De NEN 7510 is een norm voor informatiebeveiliging speciaal voor de Nederlandse zorgsector. Het is een aanvulling op de internationale ISO 27001 normering. Alle Nederlandse instellingen die in de zorgsector werkzaam zijn, dienen aan deze norm te voldoen. Hoe staat uw organisatie ervoor? Controleer het aan de hand van de NEN 7510 checklist.
De NEN 7510 (en ISO 27001) zijn complexe normen. Het implementeren is niet binnen enkele uren of dagen gedaan. Dit vergt tijd, geduld en nauwkeurigheid. Met behulp van deze NEN 7510 checklist is de norm teruggebracht naar 10 essentiële punten. Hebt u de checklist succesvol doorlopen? Dan voldoet uw organisatie aan de NEN 7510 norm.
De NEN 7510 checklist is onderverdeeld in de volgende onderwerpen. In dit blogartikel behandelen we de eerste vijf. Wilt u de NEN 7510 succesvol implementeren met behulp van de gehele checklist? Download dan ons gratis e-book.
- Vaststelling van het beleid
- Analyseer informatiesystemen en bronnen
- Start de risicobeheersing
- Implementeer maatregelen voor de risico’s
- Evalueer het resterend risico
- Geef invulling aan de AVG
- Vergroot de bewustwording onder medewerkers
- Implementeer de interne controle
- Bereid de NEN 7510 certificering voor
- Organiseer een externe audit en certificering
Download de volledige NEN 7510 checklist
Stap 1. Vaststellen van het beleid
Voordat u inhoudelijk aan de slag kunt gaan met de NEN 7510 is het essentieel om het informatiebeveiligingsbeleid van uw organisatie vast te stellen. Aan de hand van dit beleid weet u welke belangrijke en privacygevoelige zorginformatie wordt verwerkt en hoe deze dient te worden beschermd. Bij het vaststellen van het beleid, bepaalt u:
- de context van de organisatie;
- de belanghebbenden;
- de doelstellingen;
- de rollen en verantwoordelijkheden.
Het beleid dient vastgesteld te worden door de directie.
Stap 2. Analyseren informatiesystemen en bronnen
Bij de vorige stap hebt u de doelen van uw organisatie bepaalt. Deze kunt u enkel halen wanneer alle bedrijfsprocessen naar behoren functioneren. Een belangrijke stap is om de informatiesystemen en -bronnen binnen de organisatie in kaart te brengen en wat de waarde/gevoeligheid van de verwerkte informatie is. Denk hierbij aan de volgende punten:
- Hoe classificeren we informatie in termen van beschikbaarheid, integriteit en vertrouwelijkheid?
- Welke processen en informatiesystemen zijn betrokken/relevant?
- Welke (relevante) leveranciers en andere organisaties zijn hierbij betrokken?
- Wat is de business impact van de informatiesystemen?
Stap 3. Starten de risicobeheersing
Als het gaat om informatiebeveiliging binnen de zorg, dan is risicobeheersing een belangrijk aspect. Bij het starten van risicobeheersing dient u alle potentiële dreigingen en risico’s in kaart te brengen. Welke dreigingen zijn er? Voor welke soorten bedreigingen vormen de informatiesystemen van uw organisatie een doelwit? Zodra u alle risico’s in kaart hebt gebracht, kunt u adequaat reageren op de daadwerkelijke problemen.
Stap 4. Maatregelen implementeren voor de risico’s
Alle risico’s die uit de risicoanalyse naar voren zijn gekomen, worden verder uitgewerkt. Hierbij bepaalt u de aanpak per risico:
- Beheersen. U bepaalt beheersmaatregelen voor het risico om het risico effectief te verkleinen. Dit doet u door de kans op een incident en/of de gevolgen te verkleinen. Deze maatregelen dient u vervolgens te implementeren.
- Overdragen. U draagt het risico over door bijvoorbeeld de potentiële schade te verzekeren. Hiermee wordt het risico niet direct weggenomen, maar de impact wel verminderd.
- Ontwijken. U gaat op zoek naar een andere oplossing en/of invulling waarbij het betreffende risico niet langer aanwezig is.
- Accepteren. U laat het risico bestaan omdat het dreigingsniveau en de mogelijke schade acceptabel laag is.
Stap 5. Evalueren van het resterende risico
Zijn alle bedreigingen en risico’s in kaart gebracht, uitgewerkt en voorzien van maatregelen? Dan kunt u de risico’s langslopen om het restrisico te bepalen. Het restrisico is het risico dat resteert nadat maatregelen zijn genomen.
Zijn er risico’s die onvoldoende zijn teruggebracht? Dan zijn er extra maatregelen nodig om de kans op een incident te voorkomen of de gevolgen ervan te beperken. Implementeer deze maatregelen volgens stap 4.
De complete NEN 7510 checklist downloaden?
Om aan de NEN 7510 te voldoen, dient de organisatie ook aan de ISO 27001 te voldoen. Zoals eerder aangegeven is de NEN 7510 een aanvulling op de ISO 27001. Er zijn minimale verschillen tussen de NEN en ISO te benoemen. Daarom kunt u, door middel van het stappenplan naar ISO, ook voldoen aan deze norm. Wilt u weten hoe u verder moet gaan met stap 6 tot en met 10? Download dan ons e-book!
Wilt u uw klanten en bezoekers laten weten dat u de persoonsgegevens op een veilige wijze bewaard? In ons gratis e-book helpen wij u in tien stappen naar de certificering. Toepasbaar voor de ISO 27001 én NEN 7510! Download hem gratis!