ZBC Kennisbank

Aanpak implementatie NEN 7510 kan nu ook pragmatisch

 

Over enkele maanden wordt de nieuwe NEN 7510:2017 gepubliceerd. Belangrijkste wijziging is dat deze nieuwe norm, net als de ISO 27001:2013, risk-based is, waar de oude norm  rule-based was. Voor een ziekenhuis zal dit niet veel verschil maken. Kleinere zorginstellingen en zorgverleners worden daarmee echter verlost van veel onnodige ballast. Dat geldt zowel bij het opzetten van de NEN 7510 als ook bij de naleving.

Veel  procedures kunnen nu de prullenbak in. Want net zo min als een bordje verboden toegang, houden procedures iets tegen. Organisaties worden dus niet meer opgescheept met een hoop bureaucratie.  Een zorginstelling heeft daarvan al genoeg. De aandacht kan nu gericht worden op de informatiebeveiliging zelf. En ondanks allerlei procedures laat die bij de meeste zorginstellingen nogal te wensen over, zeker waar het de vertrouwelijkheid betreft. En juist die wordt met de AVG steeds belangrijker. Ook kunnen organisaties nu de logische principes voor informatiebeveiliging toepassen, zoals die beschreven staan in ‘Informatiebeveiliging is helemaal niet zo moeilijk’.

Zorginstelling mag nu zelf keuzes maken

Het grote voordeel van de risk-based benadering is, dat een zorginstelling zelf keuzes mag maken in  hoe om te gaan met haar risico’s. (Zie ook ‘NEN 7510 schuift verder op naar ISO 27001 en wordt volwassen’.) In de oude NEN 7510-norm moest een zorginstelling,  als zij een risico wilde accepteren en hierop geen maatregelen wenste te nemen, op 13 punten documenteren. Van al deze punten werd de validiteit beoordeeld. Als niet op alle punten een sluitend argument werd gegeven, mocht de  maatregel niet worden uitgesloten.De nieuwe norm gaat er in par 6.1.3a en 3b van uit dat je als zorginstelling zelf maatregelen kiest. Conform par 6.1.3c moeten de  gekozen maatregelen worden  vergeleken met de maatregelen uit deel 2 van de norm, om te verifiëren dat er geen noodzakelijke beheersmaatregelen over het hoofd worden gezien. Dat betekent dus, dat je als zorginstelling zelf steeds mag afwegen, waarbij je cliënt het meest is gebaat, een flexibel en efficiënt zorgproces of het uitbannen van minder belangrijke informatiebeveiligingsrisico’s. Hetzelfde geldt voor privacy. In de AVG staat in hoofdstuk 1: “Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.” In het artikel ‘AVG is vooral een afweging en geen verplichting’ wordt aangegeven dat ook hier een risk based aanpak gekozen mag worden en dat het afdekken van zorgrisico’s mag prevaleren boven het afdekken van privacy risico’s.

Pragmatische ZBC aanpak ook toepasbaar voor NEN 7510

Door de verschuiving in de NEN 7510 is de pragmatische benadering van informatiebeveiliging, zoals deze beschreven is in het artikel ‘Pragmatische aanpak informatiebeveiliging’, volledig toepasbaar voor zorginstellingen. Dat geldt ook voor het stappenplan uit ‘Architectuur en aanpak ISO 27001’. Uitgangspunt is immers dat de NEN 7510 er is voor de zorginstelling en niet andersom en dus is de huidige werkwijze van de zorginstelling het uitgangspunt en niet de NEN 7510.Onder het motto ‘Natuurlijk is iedere dienstverlener uniek ….. voor nog geen 5%’ heeft ZBC een volledige set aan vooringevulde sjablonen en voorbeelddocumenten beschikbaar. Deze zijn sowieso auditproof voor de ISO 27001. In 5 sessies van een dagdeel kunnen deze sjablonen worden aangepast aan de werkelijkheid van een specifieke organisatie. Bij B2B dienstverleners werkt dit perfect. Er zijn echter een aantal verschillen tussen zorginstelling en B2B-dienstverlener, die overigens niet zozeer zijn gelegen in de informatiebeveiliging, maar meer in het organisatiedeel. 

