Pragmatische invoering nieuwe NEN7510:2017 nu ook voor kleinere zorginstellingen

Gelukkig ligt dat tijdvak nu achter ons. De nieuwe NEN 7510:2017 is risk-based geworden (zie ‘Hoe zorgen we voor een managementsysteem dat passend is voor onze organisatie’) en de maatregelen in deel 2 zijn nu optioneel. Je maakt een keuze welke maatregelen bijdragen aan de vermindering van de risico’s op basis van een risicobeoordeling. Die maatregelen implementeer je. Kortom, je volgt de werkwijze zoals die bij ISO 27001 al sedert 2013 gebruikelijk is. Destijds kwam certificering hierdoor ook binnen handbereik van kleinere organisaties en nu is dit ook een serieuze optie voor kleinere zorginstellingen.

Het implementatieschema voor de NEN 7510

Het implementatieschema voor de NEN 7510 komt nu overeen met het schema voor ISO 27001 zoals dit is beschreven in ‘Architectuur en aanpak ISO 27001’.

Je begint met de context van de organisatie. Doorgaans is deze voor zorginstellingen complexer dan voor andere organisaties, die veelal onderdeel zijn van een lineaire keten met allemaal klant-leverancier relaties. In de zorg zien we vaak netwerken waarbij, vooral als het gaat over informatie, ketenpartners vaak zowel klant als leverancier zijn. Deze ketenpartners zijn wel van groot belang voor informatiebeveiliging, maar meestal hebben zorginstellingen hun netwerk al netjes in kaart gebracht.
Vervolgens kijk je naar de risico’s. Net als de meeste andere organisaties hebben zorgverleners er maar twee:

• Er gaat meer geld uit dan er binnenkomt.
• Stakeholders zijn ontevreden.

Belangrijk is dat je de risico’s steeds vanuit dit perspectief blijft bekijken. De meeste stakeholders vinden kwaliteit van de zorg, leverbetrouwbaarheid en werken binnen budget belangrijker dan informatiebeveiliging. Dus als het gaat om individuele patiënten/cliënten of om kleine groepen, dan prevaleren deze risico’s. Pas als het gaat om grotere bestanden met persoonsgegevens, valt het niet uit te leggen, als deze niet goed beveiligd zijn. De meeste zorginstellingen echter werken met applicaties die door de leverancier tevens worden gehost. Het probleem van de beveiliging wordt dan doorgaans opgelost door de leverancier. De VECOZO voorwaarden zijn hierop ook gebaseerd.
Wanneer je vervolgens de scope zo kiest, dat je hierin alleen de gegevens van patiënten/cliënten of van ketenpartners opneemt en geen interne gegevens, voorkom je, dat je ook je hele interne automatisering moet meenemen voor de NEN 7510. Heel veel maatregelen voor de NEN 7510 zijn dan ineens onbelangrijk geworden. Dat betekent niet, dat je niet doet aan de beveiliging van interne data. Maar het is moeilijk aan te tonen, dat deze beveiliging waterdicht is. Daarom houd je dit liever buiten de scoop van de NEN 7510. Het gaat er immers uiteindelijk om, dat je voor je ketenpartners een betrouwbare partner bent, die voorkomt dat de data van deze partners op straat komen te liggen.
Ook de maatregelen uit deel 2 van de NEN 7510 zijn vrijwel gelijk aan de maatregelen uit bijlage A van de ISO 27001. Alleen worden hiervoor vaak nadere omschrijvingen gegeven. Maar die zijn meestal zo vanzelfsprekend dat je, ook als  deze toevoegingen niet zouden worden vermeld, je de maatregelen natuurlijk ook neemt. Samen met de keuzes die je hebt gemaakt zoals besproken in het vorige hoofdstuk, zul je zien, dat je huidige situatie meestal dekkend is voor de NEN 7510. Natuurlijk houd je een aantal verbeterpunten over. Deze leg je vast in het verbeterplan.

Het grote voordeel voor kleinere zorginstellingen

Kleinere zorginstellingen hebben vaak al een werkend managementsysteem. En dat is een groot voordeel. Bij grotere zorginstellingen is de afstand tussen de directie en de operationele zorg veel groter, zodat het, om dit gat te overbruggen, nodig is een formeel ISMS te implementeren met vooral veel vastleggingen en formele beoordelingen. En hier geldt dan dat de zwakste schakel bepalend is voor de beheersing van de beveiligingsrisico’s. Kleinere zorginstellingen kennen die afstand niet. De directie weet daar wat er op de vloer speelt en is altijd direct betrokken in geval van veranderingen en incidenten. De directie heeft geen tussenschakels nodig om te weten wat er op de vloer speelt en beoordeelt de risico’s van dag tot dag. Hiermee zijn veel procedures overbodig en wordt ook een papierwinkel voorkomen. Het enige wat nodig is om deze van-dag-tot-dag-risicobeheersing aan te tonen is een procedure voor incidentafhandeling en een wijzigingsprocedure. Meestal bestaan deze al, maar is de uitvoering te ingewikkeld gemaakt, waardoor de naleving onvoldoende is. Met een vereenvoudiging van de bestaande procedures is dit probleem vaak te verhelpen.
De interne audit wordt hiermee ook een stuk simpeler. De directie is niet meer afhankelijk van de informatie uit de interne audit. Zij verzamelt immers zelf dagelijks die informatie al. Eén interne audit per jaar is dan voldoende en deze is er vooral op gericht vast te stellen of de van-dag-tot-dag-risicobeheersing inderdaad werkt en er voldoende lering wordt getrokken uit fouten.
Ook hebben kleinere zorginstellingen meestal veel meer ICT-diensten uitbesteed, zodat ze de operationele verantwoordelijkheid neer kunnen leggen bij de leveranciers en zich zelf kunnen beperken tot een goede contractuele vastlegging en toezicht op de naleving hiervan.

De Kader aanpak voor de NEN 7510

Eigenlijk is al meer dan een jaar duidelijk, welke kant het op zou gaan met de NEN 7510:2017. Kader heeft deze risk-based aanpak dan ook al in 2017 toegepast bij zijn zorgklanten. Uiteraard zijn ook de sjablonen van Kader hierop aangepast, zodat Kader de dienst ‘Binnen drie maanden een ISO 27001 certificaat halen’ ook in de zorg kan aanbieden, maar dan uiteraard voor de NEN 7510. Intussen zijn zelfs de eerste klanten al voor de NEN 7510:2017 gecertificeerd. Tevens wordt hiermee ook voor een heel groot deel voldaan aan de AVG, die in 2018 van kracht wordt.
Ook is het mogelijk de ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’ van Kader te volgen. Hierin wordt ook geleerd hoe je de nieuwe NEN 7510 in de praktijk van kleinere zorginstellingen kunt toepassen. Ook tijdens de cursus krijg je de beschikking over de sjablonen en voorbeelddocumenten die Kader zelf voor genoemde dienst gebruikt en deze leer je toepassen, zodat je er vervolgens zelf mee aan de slag kunt.