporteren, geautoriseerd is. Dit moet apparatuur omvatten die II - 11.2.6
- Organisaties die gezondheidsinformatie verwerken, moeten alle media met toepassingssoftware voor gezondheidsinformatie of persoonlijke gezondheidsinformatie erop veilig wissen of vernietigen als ze niet meer gebruikt hoeven te worden. II - 11.2.7
- Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten de veranderingen aan informatieverwerkingsfaciliteiten en systemen die persoonlijke gezondheidsinformatie verwerken, door middel van een formeel en gestructureerd wijzigingsbeheersproces beheersen om de gepaste beheersing van hosttoepassingen en -systemen en de continuïteit van de cliëntenzorg te garanderen. II - 12.1.2
- Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten ontwikkel- en testomgevingen voor gezondheidsinformatiesystemen die dergelijke informatie verwerken (fysiek of virtueel), scheiden van operationele omgevingen waar die gezondheids­informatiesystemen gehost worden. Er moeten regels voor het migreren van software van de ontwikkel- naar een operationele status worden gedefinieerd en gedocumenteerd door de organisatie die de betreffende toepassing(en) host. II - 12.1.4

 

Zie voor een volledige lijst onze demo ISMS NEN 7510 Inhoudsopgave, Overig

 

 

 

Gratis Live
QuickScan
Share |
false