ZBC Kennisbank

Verwarring over revisie en certificering NEN 7510

 

De verwarring over de NEN 7510 is groot. Deze norm is verplicht voor zorginstellingen en wordt door zorginstellingen vaak opgelegd aan hun leveranciers en zorgpartners. Maar wanneer je daadwerkelijk met NEN 7510 aan de slag wilt gaan, stuit je op een hele reeks vragen over het certificaat, de aanpak, de inspanning en over wanneer goed ook goed genoeg is.

Het grootste probleem is dat de NEN 7510 een typisch Nederlands product is, dat in zijn opzet niet gereglementeerd is en waarop allerlei partijen invloed willen uitoefenen, vaak vanuit eigen belang. Sommige van die partijen gaat het om het verkrijgen van meer macht, andere zien een mogelijkheid om geld te verdienen. Dat het zorginstellingen gaat om het verlenen van goede en betaalbare zorg aan patiënten en cliënten, waarbij ook goed omgegaan moet worden met de gegevens van en over die patiënten en cliënten, dat gaat kopje onder in de discussie. De zorg wordt beschouwd als uniek, maar dat de zorg net als veel andere organisaties op een goede manier om moeten gaan met vertrouwelijke gegevens, dat is nu juist niet uniek. Als de zorg zich gewoon zou conformeren aan de ISO 27001 met eventueel een paar extra toevoegingen, dan zou het belangenspel ten einde zijn. Maar dat wil dus geen van de betrokken partijen. Het gevolg is, dat zorginstellingen en toeleveranciers als gebruikers van de norm in de kou blijven staan en niet weten waar ze aan toe zijn.

Wat is de actuele status van de NEN 7510?

In het artikel ‘Zorginstellingen kunnen NEN 7510 vervangen door ISO 27001’ van januari 2016 schreven we al over de status van de NEN 7510 en waarom je beter zou kunnen kiezen voor ISO 27001. Dit leidde destijds tot een aantal geïrriteerde reacties, die we uiteraard onder het artikel hebben gepubliceerd. Ook het NEN reageerde en gaf aan dat het hard bezig was met verbeteringen. Impliciet werd hiermee bevestigd, dat onze kritiek terecht was.
De plannen van het NEN zijn de reden, dat we nu in augustus 2016 opnieuw de thermometer in deze materie gestopt hebben. Wanneer zaken precies beschikbaar zullen zijn voor de belanghebbenden, kan nog niet worden aangegeven. Maar op basis van ervaringen uit het verleden, proberen we meer duidelijkheid te geven.

Beschikbaarheid geaccrediteerde auditors

Voor certificatie zijn certificerende instellingen (CI’s) nodig, die geaccrediteerd zijn om de certificatie audits te kunnen uitvoeren. Accreditaties worden verleend door de Raad voor de Accreditatie (RvA). Hieraan gaat een nauwkeurig en uitvoerig proces vooraf, waarbij de CI moet aantonen aan de RvA, dat zij de accreditatie verdient.
De NEN 7510 werd gepubliceerd in 2011. De aanvraag om het certificatieschema onder accreditatie te brengen heeft het NEN pas in februari 2016 bij de RvA ingediend. De goedkeuring kwam in mei. Een aantal CI’s hebben hierop direct een accreditatieverzoek ingediend bij de RvA. De ervaring leert echter, dat het proces om daadwerkelijk geaccrediteerd te zijn, meestal ruim een jaar duurt. Het is dus te verwachten dat de eerste certificatie audits in de zomer van 2017 gedaan kunnen worden. Dit impliceert ook, dat er op dit moment nog geen organisatie in Nederland daadwerkelijk NEN 7510 gecertificeerd is, al pronken veel organisaties wel met dit certificaat. Die organisaties hebben echter een NEN 7510 in control statement gekregen, afgegeven door een auditor die op basis van zijn interpretatie van NEN 7510 de audit heeft uitgevoerd. En alleen als die in control statement gekoppeld is aan een ISO 27001 certificaat, dan mag ervanuit gegaan worden, dat de organisatie zijn informatiebeveiliging op orde heeft.

Controls van NEN 7510 stammen nog uit de vorige eeuw

Zoals we ook in het artikel ‘Zorginstellingen kunnen NEN 7510 vervangen door ISO 27001’ van januari 2016 schreven, zijn de controls van NEN 7510 nog identiek aan de controls van de ISO 17799 van 2002. Deze zijn gebaseerd op best practices uit de vorige eeuw. Dat was een tijd tijd dat internet nog in de kinderschoenen stond en zaken als SaaS en de cloud nog niet bestonden. We zijn intussen meer dan 15 jaar verder. En informatiebeveiliging heeft zich onder druk van de cybercriminaliteit in deze jaren razendsnel ontwikkeld heeft. Dat zorginstellingen nu nog beoordeeld worden op de controls uit die voorbije periode is natuurlijk vrij absurd. Daar komt bij dat de NEN 7510 nog rule-based is. Dat wil zeggen dat alle controls verplicht zijn. Als je een control wilt uitsluiten, dan is dit een heel moeilijk proces.
Het NEN ziet uiteraard ook de noodzaak om de norm aan te passen en heeft in het voorjaar van 2016 het initiatief gestart om de NEN 7510 te vernieuwen. Daar het uitsluitend om een Nederlandse norm gaat, gebeurt dat in een commissie, van meer dan 20 mensen, waarin alle eerder genoemde groeperingen die een belang hebben te verdedigen zijn opgenomen.
In haar eerste vergadering heeft de commissie besloten ook de High Level Structure te gebruiken, die tegenwoordig in alle ISO-normen zit. Voor de ISO 27001 is dit sedert 2013 het geval. Het belangrijkste verschil met de huidige NEN 7510 is dan, dat de benadering niet meer rule-based is, maar risk-based. Dat betekent dat je alle controls mag uitsluiten, die geen risico vormen. Voor een ziekenhuis betekent dat niet een groot verschil. Voor toeleveranciers van de zorg of voor kleine zorginstellingen die veel gebruik maken van SaaS-diensten is het verschil wel groot. De handboeken kunnen bij het grof vuil en overbodige procedures, die alleen veel tijd kosten en niet bijdragen aan de risico beheersing, kunnen geschrapt worden. Hiermee zal de NEN 7510 weer bijna identiek zijn aan de ISO 27001.

Ongelukkige timing

Het is een goede zaak, dat de planning van de revisie van de NEN 7510 naar voren is gehaald. De ervaring leert echter, dat het meestal ongeveer twee jaar kost voor een nieuwe norm daadwerkelijk gepubliceerd wordt. Dat zou betekenen dat de nieuwe NEN 7510 begin 2018 beschikbaar is.
Alle certificerende instellingen (CI’s), die zich dan al met veel moeite hebben laten accrediteren door de RvA, zullen zich opnieuw in het accreditatie proces moeten onderdompelen. Veel CI’s zullen waarschijnlijk besluiten om eerst maar even te wachten.
Maar voor zorginstellingen, hun toeleveranciers en verwante bedrijven is het nog erger. Als ze nu al een certificaat hebben, dan zal dit straks geen geldig certificaat meer zijn, zeker als het is afgegeven door een niet-geaccrediteerde auditor. Hebben ze dat certificaat niet en laten ze zich eind 2017 certificeren voor de oude NEN 7510, dan moeten ze sowieso veel onnodige procedures implementeren, die ze in 2018 weer kunnen schrappen, omdat de benadering dan totaal veranderd zal zijn. Het is daarom verleidelijk voor veel zorginstellingen om maar even te wachten met de informatiebeveiliging, totdat duidelijk is wat er moet gebeuren.

Hoe hier wel mee om te gaan

Afwachten is verleidelijk. Dit leidt echter weer tot andere risico’s. Om te beginnen nemen de dreigingen toe en daarnaast spelen de ontwikkelingen op privacy gebied. Eerder al werden de boetes voor privacy incidenten verhoogd en daar is in 2016 nog bijgekomen de meldplicht datalekken. Omdat er in de zorg veel ICT-gerelateerde diensten uitbesteed worden(datacenters, SaaS, cloud, apps enzovoort), zijn er bewerkersovereenkomsten nodig om de aansprakelijkheid te regelen voor datalekken die de schuld zijn van de uitbestedingspartners. Anders blijft de zorginstelling aansprakelijk. En zelfs al is er een bewerkersovereenkomst, dan moet deze periodiek ook gecontroleerd worden op de naleving, want anders is de zorginstelling nog steeds aansprakelijk. Hoe dit precies zit, leest u in het artikel ‘Klanten vaak aansprakelijk voor privacy incidenten bij leveranciers’.
Daarnaast wordt in 2018 de nieuwe EU privacy verordening (GDPR) van kracht en ook deze stelt weer eisen aan de informatiebeveiliging met natuurlijk boetes en reputatieschade als dreiging en deze dreigingen zitten niet in de huidige NEN 7510.
Zorginstellingen en hun uitbestedingspartners zullen dan ook een keuze moeten maken hoe ze de komende twee jaar met deze risico’s om willen gaan.

  • Vasthouden aan de tijdslijn van NEN 7510 vergt veel inspanning en geld, terwijl over twee jaar zal blijken, dat dit grotendeels weggegooid geld is en dat het zorgproces zelf hiervan meer hinder heeft ondervonden dan nodig was.
  • Niets doen is geen optie, want gezien de dreigingen en de ontwikkelingen op privacy gebied is het risico op reputatieschade en boetes (te) groot.

Een pragmatisch alternatief is om nu al in te spelen op de situatie van 2018, wanneer de nieuwe risk-based NEN 7510 gepubliceerd is, geaccrediteerde auditors beschikbaar zijn en de nieuwe EU privacy verordening (GDPR) van kracht is. Gebruik daarvoor als handleiding de risk-based ISO 27001 norm, waar de nieuwe NEN 7510 sterk op zal lijken en bak hierin een privacy management systeem in. In het artikel ‘Het opzetten van een privacy managementsysteem’ leest u hoe u dit eenvoudig kunt combineren.

Het zou te prijzen zijn in de commissie voor de revisie van de NEN 7510 als ze niet zou pretenderen een volledig nieuwe norm te ontwikkelen, die toch weer voor 99% identiek is aan reeds bestaande ISO 27K-normen, maar zich zou richten op de zorg gerelateerde risico’s en hiervoor aanvullende controls definieert. Bijkomend voordeel zou zijn dat de norm, zoals dat het geval is met de ISO 27K-normen, dan eens in de vijf jaar vernieuwd wordt, zodat ook de norm voor de zorg up-to-date blijft en niet continu 3-5 jaar achter loopt.

Via een pragmatische aanpak ondersteunt ZBC organisaties om hun privacy op orde te krijgen of een ISO 27001 certificaat te halen. Ook geeft ZBC cursussen over privacy en informatiebeveiliging.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wiebe Zijlstra | 23 augustus 2016


One Response to “Verwarring over revisie en certificering NEN 7510”

  1. Winfried Tilanus schreef:

    Het probleem is dat NEN 7510 op verschillende plaatsen in algemene maatregelen van bestuur en handhavingskaders genoemd wordt en de overheid kan niet verwijzen naar een norm die niet vrij beschikbaar is. Dat is de reden dan de overheid voor veel geld NEN 7510 heeft ‘afgekocht’ bij de NEN. Een zelfde constructie is voor de ISO 27K familie niet mogelijk, daardoor zitten we aan een NEN 7510 vast.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *