ZBC Kennisbank

NEN 7510 schuift verder op naar ISO 27001 en wordt volwassen

 

Begin maart 2017 heeft het NEN de nieuwe NEN 7510 ‘Informatiebeveiliging in de zorg’ gepubliceerd voor commentaar. Deze nieuwe versie van de norm is de opvolger van de NEN 7510:2011 en het resultaat van een proces dat bijna een jaar heeft geduurd en is uitgevoerd door een groep van 55 deskundigen en betrokkenen. De normontwerpen zijn gratis beschikbaar op nen.nl. Tot 1 juli kan iedereen het normontwerp nog van commentaar voorzien.

In het verleden hebben we vaak kritiek gehad op de vele onduidelijkheden rondom de NEN 7510. (Zie ook ‘Verwarring over revisie en certificering NEN 7510’.) De kinderziekten zijn nu echter voor een groot deel verdwenen. In navolging van de ISO 27001 is de NEN 7510 nu ook risk based. Sterker nog, de hoofdstukken 4 t/m 10 van de NEN 7510 (deel A) zijn nu volledig identiek aan die van de ISO 27001. De verschillen met de ISO 27001 zitten in deel B, waarin de maatregelen zijn beschreven.

Verschillen NEN 7510:2017 en ISO 27001:2013

Net als de ISO 27001 bevat de NEN 7510 nu 114 maatregelen en op grond van de uitkomsten van de risicoanalyse moet bepaald worden of en in hoeverre deze maatregelen gekozen en geïmplementeerd moeten worden. De maatregelen hebben in de beide normen dezelfde titel en ook de omschrijving van de beheersmaatregelen is grotendeels identiek. De beheersmaatregelen bevatten alleen soms nog een zorgspecifieke uitbreiding. Maar ook deze uitbreidingen zijn niet verplicht. De norm zegt hierover:

“De beheersmaatregelen in deel 2 volgen zoveel mogelijk de tekst van NEN-ISO/IEC 27002+C1+C2:2015 en NEN-EN-ISO 27799:2016. In die laatste internationale norm zijn zorgspecifieke aanscherpingen van het dwingende ‘moeten’ (‘shall’) voorzien op basis van een universele risicobeoordeling voor de zorg. Aangezien in de systematiek van deze NEN 7510 een verklaring van toepasselijkheid (in 6.1.3 van deel 1) de selectie van beheersmaatregelen bepaalt, is die formuleringswijze hier niet overgenomen. In deel 2 staan immers ‘best practices’ of richtlijnen om aan de doelvoorschriften te voldoen. Dit zijn mogelijke keuzes, dus in deel 2 staan de beheersmaatregelen niet normatief beschreven; er staat dus geen ‘moeten’, maar er staat ‘behoren te’.
Daarin ligt ook het verschil met de doelvoorschriften in deze bijlage. Zorginstellingen moeten deze doelvoorschriften selecteren op basis van de risicoanalyse en dit vastleggen in de verklaring van toepasselijkheid en daarmee kunnen aantonen dat de doelvoorschriften wel of niet van toepassing zijn. In deze bijlage A staan de beheersmaatregelen daarom wel normatief beschreven (moeten en niet behoren).”

Hoewel er in de beheersmaatregelen dus meer dan 100 keer ‘moeten’ staat (net als in de ISO 27001), moet dit gelezen worden als ‘behoren te’.
Kortom, het enige verschil tussen de NEN 7510 en de ISO 27001 is, dat in de maatregelen af en toe een zorgspecifieke aanvulling wordt gegeven, die dus op zich niet verplicht is.

Wat is de impact van de revisie van de NEN 7510?

Ruim een jaar geleden schreven we al het artikel ‘Zorginstellingen kunnen NEN 7510 vervangen door ISO 27001’. We schreven dit, omdat er veel bezwaren waren tegen de NEN 7510:2011.
Er werd toen fel op gereageerd door het NEN. Nu echter blijkt maar al te waar te zijn wat in dit artikel werd beschreven. Kort gezegd is dit:

  • De norm is behoorlijk verouderd.
  • De norm is rule based in plaats van risk based.
  • Er zijn geen geen certificerende instellingen met accreditatie van het RvA.

Deze drie tekortkomingen zijn intussen alle weggenomen en daarmee kunnen zorginstellingen, zodra de NEN 7510:2017 van kracht wordt, ook weer kiezen voor NEN 7510. De verschillen met ISO 27001 zijn nu nog marginaal.
Het betekent, dat ook de rule based handleidingen die voor de zorg ontwikkeld zijn, van tafel kunnen en dat gewoon gekozen kan worden voor de pragmatische aanpak die bij de ISO 27001 al langer gebruikelijk is. Het betekent ook dat de stakeholder analyse en de risico analyse uit ISO 27001 gebruikt kunnen worden, want die moeten voor iedere organisatie toegesneden worden op de eigen organisatie. Voor zorginstellingen is dit niet anders, al zijn er waarschijnlijk wat meer stakeholders in de vorm van ketenpartners en toezichthouders.
Het is nu te hopen dat de auditors van certificerende instellingen tijdig ingespeeld raken op deze revisie. Bij ISO 27001 kostte dat een paar jaar. Auditors die alleen NEN 7510 gedaan hebben en die geen ervaring hebben met de ISO 27001, zullen tijdig omgeschoold moeten worden.

Zorginstellingen en vooral zorgverleners de grote winnaar

De grootste winst is dus voor de zorginstellingen en vooral de zorgverleners en hun patiënten en cliënten. Om te voldoen aan de NEN7510 hoeven niet allerlei procedures gevolgd te worden. De regeldruk is nu al groot genoeg. Bottomline moet voorkomen worden, dat medische gegevens van patiënten en cliënten op straat komen te liggen. En daarvoor kun je werken op basis van principes, aangevuld met een aantal technische maatregelen. (Zie ook: ‘Informatiebeveiliging is helemaal niet zo moeilijk’.) Sowieso geeft dat nauwelijks tijdrovende procedures en bovendien blijkt dat een dergelijke benadering in de praktijk ook veiliger is. Er zal weer meer tijd over blijven voor de zorg, terwijl risico’s op het gebied van informatiebeveiliging en privacy aanzienlijk worden gereduceerd.
Zeker voor zorginstellingen die nu al NEN 7510 gecertificeerd zijn en die zuchten onder een grote hoeveelheid procedures, is het verstandig om zo snel mogelijk over te stappen naar de nieuwe NEN 7510. En voor kleine zorgverleners komt NEN 7510 nu ook binnen bereik. Hun risico’s zijn doorgaans beperkt en dus hoeven ze conform de NEN 7510 ook maar weinig maatregelen te nemen.

ZBC helpt organisaties via cursussen en coaching met het opzetten en verbeteren van hun managementsystemen voor ISO 27001, NEN 7510 en privacy.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 10 april 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *