ISO 27001 en NEN 7510 zijn beide normen op het gebied van informatiebeveiliging.
ISO 27001 is de internationale standaard voor informatiebeveiliging. In deze norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten. Het biedt een raamwerk voor het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in je organisatie. Met het bijbehorende certificaat toon je aan dat je informatiebeveiliging op orde is.
NEN 7510 is een Nederlandse ‘specificatie’ van de ISO 27001 voor de zorgsector. De gezondheidszorg heeft te maken met vertrouwelijke patiëntgegevens. Informatiebeveiliging is daarom essentieel. Met NEN 7510 maak je aantoonbaar dat je hier goed mee omgaat. 33 van de 114 standaard beheersmaatregelen van ISO 27001 zijn bij NEN 7510 uitgebreid met een specifieke ‘vertaling’ naar de zorg. Verder kent deze norm nog eens drie extra maatregelen specifiek voor de zorg.
Wanneer kies je voor welke norm?
Het belangrijkste criterium bij de keuze is het soort informatie. Gaat het om persoonlijke gezondheidsinformatie of niet? Wanneer het niet draait om het beveiligen van persoonlijke gezondheidsinformatie, dan is NEN 7510 niet toepasbaar. Vanzelfsprekend kom je dan uit bij ISO 27001.
In sommige gevallen is het zelfs interessant om te kiezen voor beide certificaten. Dat heeft te maken met de scope van de certificering. NEN 7510 is een norm die opgeld doet in Nederland. Wanneer je dan bijvoorbeeld te maken hebt met internationale belanghebbenden met betrekking tot de informatie waar je certificering op van toepassing is, loont het om tevens te certificeren voor ISO 27001.
Naast ISO 27001 en NEN 7510 zijn er meer normen op de markt op het gebied van informatiebeveiliging. Denk aan ISAE 3402 (type I of II) die betrekking heeft op het afdekken van financiële risico’s gerelateerd aan informatiebeveiliging bij uitbestede processen. In opkomst is ISO 27701 die zich specifiek richt op privacy/AVG.
Voor wie is NEN 7510 nuttig?
In de eerste plaats is NEN 7510 van toepassing op zorginstellingen. Aan zorginstellingen is immers de (wettelijke) eis opgelegd om de persoonlijke gezondheidsinformatie die in het zorgverleningsproces omgaat aantoonbaar goed te beveiligen. In veel gevallen ‘vertalen’ zorginstellingen de informatiebeveiligingseisen direct door naar hun it-leveranciers, die als gevolg van uitbestede processen ook toegang hebben tot persoonlijke gezondheidsinformatie. NEN 7510 wordt daarmee dus niet enkel relevant voor zorg verlenende organisaties, maar ook voor:
- Leveranciers van (cloud) zorgapplicaties;
- Voor tussenpartijen voor zorgadministratie en -declaratie;
- Voor andere verwerkers van persoonlijke gezondheidsinformatie.
Let op, niet elke it-leverancier hoeft (en kan) gehoor geven aan een NEN 7510-eis van een klant. Soms is ISO 27001 genoeg.
Een voorbeeld van een geslaagde 27001- en 7510-certificering? Een klein it-bedrijf dat hardware, software, voip en clouddiensten levert aan een brede groep klanten, waaronder tandartsen, huisartsen en apotheken. Die klanten hebben NEN 7510-plicht, maar weinig it- en normkennis. Dus ondersteunt het it-bedrijf ze met hosting (daarmee formeel Verwerker onder de AVG), maar ook met remote support door beeld-overname. Het kan dus voorkomen (ondanks de maatregelen) dat een helpdesk-medewerker opeens geconfronteerd wordt met een medisch dossier bij remote support, omdat de arts vergat dat dossier te sluiten. Door de maatregelen van deze it-leverancier, die in principe niets met persoonlijke gezondheidsinformatie wil doen, kan de klant toch aan een aantal van z’n verplichtingen voldoen.
Certificeren loont
Voor organisaties zelf, alsmede voor hun klanten, is het van cruciaal belang dat informatie op het juiste moment en op de juiste plek beschikbaar is, dat die informatie correct is en dat die informatie enkel toegankelijk is voor de personen voor wie die bestemd is. Wil je dit als organisatie goed inregelen? Denk dan eens aan een ISO 27001- of NEN 7510-certificering. Zo toon je aan dat je de risico’s goed in kaart hebt gebracht, dat je passende beheersmaatregelen hebt getroffen en dat er een proces van continue verbetering in gang is gezet.