Verschillen tussen zorginstelling en B2B-dienstverlener

Een eerste verschil tussen zorginstellingen en B2B-dienstverleners  is de behoefte op basis waarvan beide gecertificeerd willen worden. De B2B dienstverlener (voor de AVG bewerker en meestal geen gebruiker) wil dit omdat grote klanten dit eisen. De scope wordt dan ook meestal beperkt tot de dienstverlening aan klanten, waarbij de dienstverlener verantwoordelijk is voor de data van de klant. Voor kleinere zorginstellingen (voor de AVG zowel verantwoordelijke als bewerker en tevens ook gebruiker) geldt dat behalve gemeenten vooral ketenpartners  met wie wordt samengewerkt en waarmee persoonsgegevens worden uitgewisseld certificatie eisen. Een ander verschil is, dat de bekostiging in de zorg een stuk complexer dan die in de B2B dienstverlening. Een zorginstelling heeft bovendien te maken met meerdere toezichthouders. Kortom, de context van een zorginstellingen is een stuk complexer dan die van een B2B dienstverlener. Ditzelfde geldt voor de stakeholderanalyse en de belangenafweging (risk assessment).Verder bestaat het primaire proces van iedere dienstverlener uit het rijtje ‘marketing, verkoop etc’, terwijl zorgverleners meestal het rijtje ‘intake, diagnose, plan etc.’ als primair proces hebben. Bovendien is er  bij een dienstverlener doorgaans sprake  van maar één applicatie, die vaak extern gehost wordt, terwijl zorginstellingen te maken hebben met meerdere applicaties, die vaak ook nog door meerdere partijen op meerdere plaatsen worden gehost. 
Dit alles betekende dat de bestaande set aan sjablonen van ZBC minder goed paste bij zorginstellingen. Door de grotere complexiteit waren er als regel een extra sessie en een maand meer tijd nodig. ‘Een certificaat halen in 5 sessies in 3 maanden’ was daardoor meestal niet mogelijk. Zeker niet  als de zorginstelling de scope wilde uitbreiden naar haar interne processen (HRM) of als bleek, dat er eigenlijk sprake was van verschillende zorgdiensten binnen één instelling.

Dedicated sjablonen voor zorgverleners

ZBC heeft daarom daarom naast de set van sjablonen voor dienstverleners ook een set van vooringevulde sjablonen voor zorginstellingen gemaakt. Hierdoor kan weer als  uitgangspunt worden genomen:  ‘Natuurlijk is iedere kleinere zorginstelling uniek …. voor nog geen 5%’ ‘We kunnen de sjablonen opnieuw in 5 sessies op maat maken voor het zorgproces van een zorginstelling. Alleen als het gaat om meerdere zorgprocessen, om ook  interne processen, om een complex applicatielandschap of om meerdere vestigingen, dan zal er sprake zijn van beperkt meerwerk.
Maar dat betaalt zich als regel terug tijdens de implementatie, het gebruik en het beheer van het managementsysteem. De interne norm wordt immers  gebaseerd op de huidige werkwijze. Daardoor zullen de implementatiekosten laag zijn, worden gebruikers niet opgezadeld met allerlei tijdrovende of hinderlijke procedures en zijn de handhavingskosten laag. En juist waar het gaat om zaken die er gezien de echte beveiligingsrisico’s toe doen, zien we vaak snelle verbeteringen, die bovendien toekomstvast zijn. Want de daadwerkelijke verbetering staat centraal en niet de compliance.Tegelijk wordt daarmee vrijwel volledig voldaan aan de AVG. Er kan immers worden aangetoond, dat je in control bent wat betreft privacy.  Want natuurlijk vormt een inbreuk op de privacy een belangrijk bedrijfsrisico en dus worden er maatregelen meegenomen waarmee wordt voorkomen dat grote hoeveelheden persoonsgegevens op staat komen te liggen.
Deze dedicated vooringevulde sjablonen gebruiken we uiteraard tijdens onze coachingstrajecten. Daarnaast vormen ze een onderdeel van het materiaal voor de deelnemers aan de ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’, waarin geleerd wordt hoe een implementatietraject aan te pakken met gebruik van deze sjablonen. Omdat onoordeelkundig gebruik van deze sjablonen voor ons een risico op reputatieschade inhoudt, stellen we deze sjablonen alleen op deze manier beschikbaar.

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 31 augustus 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *