Information Security
NEN 7510 checklist
NEN 7510 (ook wel ISO 7510) is de norm die speciaal is opgesteld voor dataveiligheid in de zorgsector. Vanwege de kwetsbare doelgroep is dataveiligheid hier van groot belang. NEN 7510 certificering toont aan dat de zorgorganisatie op een vertrouwelijke zorgvuldige en adequate manier met medische gegevens om kan gaan. NEN 7510 is vergelijkbaar met de internationale norm voor informatiebeveiliging ISO 27001, maar aangepast aan de zorg. Om te voldoen aan de norm NEN 7510, is een checklist NEN 7510 gemaakt. Als de organisatie al deze fases doorloopt dan voldoet zij aan de norm NEN 7510.
Checklist NEN 7510
Om aan de norm NEN 7510 te voldoen, dient de organisatie de volgende stappen van de checklist NEN 7510 te doorlopen:
- De norm doorgronden
De eerste stap van de checklist NEN 7510 is een beeld krijgen bij de eisen die de norm stelt aan de organisatie. De NEN 7510 norm bestaat uit twee delen; de NEN 7510-1 en de NEN 7510-2. Deel 1 bevat alles dat gaat over het managementsysteem en deel 2 bevat de beheersmaatregelen die de organisatie kan nemen om de risico’s te beperken en aan de eisen van de norm te voldoen.
- Risico’s beoordelen
De volgende stap in het opzetten van het managementsysteem is het identificeren van risico’s (risk assessment). Allereerst moet een methode vastgesteld worden om risico’s op basis van criteria te kunnen beoordelen. Aan de hand van deze methode analyseert de organisatie welke potentiële dreigingen en risico’s er zijn én hoe groot de kans is dat deze risico’s zich voordoen. Dit is belangrijk stap om een realistisch beeld te krijgen van de omgeving van de organisatie, zodat uiteindelijk ook de juiste beheersmaatregelen toegepast worden.
- Risico’s behandelen
Nu bekend is welke risico’s er zijn voor de organisatie, is het noodzakelijk om de risico’s aan te pakken. Dit wordt het risk treatment plan genoemd. In dit plan wordt per risico gedocumenteerd hoe ‘zwaar’ het risico weegt en welke passende maatregel ervoor kan zorgen dat dit risico beperkt wordt. De maatregelen zijn in deze fase vooral preventief en zijn bedoeld om risico’s in de toekomst te voorkomen.
- Statement of applicability opstellen
In het statement of applicability (SoA) wordt bepaald welke onderdelen uit bijlage A uit de NEN 7510 norm, op de organisatie van toepassing zijn. Deze onderdelen worden beargumenteerd en vastgelegd in dit document. Het statement of applicability helpt de organisatie en de auditor de diepte en breedte van het managementsysteem voor informatiebeveiliging in te schatten.
Voordat de SoA wordt geschreven, is het noodzakelijk eerst de voorgaande stappen van de checklist NEN 7510 uit te voeren. De invulling van dit document is namelijk sterk afhankelijk van de aard van de organisatie en de risicogevoelige situaties waarmee zij te maken heeft. Al deze zaken omtrent risico’s moeten terugkomen in dit statement of applicability.
- Het totaalplaatje maken
In deze stap wordt alles samengebracht en de balans opgemaakt. Welke bevindingen zijn er gedaan na het uitvoeren van de risicoanalyse, risicobeoordeling en het risk treatment plan? En wat is er vastgelegd in het statement of applicability?
Het doel van deze fase is om nog eens kritisch terug te blikken en te kijken of daadwerkelijk álle informatiebeveiligingsrisico’s rondom de zorgorganisatie- en omgeving in kaart zijn gebracht en beheerst worden.
Daarnaast moet in deze stap ook bepaald worden wat de organisatie doet als de risicobeperkende maatregelen niet het gewenste effect hebben. Met het personeel kan bijvoorbeeld geoefend worden in risico-situaties en hoe zij reageren en of zij de regels ook echt opvolgen. In een noodsituatie kan er immers anders gereageerd worden dan vooraf bedacht.
- Een beleid opstellen
Als er een duidelijk beeld is hoe de informatiebeveiliging binnen de organisatie geregeld wordt en waar de aandachtspunten liggen, dan is het tijd voor het opstellen van een informatiebeveiligingsbeleid. In dit beleid staat de context van de organisatie, de belanghebbenden, de doelstellingen, en de rollen en verantwoordelijkheden.
Het doel van een informatiebeveiligingsbeleid is dat het richting en ondersteuning biedt voor de informatiebeveiliging binnen de organisatie (die daarnaast overeenkomt met de eisen en relevante wetten en voorschriften uit de norm).
Belangrijk is dat de directie het document dient goed te keuren, te publiceren en delen met alle relevante partijen.
Nadat alle stappen uit de checklist NEN 7510 zijn doorlopen en de organisatie voldoet aan de NEN 7510 norm, dan kan de organisatie naar NEN 7510 certificering worden begeleid.