MSP Kennisbank

ISO 27001 en NEN 7510 combineren? Extra eisen?!

NEN 7510 en ISO 27001: beide zijn kwaliteitsnormen en beide zijn gericht op informatiebeveiliging. Zo hebben ze elkaar dan ook ontmoet. Maar wie is wie en welke van hen heb je nou eigenlijk nodig? Dat leggen wij je haarfijn uit.

Wie is wie?

ISO 27001

Laten we met ISO 27001 beginnen. Die was er tenslotte ook als eerst 😉. ISO staat voor International Standardization Organization. De ISO 27001 is dus een norm die internationaal, wereldwijd, geldt. De norm geeft richtlijnen voor het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in een organisatie. De norm is toepasbaar in alle branches.

NEN 7510

De NEN 7510 is een aanvulling van Nederlandse bodem op de ISO 27001, speciaal gericht op de zorgsector. Een NEN-norm komt van het Nederlands Normalisatie-instituut en is dus alleen van toepassing op de Nederlandse markt. NEN 7510 geeft dezelfde richtlijnen als ISO 27001, maar onderscheidt zich doordat 33 van de 114 standaard beheersmaatregelen zijn uitgebreid met een specifieke vertaling naar de zorg. Daarnaast zijn er drie extra maatregelen specifiek voor de zorg toegevoegd.

NEN 7510, ISO 27001 of toch allebei?

De liefde tussen de twee normen is sterk, maar toch kunnen ze goed zonder elkaar. Het is alleen niet zo dat jij vrij kunt kiezen welke je gebruikt. Er is een duidelijk verschil tussen de ISO 27001 en NEN 7510: de branche. En dat is ook goed om je te realiseren, want begeeft jouw organisatie zich NIET in het zorgveld en werk je ook NIET samen met zorginstellingen? Dan is NEN 7510 NIET op jouw organisatie van toepassing. Je moet namelijk verplicht een interface hebben met gezondheidsgegevens.

De voorwaarden om als organisatie te kiezen voor NEN 7510:

  • Je kunt aantonen dat je interfaces hebt met zorginstellingen, oftewel: Heb je een relatie met een zorginstelling. Als je bijvoorbeeld beheer uitvoert op de systemen van zorgverleners dan is dit een interface.
  • De beheersmaatregelen met betrekking tot deze interfaces staan in jullie ‘verklaring van toepasselijkheid’ (zie verderop).
  • Als er activiteiten, producten of diensten zijn die jullie uitbesteden die betrekking hebben op het beheer van persoonlijke gezondheidsinformatie, dan staat dit duidelijk in de scope van de certificering.

Voldoe je niet aan deze voorwaarden dan kun je geen NEN 7510-certificering aanvragen.

Het doet er niet toe waar die informatie vandaan komt of hoe je ‘m gebruikt (binnen je eigen organisatie, met een interface naar een zorginstelling of door uitbesteding van bepaalde processen), ook als je ‘slechts’ leverancier bent van software die in de zorg gebruikt wordt, kan en/of is het advies te certificeren voor de NEN 7510. Voor zorgverleners geldt zelfs al de verplichting bij het registreren van alleen het Burgerservicenummer.

Beheersmaatregelen NEN 7510

Er zijn dus 33 beheersmaatregelen uit de ISO 27001 uitgebreid, specifiek voor de zorg. In Annex A zijn ze allemaal terug te vinden. Vier ervan geven we graag wat extra aandacht:

A6.1.1 – Rollen en verantwoordelijkheden bij informatiebeveiliging

De zorgspecifieke beheersmaatregel luidt:

Organisaties moeten
a) duidelijk verantwoordelijkheden op het gebied van informatiebeveiliging definiëren en toewijzen;
b) over een informatiebeveiligingsmanagementforum (IBMF) beschikken om te garanderen dat er duidelijke aansturing en zichtbare ondersteuning vanuit het management is voor beveiligingsinitiatieven die betrekking hebben op de beveiliging van gezondheidsinformatie, zoals beschreven in B.3 en B.4 van bijlage B (NEN 7510‑2).

Er moet minimaal één individu verantwoordelijk zijn voor beveiliging van gezondheidsinformatie binnen de organisatie.

Het gezondheidsinformatiebeveiligingsforum moet regelmatig vergaderen. 

Er moet een formele verklaring van het toepassingsgebied worden geproduceerd waarin de grens wordt gedefinieerd van nalevingsactiviteiten wat betreft mensen, processen, plekken, platformen en toepassingen.

Hierbij wordt de volgende zorgspecifieke implementatierichtlijn gegeven:

Bij bedrijven die persoonlijke gezondheidsinformatie beheren is de verantwoordelijkheid van het management essentieel. Dat kan niet genoeg benadrukt worden. Je kunt rekenschap en coördinatie op de lange termijn alleen handhaven als je organisatie over een expliciete informatiebeveiligingsbeheerinfrastructuur beschikt.

Het maakt niet uit welke organisatiestructuur je kiest, het is altijd essentieel dat deze zo wordt ingericht dat cliënten er toegang toe hebben om bijvoorbeeld hun dossier op te vragen. Ook moet het mogelijk zijn om te rapporteren binnen de eigen organisatie en moet er de garantie zijn dat informatie tijdig wordt verstrekt.

De informatiebeveiligingsfunctionaris van de organisatie brengt o.a. verslag uit te aan het forum en verleent hieraan secretariële diensten. De functionaris is verantwoordelijk voor het samenstellen, publiceren en becommentariëren van de rapporten die de leden van het forum ontvangen.

Gezondheidsorganisaties hebben de verantwoordelijkheid om het personeel in te lichten over het het beleid van informatiebeveiliging en ervoor te zorgen dat iedereen die zich binnen de organisatie bezighoudt met informatie-, klinische en corporate governance, dit overneemt.

A6.1.5 – Informatiebeveiliging in projectbeheer

De zorgspecifieke beheersmaatregel:

Bij het management van projecten moet de patiëntveiligheid als projectrisico in aanmerking worden genomen voor elk project dat gepaard gaat met het verwerken van persoonlijke gezondheidsinformatie.

Uiteraard is de patiëntveiligheid een kritisch bestanddeel van de risicobeoordeling voor elk project waarbij persoonlijke gezondheidsinformatie verwerkt wordt. Daarom analyseer je elk risico zorgvuldig én geef je het de volle aandacht in het projectplan.

Schakel een informatie- en veiligheidsdeskundige in als je er zeker van wil zijn dat dit allemaal goed gebeurt en je niks vergeet. De projectmanager blijft altijd eindverantwoordelijk voor de informatiebeveiliging in zijn project. Ook als de ‘schuld’ ergens anders ligt. Tenzij zij/hij kan aantonen dat alles is gedaan wat normaliter van een eindverantwoordelijke persoon mag worden verwacht.

A7.1.1 – Screening van personeel

Organisaties moeten minimaal de identiteit, het huidige adres en de vorige werkkring van personeel en contractanten en vrijwilligers op het moment van de sollicitatie verifiëren. Verificatiecontroles van de achtergrond van alle kandidaten voor een dienstverband moeten een verificatie omvatten van de toepasselijke kwalificaties voor zorgverleners, indien er sprake is van accreditatie voor de beroepsgroep op basis van die kwalificaties (bijv. artsen, verplegend personeel enz.). Als een persoon wordt ingehuurd voor een specifieke beveiligingsrol, moet de organisatie zich ervan vergewissen dat:
a) de kandidaat over de nodige competentie beschikt om de beveiligingsrol te vervullen;
b) de kandidaat de rol kan worden toevertrouwd, in het bijzonder als de rol cruciaal is voor de organisatie.

Wat screen je bij (nieuw) personeel?

Bij screening moet je rekening houden met alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en arbeidswetgeving. De screening omvat:

a) een check op positieve referenties;
b) een check op volledigheid en nauwkeurigheid van het c.v.;
c) bevestiging van de geclaimde kwalificaties;
d) onafhankelijke check op de identiteit (paspoort of gelijkwaardig document);
e) meer gedetailleerde verificatie, zoals controle op kredietwaardigheid of strafblad.

Als je iemand inhuurt voor een specifieke informatiebeveiligingsrol, moet je er zeker van zijn dat:

a) je kandidaat over de nodige competentie beschikt om de beveiligingsrol te vervullen;
b) je de kandidaat de rol kunt toevertrouwen, zeker als de rol cruciaal is voor de organisatie.

Als een functie met zich meebrengt dat de persoon toegang heeft tot faciliteiten die vertrouwelijke informatie verwerken, is het goed om verdere, meer gedetailleerde checks te overwegen.

In de procedures staat beschreven welke criteria en beperkingen er gelden voor controle-onderzoeken. Denk dan aan wie is competent om personen te screenen, en hoe, wanneer en waarom vinden deze controle-onderzoeken plaats.

Ook tussen jou en je contractanten stel je een screeningprocedure op. In jullie overeenkomst staan de verantwoordelijkheden voor het uitvoeren van de screening en de informatieprocedures die je volgt als de screening niet is afgemaakt of als de resultaten aanleiding geven tot twijfel of bezorgdheid.

Informatie over alle kandidaten verzamel en verwerk je in overeenstemming met de relevante wetgeving. Afhankelijk van de toepasselijke wetgeving informeer je alle kandidaten vooraf over de screeningactiviteiten.

A8.2.1 – Classificatie van informatie

Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten dergelijke gegevens op uniforme wijze als vertrouwelijk classificeren.

Om vervolgens beschermingsniveaus vast te stellen voor de informatiebedrijfsmiddelen is complex. De gevoeligheid van de informatie hangt namelijk af van wat de patiënt/cliënt vertrouwelijk acht, de context van de registratie van de gegevens en verschuivingen in wat de maatschappij vertrouwelijk acht.

Daarom is het uitgangspunt: alle persoonlijke gezondheidsinformatie is vertrouwelijk en behoort ook zo te worden behandeld.

Verklaring van Toepasselijkheid

In bijlage Annex A staan alle beheersmaatregelen van de NEN 7510. Als je als organisatie aan de slag gaat met de certificering, ga je na welke beheersmaatregelen op jullie van toepassing zijn en welke niet. Dit komt in de Verklaring van Toepasselijkheid. Dit is een vast onderdeel van de certificering.

Als jullie een beheersmaatregel niet van toepassing verklaren, dan moeten jullie toelichten waarom. De beheersmaatregelen die wel van toepassing worden verklaard, moeten vervolgens ook geïmplementeerd worden volgens de geldende eisen.

Samen?

Drie mogelijke redenen om te kiezen voor beide certificeringen:

  • Je organisatie opereert internationaal. Een Nederlandse norm heeft buiten de landsgrenzen weinig autoriteit. Het verliest niet zijn waarde, maar in het buitenland heeft het gewoonweg niet dezelfde status. Onbekend maakt onbemind en je loopt dus de kans dat je buitenlandse partners geen genoegen nemen met alleen de NEN 7510.
  • Als je, naast gezondheidsinformatie, ook andere informatie moet beveiligen. Het NEN 7510-certificaat heeft ook hierover weinig zeggingskracht.
  • Je bent een ICT dienstverlener en je hebt klanten in de zorg. Het is niet superveel extra werk om naast de ISO 27001 te certificeren voor de NEN 7510. Doen dus als dit kan!

Liefde voor ISO 27001 en NEN 7510?

Wil jij je ISO 27001- en/of NEN 7510-certificaten behalen maar zie je op tegen de papieren tijger? Weet je niet of je ze nou wel of niet allebei nodig hebt? Wij adviseren altijd om ook NEN 7510 te halen als je ICT-dienstverlener bent en zorgklanten hebt. Wij zoeken het uit en voeren dit goed uit; 100% geïntegreerd in jouw operationele processen. 

Trouwens, het kost je maar een halve dag extra audittijd als je beide certificeringen tegelijkertijd laat doen. Je maakt dus geen dubbele kosten. Meer weten?