Wat is het verschil tussen NEN 7510 en ISO 27001?

NEN 7510 bouwt voort op ISO 27001 maar voegt eisen toe die specifiek voor de zorg gelden, vooral rond toegang tot patiëntdossiers, logging en het omgaan met gezondheidsgegevens. Werk je in de Nederlandse zorg, dan is NEN 7510 de norm die meestal van je wordt gevraagd; buiten de zorg is ISO 27001 het algemene equivalent.

Is NEN 7510 verplicht?

Het is de erkende norm voor informatiebeveiliging in de Nederlandse zorg, en veel zorgorganisaties eisen het van zichzelf en hun leveranciers via contract. In de praktijk geldt: wil je in Nederland met zorggegevens werken, dan wordt verwacht dat je het aantoont.

Voor de meeste organisaties drie tot zes maanden voorbereiding voor de certificeringsaudit, afhankelijk van wat er al staat. De tool verkort de voorbereiding, en daar gaat bijna alle tijd in zitten.

Hebben we een consultant nodig?

Nee. De norm is te begrijpen; het trage deel is de documentatie, de toegangslogging en het bewijs. AIR-Tools stelt de documenten op en ordent het bewijs, zodat de meeste zorgorganisaties zonder consultant kunnen certificeren.

Dat zijn begeleidende normen. NEN 7512 gaat over vertrouwen in elektronische communicatie tussen zorgpartijen, en NEN 7513 over het loggen van toegang tot patiëntdossiers. NEN 7510 is de overkoepelende managementnorm, en goede logging onder 7513 hoort bij het voldoen eraan.

Wat is de snelste manier om te beginnen?

Vraag een demo aan en draai de scan op je echte stack. Al in de eerste sessie zie je waar patiëntgegevens staan, een beginreikwijdte en een eerste reeks gaten, in plaats van een leeg sjabloon.

NEN 7510 voor de zorg, de praktische weg naar certificering

Wat NEN 7510 echt is.

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Hij neemt de structuur van ISO 27001 over, hetzelfde idee van een managementsysteem voor informatiebeveiliging, en voegt eisen toe die specifiek gaan over gezondheidsgegevens: hoe je met patiëntdossiers omgaat, wie ze mag inzien en hoe je dat aantoont. Net als bij ISO 27001 kan een geaccrediteerde auditor certificeren dat je systeem werkt.

Waarom het ertoe doet

Gezondheidsgegevens zijn bijzondere persoonsgegevens onder de AVG, en van zorgaanbieders, hun leveranciers en veel digital-health-leveranciers wordt verwacht dat ze NEN 7510 aantonen. Voor veel zorgcontracten is het simpelweg verplicht.

Voor wie het is.

Zorgaanbieders. Ziekenhuizen, klinieken, huisartsenpraktijken en zorginstellingen die patiëntdossiers beheren.
Zorgleveranciers en software. Bouw of host je systemen die patiëntgegevens raken, dan vragen je zorgklanten je om NEN 7510 aan te tonen.
Digital-health- en eHealth-leveranciers. Apps, platforms en apparaten die gezondheidsgegevens verwerken vallen er direct onder.
Iedereen die gezondheidsgegevens verwerkt. Ook buiten de kernzorg brengt het verwerken van medische of gezondheidsinformatie je binnen de reikwijdte.

Wat de norm vraagt.

Een ISMS, net als bij ISO 27001. Dezelfde basis van een managementsysteem: reikwijdte, risicobeoordeling, maatregelen en continue verbetering.
Strikte toegang tot patiëntgegevens. Alleen de mensen die bij iemands zorg betrokken zijn mogen het dossier inzien, en je moet dat kunnen aantonen.
Logging en herleidbaarheid. Wie keek in welk dossier, en wanneer. NEN 7513 beschrijft de eisen aan logging.
Omgaan met gezondheidsgegevens. Duidelijke regels voor het veilig opslaan, delen en overdragen van patiëntinformatie.
Beschikbaarheid en continuïteit. De zorg mag niet stilvallen omdat een systeem eruit ligt. Continuïteit telt mee als beveiligingsvraagstuk.
Zekerheid over leveranciers. Elke leverancier die patiëntgegevens raakt moet aan dezelfde lat voldoen, en jij moet dat beheren.

De weg naar certificering.

Bepaal de reikwijdte. Leg vast welke zorgprocessen, systemen en gegevens het ISMS dekt.
Doe de risicobeoordeling. Beoordeel specifiek de risico's voor patiëntgegevens, niet alleen het algemene IT-risico.
Kies maatregelen en schrijf de SoA. Stem de ISO 27002-maatregelen plus de zorgaanvullingen van NEN 7510 af op je omgeving.
Voer uit en leg vast. Zet toegangsregels, logging, continuïteit en beleid op en verzamel het bewijs.
Doe een interne audit. Toets je eigen ISMS aan NEN 7510 en dicht eerst de gaten.
Slaag voor de certificeringsaudit. Een geaccrediteerde instelling beoordeelt je documenten in fase 1 en toetst ze in de praktijk in fase 2.
Houd het levend. Jaarlijkse tussentijdse audits en continue verbetering houden het certificaat geldig.

Hoe AIR-Tools je er sneller brengt.

Reikwijdte en inventarisatie. Clair scant je stack, vindt waar patiëntgegevens staan en stelt de reikwijdte en inventarisatie op.
Risicobeoordeling gericht op de zorg. Risico's worden geformuleerd rond patiëntgegevens en zorgcontinuïteit, met voor elk een aanbevolen maatregel.
Verklaring van toepasselijkheid, opgesteld. ISO 27002-maatregelen en de NEN 7510-aanvullingen zijn vooraf afgestemd op jouw omgeving.
Zorgbeleid opgesteld. Toegang tot dossiers, logging, incidentrespons en leveranciersbeheer, geschreven voor een zorgomgeving.
Auditklaar bewijs. Toegangslogs, goedkeuringen en documenten staan op één plek, gekoppeld aan de maatregel die ze aantonen.
Blijft actueel. Afwijkingen, verlopen beoordelingen en nieuwe risico's worden gesignaleerd voordat een tussentijdse audit ze vindt.

Niet in de zorg?

Verwerk je geen gezondheidsgegevens, dan heb je waarschijnlijk de bredere internationale norm nodig. ISO 27001 is het fundament waar NEN 7510 op is gebouwd, en geldt voor elke sector.

Lees de ISO 27001-gids

De korte versie.

NEN 7510 is ISO 27001 met zorgregels erbovenop. Het lastige deel is aantonen hoe patiëntgegevens worden ingezien en gelogd, en dat is precies het bewijs dat Clair samen met je verzamelt.

NEN 7510, zonder de consultant.