NEN 7510 checklist

De NEN 7510 norm bestaat uit twee delen; de NEN 7510-1 en de NEN 7510-2. Omdat de overheid het zo belangrijk vindt aandacht te besteden aan gegevensbescherming in de zorg, is de norm gratis verkrijgbaar. Deel 1 beslaat alles dat gaat over het managementsysteem en deel 2 bevat de beheersmaatregelen die u kunt nemen om de risico’s te beperken en aan de eisen te voldoen.

Het is niet verplicht om u als zorgorganisatie te certificeren voor NEN 7510. Echter helpt het is wel bij het opzetten van een managementsysteem voor informatiebeveiliging in de zorg. De eerste stap is om de norm te interpreteren en een overizicht te krijgen wat de normeisen precies van uw organisatie vragen. Heeft u er moeite mee om de norm te doorgronden? Het NEN verzorgt regelmatig trainingen in het verklaren van de norm.

U heeft een beeld bij de eisen die de norm stelt aan uw organisatie. De volgende stap in het opzetten van uw managementsysteem is het identificeren van risico’s, ook wel de risk assessment genoemd. Allereerst dient u een methode vast te stellen om risico’s op basis van criteria te kunnen beoordelen. Aan de hand van deze methode analyseert u welke risico’s er zijn én hoe groot de kans is dat deze risico’s zich voordoen.

Deze prioritering is belangrijk om een realistisch beeld te krijgen van uw organisatieomgeving - zodat u uiteindelijk ook de juiste beheersmaatregelen kunt toepassen. Om u hierbij te ondersteunen heeft het NEN een risicoanalysetool ontwikkeld waarmee u eenvoudig verschillende risicoanalyses uitvoert.

Nu u weet welke risico’s uw informatiebeveiliging mogelijk in gevaar brengen, is het zaak de risico’s te behandelen. In de ISO 27001 norm wordt dit het risk treatment plan genoemd. In dit plan komt een stukje documentatie kijken. U dient per risico te documenteren hoe ‘zwaar’ het risico weegt en welke passende maatregel ervoor kan zorgen dat dit risico beperkt wordt. De maatregelen zijn in deze fase met name preventief en zijn bedoeld om risico’s in de toekomst te voorkomen. Heeft u het risk treatment plan opgesteld? Dan heeft u al een stap in de goed richting gezet.

In het statement of applicability (SoA) gaat u bepalen welke onderdelen uit bijlage A uit de NEN 7510 norm op uw organisatie van toepassing zijn. U dient deze onderdelen te beargumenteren en vast te leggen in dit document. Het statement of applicability helpt u en de auditor de diepte en breedte van uw managementsysteem voor informatiebeveiliging in te schatten.

Zorg dat u eerst voorgaande stappen uitvoert en begin daarna pas aan het schrijven van de SoA. De invulling van dit document is sterk afhankelijk van uw organisatie en de risicogevoelige situaties waarmee u te maken heeft. Ook speelt de scope van de organisatie mee. Het belangrijkste is dat alle zaken omtrent risico’s uit voorgaande stappen terugkomen in het statement of applicability.

U hebt al heel veel stappen gezet en in deze fase brengen we dit alles samen. In de totaalanalyse maken we de balans op. Welke bevindingen heeft u gedaan na het uitvoeren van de risicoanalyse, risicobeoordeling en risk treatmentplan? En wat heeft u allemaal vastgelegd in het statement of applicability?

Het doel van deze stap is om nog eens kritisch terug te blikken en uzelf de vraag te stellen: Heeft u werkelijk álle informatiebeveiligingsrisico’s rondom uw zorgorganisatie- en omgeving onder de loep genomen? U dient in deze stap ook na te denken wat u gaat doen wanneer uw risico beperkende maatregelen niet het gewenste effect hebben.

Bijvoorbeeld wanneer er essentiële persoonsgegevens verkeerd terecht komen. Hoe wilt u dat uw werknemers hiermee omgaan? U kunt er bijvoorbeeld over na denken mogelijke risico-vormende situaties te oefenen met uw werknemers. In noodsituaties reageren mensen vaak heel anders en worden regels door paniek niet altijd meer opgevolgd.

Heeft u een duidelijk beeld hoe u de informatiebeveiliging binnen uw zorgorganisatie gaat regelen en waar de aandachtspunten zich bevinden? Dan is de volgende stap in het proces het opstellen van een informatiebeveiligingsbeleid.

Het doel van een informatiebeveiligingsbeleid is dat het richting en ondersteuning biedt voor de informatiebeveiliging binnen uw organisatie - welke daarnaast overeenkomen met de eisen en relevante wetten en voorschriften uit de norm.

De aandachtspunten die de inhoud geven aan een beveiligingsbeleid vindt u in de norm of op de website van het NEN waar u alle hoofdstukken van de norm digitaal kunt inlezen. Belangrijk is dat de directie het beleidsdocument dient goed te keuren, publiceren en delen met alle relevante partijen.