Information Security

NEN 7510 versus ISO 27001 

NEN 7510 ISO 27001 hebben veel raakvlakken, maar het zijn wel degelijk verschillende normen die voor verschillende doeleinden worden ingezet. ISO 27001 is de internationale, wereldwijde, erkende norm op het gebied van informatiebeveiliging. De NEN 7510 is de nationale norm (dus Nederlandse) voor informatiebeveiliging, specifiek toegespitst op organisaties die te maken hebben met persoonlijke gezondheidsinformatie, zoals zorginstellingen en hun dienstverleners. 

Informatiebeveiliging is steeds belangrijker geworden voor organisaties door de steeds verder toenemende digitalisering. De klant moet ervan uit kunnen gaan dat er veilig met zijn gegevens om wordt gegaan, maar ook de organisatie zelf wil voorkomen dat hij risico loopt. Hierdoor stijgt de vraag naar certificeringen op het gebied van informatiebeveiliging. NEN 7510 ISO 27001 zijn de belangrijkste normen op het gebied van informatiebeveiliging. Deze normen vereisen dat het bedrijf een informatiebeveiligingsmanagementsysteem (ISMS) opzet, deze moet ervoor zorgen dat processen rondom informatiebeveiliging gecontroleerd verlopen. 

ISO 27001 certificering is geschikt voor alle organisaties die informatiebeveiliging structureel willen waarborgen, denk hierbij aan ICT-bedrijven, zoals: datacenters, systeembeheerders, softwareleveranciers en datamarketingbureaus. De NEN 7510 is vooral bedoeld voor zorginstellingen en hun (toe)leveranciers, zoals: ICT-dienstverleners en applicatieontwikkelaars in de zorg. 

ISO 27001 NEN 7510 en de verschillen 

Het managementsysteem voor informatiebeveiliging van een organisatie, dient heel goed op orde te zijn. Dit kan aangetoond worden door het ISO 27001 certificaat, of door de NEN 7510, speciaal voor de zorgorganisatie of andere beheerder van persoonlijke gezondheidsinformatie. 

Maar wat is nu precies het verschil tussen deze twee normen? 

ISO 27001 

  • De norm ISO 27001 geldt wereldwijd op het gebied van informatiebeveiliging. De norm geeft structuur voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in een organisatie. 
  • ISO 27001 helpt bij het opstellen van een managementsysteem voor informatiebeveiliging. Het certificaat geeft klanten zekerheid, er wordt belang gehecht aan privacy en er wordt zorgvuldig met (persoonlijke) gegevens omgegaan. 
  • De basis van het managementsysteem is een analyse van de risico’s die de organisatie loopt met betrekking tot informatie. Om die risico’s te beheersen zijn er maatregelen bedacht. Deze zijn beschreven in ISO 27002 en als bijlage opgenomen in ISO 27001. 
    Er zijn in totaal 114 beheersmaatregelen onderverdeeld naar onderwerp en opgenomen in 14 hoofdstukken. De eis die aan het managementsysteem gesteld wordt, is dat de beheersmaatregelen in overeenstemming zijn met de aangegeven risico’s. Als een organisatie het ISO 27001 certificaat wil behalen, dan dient deze organisatie aan deze eis te voldoen. In de ‘verklaring van toepasselijkheid’ wordt vastgelegd welke beheersmaatregelen worden uitgekozen (en waarom). Deze verklaring maakt onderdeel uit van het certificaat. 

NEN 7510 

  • De NEN 7510 is de Nederlandse (nationale) norm voor informatiebeveiliging, specifiek toegespitst op zorginstellingen en hun dienstverleners op het gebied van informatiebeveiliging. 
  • De NEN 7510 is een aanvulling op de eisen/beheersmaatregelen van ISO 27001. De structuur van de NEN 7510 is vrijwel identiek aan die van ISO 27001. De NEN 7510 norm bestaat uit twee delen; de 7510-1 en de 7510-2. Het eerste deel is vergelijkbaar met ISO 27001 en hierop kan een bedrijf zich certificeren. Het tweede deel is vergelijkbaar met ISO 27002 en niet certificeerbaar. Het wordt gezien als een verdiepingsslag. 
  • Deze norm bestaat uit 33 uitgebreide maatregelen van de ISO 27001 en 3 extra maatregelen specifiek voor de zorg. Het zijn regels die uitgebreid zijn met name op het gebied van logging (het vastleggen van acties op het elektronische dossier) en toegang (wie kan/mag wat zien en bewerken). Het gaat hierbij om de gegevens die binnen een zorginstelling worden verwerkt, maar ook om informatie die tussen zorginstellingen onderling wordt uitgewisseld, zoals tussen huisarts en ziekenhuis of tussen zorginstelling en toeleverancier. De onderdelen die verschillen van ISO 27001 zijn in NEN 7510 duidelijk aangegeven. 

NEN 7510 ISO 27001, voor welke norm kiezen? 

Het lijkt in eerste instantie makkelijk voor welke norm, ISO 27001 NEN 7510, de organisatie het beste kan kiezen. Maar er zijn diverse mogelijkheden die de keuze anders kunnen maken. 

Is de organisatie niet gericht op de zorg? 

Dan ligt ISO 27001 het meest voor de hand, maar er zijn uitzonderingen. 
 
Bijvoorbeeld als één van de klanten een zorgstelling is of dat de organisatie zelf met zorginformatie in aanraking komt, zoals: zorgserviceproviders, gemeenten en toeleveranciers van zorginstellingen (zoals hostingproviders). De norm geeft hier specifiek aan dat de organisatie een ‘andere beheerder van persoonlijke gezondheidsinformatie’ is. In dit geval kan de organisatie (ook) kiezen voor NEN 7510. Hieraan zijn wel voorwaarden verbonden: 

  • Er moet aangetoond kunnen worden dat de organisatie in contact komt met organisaties die zich met persoonlijke gezondheidsinformatie bezighouden. 
  • In de ‘verklaring van toepasselijkheid’ moeten de beheersmaatregelen met betrekking tot deze voorgenoemde organisaties opgenomen worden. 
  • Voor certificatie moet duidelijk beschreven worden welke activiteiten, producten of diensten zijn uitbesteed die betrekking hebben op het beheer van persoonlijke gezondheidsinformatie. Daarbij is van belang dat de van toepassing zijnde beheersmaatregelen uit de ‘verklaring van toepasselijkheid’ moeten worden gespecificeerd. 

Is de organisatie actief in de zorg of op het gebied van gezondheidsinformatie? 

Dan is NEN 7510 automatisch de norm. 
 
Voor zorgverleners geldt voor de verwerking van het Burgerservicenummer al de verplichting te voldoen aan NEN 7510. Daarnaast wordt binnen de zorgsector door bepaalde partijen NEN 7510 als aansluitvoorwaarde gesteld. 

Wil de zorgorganisatie ook internationaal of buiten de zorgbranche aantonen dat zorgvuldig wordt omgegaan met informatie? 

Dan is het mogelijk om zich naast NEN 7510 óók voor ISO 27001 te laten certificeren. 

Dit heeft betrekking op het toepassingsgebied (de scope) van de certificering. Als de organisatie ook te maken heeft met internationale belanghebbenden met betrekking tot de informatie waar de certificering op van toepassing is, dan is mogelijk alleen een NEN 7510 niet voldoende. Immers NEN 7510 is de Nederlandse gebruikte norm, die buiten onze landsgrenzen mogelijk (te) weinig bekendheid en daarmee zeggingskracht heeft. In dat geval loont het om ook voor ISO 27001 certificering te gaan. 

Een andere reden om als zorgorganisatie voor beide certificeringen te gaan, is als de organisatie (en de stakeholders) naast gezondheidsinformatie ook andersoortige informatie belangrijk vindt om aantoonbaar te beveiligen. 

Wil je weten wat voor jouw organisatie de norm moet zijn en heb je hulp nodig bij de implementatie? Neem contact met ons op. 

Meer informatie over Informatiebeveiliging?

Persoonlijk

Innovatief

Pragmatisch

Vakkundig