ZBC Kennisbank

Implementatie NEN 7510 is niet (meer) ingewikkeld

 

Intussen geldt de nieuwe NEN 7510 al een jaar als de norm voor informatiebeveiliging in de zorg. Maar onder het dreigende geweld van de AVG, is de aandacht hiervoor laag geweest. Dat terwijl de verandering in de NEN 7510 zeer groot is. De norm maakt de implementatie voor (voornamelijk) kleinere zorgverleners een stuk eenvoudiger.

In feite lijkt de NEN 7510 heel sterk op de ISO 27001 & ISO 27002. Deel 1 is vrijwel identiek aan de ISO 27001 (zie ook ‘NEN 7510 schuift verder op naar ISO 27001 en wordt volwassen’). Deel 2 is net als de ISO 27002 een verzameling best practices en richtlijnen, die gebruikt kunnen worden om de risico’s te verminderen. Uiteraard kent de zorg haar specifieke risico’s. Deel 2 bevat dan ook zorgspecifieke best practices, waardoor de implementatie minder ingewikkeld is geworden. Een hoop denkwerk is al verricht. Je hoeft alleen de kersen uit de taart te halen en die gebruiken. De rest van de taart levert alleen maar hoofdpijn op.

De maatregelen uit deel 2 zijn niet verplicht

De grootste verandering in de nieuwe NEN 7510 is dat de maatregelen uit deel 2 niet meer verplicht zijn. Dat terwijl deze in de vorige versies van de NEN 7510 juist de kern vormden, waaraan voldaan moest worden. Dat is nu niet meer het geval! Alleen deel 1 is verplicht.
In de inleiding van deel 2 staat dan ook: “In de laatste internationale norm zijn zorgspecifieke aanscherpingen van het dwingende moeten (shall) voorzien op basis van een universele risicobeoordeling voor de zorg.” 
Die universele risicobeoordeling geldt misschien wel voor een groot ziekenhuis, maar niet voor kleinere of gespecialiseerde zorginstellingen. Zij hebben meestal een veel beperktere hoeveelheid risico’s met een kleinere impact. Niet alle maatregelen zijn van toepassing, of er kan volstaan worden met een minder zware maatregel. De norm vervolgt daarom ook: ”Aangezien in de systematiek van deze NEN 7510 een verklaring van toepasselijkheid (6.1.3 van deel 1) de selectie van beheersmaatregelen bepaalt, is die formuleringswijze hier niet overgenomen. In deel 2 staan immers ‘best practices’ of richtlijnen om aan de doelvoorschriften te voldoen. Dit zijn mogelijke keuzes, dus in deel 2 staan de beheersmaatregelen niet normatief beschreven; er staat dus geen moeten, maar er staat behoren.”

In bijlage A staat nog wel steeds moeten

Wat verwarrend werkt, is dat in bijlage A nog wel het woordje ‘moeten’ wordt gebruikt. Sommige auditors leggen dit uit als een verplichting om aan die maatregel te voldoen. Dat is echter niet waar. Want hierover zegt de norm: “Zorginstellingen moeten deze maatregelen selecteren op basis van de risico analyse en vastleggen in de verklaring van toepasselijkheid en daarmee kunnen aantonen dat de maatregelen wel of niet van toepassing zijn.”
Dat is in lijn met 6.1.3 van deel 1 (het wel verplichte deel), die de organisatie verplicht om alle maatregelen uit bijlage A te bekijken. Dit om te voorkomen dat er maatregelen over het hoofd worden gezien. Het ‘moeten’ slaat dus op de verplichting van bekijken, maar niet op de verplichting om de maatregel te implementeren.

Hoe de NEN 7510 pragmatisch implementeren

Begin daarom bij jezelf. In de norm staat in hoofdstuk 0 niet voor niets:
Het vaststellen en implementeren van een managementsysteem voor informatiebeveiliging wordt beïnvloed door de behoeften en doelstellingen van de organisatie, de beveiligingseisen, de procedures die de organisatie toepast en de omvang en structuur van de organisatie.”
Laat eerst de norm en vooral de maatregelen uit deel 2 liggen. Kijk eerst naar jezelf. (Zie ook ‘ISO is er voor je bedrijf en niet andersom’).  Dat doe je door te kijken naar je omgeving, je stakeholders en hun behoeften en daarvan afgeleid je bedrijfsrisico’s. Want een informatiebeveiligingsrisico, wat geen bedrijfsrisico is, is per definitie een risico, dat je accepteert. (Zie ook ‘Checklist risicoanalyse informatiebeveiliging ISO 27001 en NEN 7510’).
Pas daarna duik je de informatiebeveiliging in. Ook dan begin je met wat je al hebt. Je pakt bijlage A erbij en je bekijkt hoe belangrijk de maatregel voor jouw organisatie is, hoe je daar in jouw organisatie mee omgaat en je bepaalt of je dat voor jouw organisatie voldoende vindt. De laatste punten vormen de input voor je verbeterplan. Deze methodiek is dus gelijk aan de aanpak voor ISO 27001, die beschreven staat in het artikel ‘Architectuur en aanpak ISO 27001’. Want zorginstellingen hebben hun eigen risico’s en hun eigen manieren om zaken op te lossen. Dat zit niet in de maatregelen, maar vooral in de omgeving, de behoeften van de stakeholders en de bedrijfsrisico’s.
Kortom, zorginstellingen kunnen deze aanpak zonder problemen gebruiken. Ze voorkomen hiermee dat hun NEN 7510 managementsysteem uitgroeit tot een enorme papieren tijger, die totaal niet werkt. (Zie ook ‘Pragmatische invoering nieuwe NEN 7510:2017 nu ook voor kleinere zorginstellingen’). Alleen grote zorginstellingen met veel specialismen zijn veroordeeld tot nagenoeg alle maatregelen. Die hebben daar doorgaans ook wel voldoende budget en menskracht voor.

ZBC aanpak, pragmatisch op basis van sjablonen

Voor kleinere gespecialiseerde zorginstellingen heeft ZBC een voor de zorg specifieke set sjablonen opgezet, die het implementeren van een NEN 7510 managementsysteem voor informatiebeveiliging aanzienlijk vereenvoudigen.  Deze zijn al enkele malen in de praktijk getest. Natuurlijk heeft iedere zorgaanbieder een uniek primair proces, maar als het gaat om informatiebeveiliging is dat hooguit voor 5% het geval. In meestal een vijftal sessies van een dagdeel kunnen we de aanpak doorlopen zodat je een slank managementsysteem hebt, dat er toe doet, wat aansluit op de huidige werkwijze en zonder nodeloze rompslomp. (Zie ook ‘Binnen drie maanden een ISO 27001 certificaat halen’). We kunnen je hier als ZBC bij helpen, zodat je aan het eind van de rit gecertificeerd bent. Ook kun je onze ‘Cursus Informatiebeveiliging conform ISO 27001, 27002 of NEN 7510’ volgen. Je krijgt de sjablonen en je leert hoe je die in jouw situatie kunt gebruiken.

DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 25 september 2018


One Response to “Implementatie NEN 7510 is niet (meer) ingewikkeld”

  1. Hugh schreef:

    In theory it sounds like a good idea. But I truly can”t think of a time when rehab worked in the long haul. You”re just delaying inevitable.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *