English
Nederlands
De NEN 7510:2024 is de nieuwste versie van de norm voor informatiebeveiliging in de zorg. Met het steeds veranderende dreigingslandschap, waarin digitale aanvallen en gegevensinbreuken steeds geavanceerder worden, is het essentieel dat zorginstellingen op de hoogte blijven van de laatste ontwikkelingen en de nodige maatregelen nemen om de veiligheid van gevoelige gezondheidsinformatie te waarborgen.
De wijziging van de NEN 7510 norm speelt in op deze nieuwe uitdagingen door de focus te leggen op zowel de privacy van patiënten als de beveiliging van informatiesystemen binnen zorginstellingen. In dit artikel bespreken we de belangrijkste wijzigingen.
In dit blog:
- Belangrijkste wijzigingen in de NEN7510:2024 [gedetailleerd overzicht]
- De uitdaging van continu up-to-date blijven
Belangrijkste wijzigingen in de NEN 7510:2024
De NEN 7510 is gewijzigd om te voldoen aan de steeds veranderende eisen op het gebied van informatiebeveiliging en privacy, specifiek binnen de zorgsector. Met de toenemende digitalisering en het gebruik van cloudoplossingen in de zorg, wordt de beveiliging van persoonsgegevens en medische gegevens belangrijker dan ooit.
De veranderingen in de norm zijn bedoeld om zorginstellingen te helpen zich beter voor te bereiden op nieuwe beveiligingsdreigingen, te voldoen aan de wetgeving (zoals de AVG), en de betrouwbaarheid van hun systemen te waarborgen.
Nieuwe wijzigingen in de NEN 7510:2024
|
Categorie |
Titel |
Omschrijving |
|
Organisatorische maatregelen (A.5) |
A.5.7 Informatie en analyse over dreigingen |
In de nieuwe norm is deze maatregel gewijzigd. Nu moet het beleid ook erkend worden door relevant personeel en relevante belanghebbenden. In de nieuwe versie wordt ook expliciet genoemd wat er in het beleid moet staan, namelijk: "Het informatiebeveiligingsbeleid behoort de aanpak voor het beheer van informatiebeveiliging te beschrijven ..." Daarnaast wordt er nu een harde eis gesteld aan het periodiek beoordelen, namelijk "ten minste jaarlijks" en "als er zich een ernstig incident voordoet". |
|
Organisatorische maatregelen (A.5) |
A.5.23 Informatiebeveiliging voor het gebruik van clouddiensten |
Deze nieuwe maatregel vereist processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten. Denk bij de uitvoering en toepassing hiervan onder andere aan relevante beleidsregels, afspraken met de cloud-aanbieder en een exit-strategie. |
|
A.5.30 ICT-gereedheid voor bedrijfscontinuïteit |
Deze nieuwe maatregel vereist dat de ICT-gereedheid behoort te worden gepland, geïmplementeerd, onderhouden en getest. Denk bij de toepassing van deze maatregel onder andere aan ICT-continuïteitsplannen, respons- en herstelprocedures en het daadwerkelijk oefenen en testen hiervan. |
|
|
A.5.38 HLT - analyse en specificatie van informatiebeveiligingeisen |
Deze nieuwe maatregel vereist dat de informatiebeveiligingsgerelateerde eisen behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of verbeteringen aan bestaande informatiesystemen. Om deze maatregel te implementeren kan bijvoorbeeld in het inkoopproces een aantal eisen worden gedefinieerd met betrekking tot informatiebeveiliging. |
|
|
A.5.42 HLT - communicatie in noodsituaties |
Deze nieuwe maatregel vereist dat noodcommunicatiekanalen binnen een zorgorganisatie behoren te worden gepland, geïmplementeerd, onderhouden en beproefd die in werking treden wanneer er een storing is in de continuïteit van de ICT." Naast de reguliere maatregelen met betrekking tot bedrijfscontinuïteit, richt deze maatregel zich op de communicatiekanalen die tijdens een storing in werking treden. |
|
|
A.5.43 HLT - incidenten extern melden |
Deze nieuwe maatregel vereist dat informatiebeveiligingsincidenten volgens juridische, contractuele of wettelijke verplichtingen te worden gemeld." Hiervoor zal de incidentafhandelingsprocedure typisch worden uitgebreid met een beschrijving of procedure voor het melden van incidenten bij de juiste instanties. |
|
|
Fysieke maatregelen (A.7) |
A.7.4 Monitoren van fysieke beveiliging |
Deze nieuwe maatregel vereist dat het gebouw en terrein van de organisatie voortdurend gemonitord wordt op onbevoegde fysieke toegang. Denk hierbij aan het gebruik van portiers (gastheer/gastvrouw), inbraakalarmen, videobewakingssystemen en software voor het beheer van informatie over fysieke beveiliging. |
|
Technologische maatregelen (A.8) |
A.8.9 Configuratiebeheer |
Deze nieuwe maatregel vereist dat hardware, software, diensten en netwerken met de vereiste beveiligingsinstellingen functioneren. Dit kan er in de praktijk op neerkomen dat een organisatie processen en instrumenten implementeert om gedefinieerde configuraties af te dwingen. |
|
A.8.10 Wissen van informatie |
Het doel van deze nieuwe maatregel is het voorkomen van onnodige openbaarmaking van gevoelige informatie wanneer deze reeds verwijderd had moeten worden op basis van wet- en regelgeving, contractuele eisen, etc. Denk bij de uitvoering van deze maatregel aan een passende wismethode en het registreren van de resultaten als bewijs (ook als er dienstverleners gebruikt worden). |
|
|
A.8.11 Maskeren van gegevens |
Het doel van deze nieuwe maatregel is het beperken van openbaarmaking van gevoelige informatie (incl. persoonsgegevens). In de praktijk betekent dit dat de organisatie moet nadenken over het maskeren, pseudonimiseren of anonimiseren van (persoons)gegevens. |
|
|
A.8.12 Voorkomen van datalekken (Data leakage prevention) |
Het doel van deze nieuwe maatregel is ongeoorloofde openbaarmaking en extractie door personen of systemen te detecteren en te voorkomen. Denk hierbij aan bijvoorbeeld beperkingen op het exporteren van informatie; gebruikersvoorwaarden aan het maken van schermafbeeldingen; awareness-trainingen en het vier-ogen-principe bij het exporteren en openbaarmaken van informatie. |
|
|
A.8.16 Monitoren van activiteiten |
Het doel van deze nieuwe maatregel is het detecteren van afwijkend gedrag en potentiële informatiebeveiligingsincidenten. Denk hierbij aan onder andere netwerk-, systeem- en toepassingsverkeer; toegang tot systemen, (netwerk)apparatuur en het monitoringsysteem; logbestanden, het normale- en piekgebruik (van systemen) en het scannen van bedrijfstoepassingen, -systemen en -netwerken. |
|
|
A.8.28 Veilig coderen |
Het doel van deze nieuwe maatregel is het waarborgen dat software veilig geschreven wordt, waardoor het aantal potentiële informatiebeveiligingskwetsbaarheden in de software beperkt wordt. Het toepassen van deze maatregel valt uiteen in beveiligingsmaatregelen voor de verschillende fases van softwareontwikkeling. |
Lees ook: De NEN 7510 certificering behalen
De uitdaging van continu up-to-date blijven
In de dynamische wereld van informatiebeveiliging wordt het steeds lastiger om gelijke tred te houden met de constante veranderingen in wet- en regelgeving. Elk jaar worden er nieuwe dreigingen geïdentificeerd en moeten bestaande normen worden bijgewerkt. Dit vraagt niet alleen om veel tijd en aandacht, maar kan voor zorginstellingen ook leiden tot extra kosten en middelen om ervoor te zorgen dat ze voldoen aan de nieuwste eisen.
Het is essentieel om altijd up-to-date te blijven, niet alleen door de laatste versies van normen zoals de NEN 7510 te implementeren, maar ook door regelmatig te monitoren op nieuwe kwetsbaarheden en dreigingen middels een interne audit. Dit vereist dat zorginstellingen een overzichtelijk informatiebeveiligingsmanagementsysteem (ISMS) implementeren.
Gelukkig kunnen ISMS-tools zoals Base27 zorginstellingen helpen om deze uitdagingen het hoofd te bieden. Met deze tool kunnen ze eenvoudig de laatste regelgeving volgen, noodzakelijke maatregelen snel implementeren en hun informatiebeveiligingsstrategieën monitoren en optimaliseren.
Base27 biedt tevens hulp bij de migratie voor de nieuwe NEN 7510:2024 door middel van de migratie wizard. Tevens hebben we een uitgebreid migratieplan opgesteld, die je kan helpen bij een overzichtelijke migratie.
