NEN7510 2024

NEN7510:2024 gepubliceerd


NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. Het richt zich op het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van medische informatie en gegevens. Deze norm is gebaseerd op de internationale ISO 27001, maar specifiek aangepast aan de eisen en risico's in de zorg. NEN 7510 helpt zorginstellingen en hun dienstverleners om gevoelige patiëntinformatie te beschermen tegen bijvoorbeeld datalekken, cyberaanvallen en ongeautoriseerde toegang, en voldoet hiermee aan wettelijke verplichtingen zoals de Algemene Verordening Gegevensbescherming (AVG).
De norm NEN7510 kent dus 2 delen. Het 1e deel gaat over de PDCA (Plan-Do-Check-Act) cyclus (vergelijkbaar met ISO 27001:2022, hoofdstukken 4 - 10) en het 2e deel gaat over de beheersmaatregelen, controls (vergelijkbaar met ISO 27001:2022, Annex A). De NEN7510 heeft een aantal extra beheersmaatregelen specifiek voor de zorgsector.

Let op: de NEN7510 is veranderd omdat de ISO27001 is veranderd (ISO27001:2022). De NEN7510:2024 is inmiddels gepubliceerd!
 

Voor wie is NEN7510

De norm NEN7510 is, zoals gezegd, bestemd voor de zorg. Dit zijn zorgorganisaties, maar ook organisaties die persoonlijke gezondheidsinformatie verwerken. Tot de laatste groep behoren leveranciers die applicaties met persoonlijke gezondsheidsinformatie hosten, software leveranciers van PGO's - Persoonlijke GezondheidsOmgevingen, ISP - Internet Service Providers met een relatie tot zorgapplicaties etc. 

ISMS - Information Security Management System

Om aan de NEN7510 te voldoen heb je een managementsysteem, specifiek een ISMS - Information Security Management System. We hebben een simpele oplossing om een ISMS op te zetten en -niet onbelangrijk- te onderhouden. Voor alle documenten, risico's en relevante beheersmaatregelen (control framework).

 

ISMS control framework

Als voorbeeld is een ISMS -Information Security Management System- control framework uitgewerkt, gericht op de ISO 27001, Annex A maar uit te breiden tot NEN 7510. Een set van 95 beheersmaatregelen gericht op informatiebeveiliging, indien van toepassing.
Binnen het managementsysteem platform is het ISMS control framework een onderdeel. Periodiek wordt hier vastgelegd wat de toetsingsresultaten van de effectiviteitscontroles van de betreffende beheersmaatregelen (controls) zijn. Groot voordeel is dat er directe links met het beschreven managementsysteem en de verschillende kwaliteitsregistraties of KPI-metingen zijn.
 

 

NEN7510:2024
 

NEN7510:2024

 

Voorbeelden - vragen

Een voorbeeld van een ISMS - Information Security Management System - of wel managementsysteem voor informatiebeveiliging is hier te vinden: demo ISMS NEN 7510 en demo Control framework
Voor inhoudelijke vragen of de praktische spreadsheet zijn er de collega's van Meta-audit.nl. Contact?
 

Snel aan de slag? Zet in 60 seconden het Metaware platform als cloudoplossing op proef klaar, een simpele en innovatieve software tool voor het volledige managementsysteem. Nog meer? Het duurt iets langer ... maar dan hebben we ook een eigen en geschikt voorbeeld, conform NEN7510:2024 natuurlijk. Voorbeeld documentatie én control framework (workflow gestuurd overzicht van alle beheersmaatregelen).

Verschillen - NEN 7510:2024 versus ISO 27001:2022

Hieronder staat een overzicht (checklist) van de verschillen, aandachtspunten dan wel uitbreidingen NEN7510:2024 deel II versus ISO27001:2022

  NEN 7510:2024 deel II
Beheersmaatregelen
 		 Onderdeel
 
- Organisaties moeten beschikken over een schriftelijk informatiebeveiligingsbeleid, goedgekeurd door hoogste management en minimaal 1x per jaar of na een ernstig incident II - 5.1
- Tenminste één persoon moet verantwoordelijk zijn voor informatiebeveiliging II - 5.2
- Taken en verantwoordelijkheden moeten worden gescheiden, indien haalbaar II - 5.3

- Ook informatiestromen en interfaces moeten worden geïnventariseerd, intern en extern

 II - 5.9
- Beleid voor retourneren van bedrijfsmiddelen moet er zijn inclusief een schriftelijke bevestiging (geretourneerd of verwijderd) II - 5.11
- Classificatie van informatie: persoonlijke gezondheidsinformatie = vertrouwelijk II - 5.12
- Vóórdat informatie wordt overgedragen moeten regels / procedures / overeenkomsten zijn geïmplementeerd II - 5.14
- Toegangsbeleid voor persoonlijke gezondheidsinformatie moet beschikbaar zijn, rolgebaseerd II - 5.15
- Toegang tot persoonlijke gezondheidsinformatie moet volgens een formele gebruikersregistratie II - 5.16
- Risico's omtrent toegang externe partijen moeten worden geïdentificeerd, beoordeeld en maatregelen moeten zonodig worden genomen II - 5.19
- Informatiebeveiligingseisen moeten worden geanalyseerd en gespecificeerd II - 5.38
- Zorgontvangers moeten op unieke wijze zijn te identificeren II - 5.39
- Getoonde, geprinte gegevens moeten zijn te valideren II - 5.40
- Openbare gezondheidsinformatie: archiveren, integriteit beschermen en bron vermelden II - 5.41
- Noodcommunicatiekanalen binnen een gezondheidsorganisatie: plannen, implementeren, onderhouden en beproeven II - 5.42
- Informatiebeveiligingsincidenten moeten worden gemeld, conform wet- en regelgeving II - 5.43
- In functieomschrijvingen rollen en verantwoordelijkheden vastleggen irt persoonlijke gezondheidsinformatie II - 6.2
- Formeel de vertrouwelijkheid van informatie in stand houden II - 6.6
- Versleutelen persoonlijke gezondheidsinformatie op verwijderbare media II - 7.10
- 2FA (tweefactorauthenticatie) voor systemen met persoonlijke gezondheidsinformatie II - 8.5
- Backups met persoonlijke gezondheidsinformatie versleutelen II - 8.13
- Zero trust beginselen toepassen II - 8.35
   

 

  

 

Één managementsysteem

Één managementsysteem platform.
Kwaliteit, veiligheid, milieu, informatiebeveiliging, .... Een geïntegreerde omgeving voor de beschreven processen, de risico-analyse met beheersmaatregelen, alle workflow processen en 'last but not least' de prestaties in een dashboard.
Alles samen te stellen als 'bouwblokken'.

Meer over het platform

Start nu je gratis proefperiode

Wij hebben geen 'glimmende folders'. Ga meteen zelf achter de knoppen zitten en ervaar het gemak, overzicht en de productiviteitsverbetering.
Wij helpen je online en verrijken je met de ervaring en 'best practices' van andere gebruikers.

Start Nu