NEN 7510 ISO 27001 hebben veel raakvlakken, maar het zijn wel degelijk verschillende normen die voor verschillende doeleinden worden ingezet. ISO 27001 is de internationale, wereldwijde, erkende norm op het gebied van informatiebeveiliging. De NEN 7510 is de nationale norm (dus Nederlandse) voor informatiebeveiliging, specifiek toegespitst op organisaties die te maken hebben met persoonlijke gezondheidsinformatie, zoals zorginstellingen en hun dienstverleners.
Informatiebeveiliging is steeds belangrijker geworden voor organisaties door de steeds verder toenemende digitalisering. De klant moet ervan uit kunnen gaan dat er veilig met zijn gegevens om wordt gegaan, maar ook de organisatie zelf wil voorkomen dat hij risico loopt. Hierdoor stijgt de vraag naar certificeringen op het gebied van informatiebeveiliging. NEN 7510 ISO 27001 zijn de belangrijkste normen op het gebied van informatiebeveiliging. Deze normen vereisen dat het bedrijf een informatiebeveiligingsmanagementsysteem (ISMS) opzet, deze moet ervoor zorgen dat processen rondom informatiebeveiliging gecontroleerd verlopen.
ISO 27001 certificering is geschikt voor alle organisaties die informatiebeveiliging structureel willen waarborgen, denk hierbij aan ICT-bedrijven, zoals: datacenters, systeembeheerders, softwareleveranciers en datamarketingbureaus. De NEN 7510 is vooral bedoeld voor zorginstellingen en hun (toe)leveranciers, zoals: ICT-dienstverleners en applicatieontwikkelaars in de zorg.
Het managementsysteem voor informatiebeveiliging van een organisatie, dient heel goed op orde te zijn. Dit kan aangetoond worden door het ISO 27001 certificaat, of door de NEN 7510, speciaal voor de zorgorganisatie of andere beheerder van persoonlijke gezondheidsinformatie.
Maar wat is nu precies het verschil tussen deze twee normen?
Het lijkt in eerste instantie makkelijk voor welke norm, ISO 27001 NEN 7510, de organisatie het beste kan kiezen. Maar er zijn diverse mogelijkheden die de keuze anders kunnen maken.
Dan ligt ISO 27001 het meest voor de hand, maar er zijn uitzonderingen.
Bijvoorbeeld als één van de klanten een zorgstelling is of dat de organisatie zelf met zorginformatie in aanraking komt, zoals: zorgserviceproviders, gemeenten en toeleveranciers van zorginstellingen (zoals hostingproviders). De norm geeft hier specifiek aan dat de organisatie een ‘andere beheerder van persoonlijke gezondheidsinformatie’ is. In dit geval kan de organisatie (ook) kiezen voor NEN 7510. Hieraan zijn wel voorwaarden verbonden:
Dan is NEN 7510 automatisch de norm.
Voor zorgverleners geldt voor de verwerking van het Burgerservicenummer al de verplichting te voldoen aan NEN 7510. Daarnaast wordt binnen de zorgsector door bepaalde partijen NEN 7510 als aansluitvoorwaarde gesteld.
Dan is het mogelijk om zich naast NEN 7510 óók voor ISO 27001 te laten certificeren.
Dit heeft betrekking op het toepassingsgebied (de scope) van de certificering. Als de organisatie ook te maken heeft met internationale belanghebbenden met betrekking tot de informatie waar de certificering op van toepassing is, dan is mogelijk alleen een NEN 7510 niet voldoende. Immers NEN 7510 is de Nederlandse gebruikte norm, die buiten onze landsgrenzen mogelijk (te) weinig bekendheid en daarmee zeggingskracht heeft. In dat geval loont het om ook voor ISO 27001 certificering te gaan.
Een andere reden om als zorgorganisatie voor beide certificeringen te gaan, is als de organisatie (en de stakeholders) naast gezondheidsinformatie ook andersoortige informatie belangrijk vindt om aantoonbaar te beveiligen.
Wil je weten wat voor jouw organisatie de norm moet zijn en heb je hulp nodig bij de implementatie? Neem contact met ons op.