Vaak wordt de NEN 7510 norm opgevat als een absolute norm, die verplicht tot het invoeren van meer dan 100 maatregelen. De beschreven maatregelen zijn echter best practices op basis waarvan iedere zorginstelling zelf de eigen norm kan vaststellen. Er is dus niet sprake van een verplichting, maar het gaat om een keuze, waardoor awareness vaak geen issue meer is en er een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd.

Het Information Security Management Systeem is bij de invoering van informatiebeveiliging vaak de heilige graal en vergaande bureaucratie zijn dienaar. Het kan anders. Een eenvoudige situatie vereist een eenvoudige oplossing. Maar in de praktijk lijkt theoretische correctheid het te winnen van praktische noodzaak en dat werkt contraproductief.

Informatiebeveiliging was lange tijd synoniem voor bureaucratie, hoge kosten en gebrek aan draagvlak. Bij ISO 27001 leek het om de controleerbaarheid van de naleving te gaan en wantrouwen leek de basis. Daar ISO 27002 in de praktijk een ‘lean and mean’ aanpak beter mogelijk maakte dan ISO 27001, werd ISO 27002 tot voor kort doorgaans gepropageerd als norm. Maar nu de ISO-normen voor informatiebeveiliging worden gewijzigd, zal dit, gelukkig, gaan veranderen.

Zorginstellingen die informatiebeveiliging serieus nemen en maatregelen afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel kunnen NEN 7510 gebruiken om pragmatisch tot een passend security management systeem te komen, inclusief een natuurlijke verbetercyclus.

De implementatie van ISO 27002 of NEN 7510 wordt vaak voorgesteld als een complex gebeuren, waarbij awareness zeer problematisch is. Als u deze ervaring ook heeft, dan kunt u in dit artikel lezen hoe u het waarschijnlijk slimmer had kunnen doen of mogelijk nog kunt doen.

De IGZ en het CBP hebben twintig ziekenhuizen getoetst op informatiebeveiliging. Aan vier ziekenhuizen is een last onder dwangsom opgelegd. Het niveau van informatiebeveiliging zou niet voldoen aan ‘de norm’. Het lijkt erop dat het de bedoeling is hiermee zorginstellingen te intimideren, die NEN 7510 nog moeten invoeren. Hoe gaat u hier als zorginstelling mee om?

NEN 7510 is ontwikkeld om de implementatie van informatiebeveiliging binnen zorginstellingen gemakkelijker te maken. In de praktijk bleek dit gemak tegen te vallen en duurden implementaties soms meer dan een jaar. NEN heeft dit ook ingezien en heeft aangekondigd, dat de nieuwe NEN 7510 afgeleid wordt van ISO 27002, waardoor een pragmatische implementatie mogelijk wordt.

Voor veel organisaties is certificering ofwel het kunnen afgeven van een ‘in control’-statement over hun informatiebeveiliging belangrijk. Als u de niet-normatieve norm ISO 27002 goed interpreteert, biedt deze u de mogelijkheid om via een pragmatische aanpak in slechts enkele maanden dit certificaat te krijgen. U hoeft slechts maatregelen te treffen conform uw risicoprofiel en alle niet relevante maatregelen kunt u schrappen. Tijdens het webseminar ‘Pragmatische aanpak informatiebeveiliging volgens ISO 27002 of NEN 7510’ gaan we in op hoe u zo’n traject kunt uitvoeren op basis van sjablonen en geven we u tips vanuit de praktijk.

Bij iedere nieuwe ontwikkeling, zoals bijvoorbeeld de OV-pas, het EPD of het rekening rijden laait onmiddellijk de discussie over privacy weer op. En dat terwijl iedereen wel verwacht dat overheden en zorginstellingen maximaal informatie uitwisselen en delen om de service aan burgers of patiënten te verbeteren. Waarschijnlijk heeft u uw opslag van privacygevoelige gegevens goed geregeld. Maar juist de informatie-uitwisseling leidt vaak tot onverwachte risico’s. Hoe kunt u ervoor zorgen, dat ook bij gegevensuitwisseling de privacy gewaarborgd wordt, zonder allerlei onwerkbare maatregelen te nemen, die toch niet nageleefd worden? Deze vraag komt aan de orde in dit webseminar.