Wat is het verschil tussen de NEN 7510 en ISO 27001?

Hoe staat het met de informatiebeveiliging van uw organisatie? Hebt u alle risico’s in kaart gebracht en weet u waar de gevaren zitten? Met behulp van diverse normen rondom informatiebeveiliging kunt u aantonen dat uw organisatie het goed doet. Twee voorbeelden van deze normen zijn ISO 27001 en NEN 7510.

In dit artikel ontdekt u aan welke regels en eisen u moet voldoen als het gaat om informatiebeveiliging en privacybescherming. We staan hiervoor stil bij de volgende onderwerpen en regels:

• Wat is ISO 27001?
• Wat is NEN 7510?
• Verschil ISO 27001 en NEN 7510
• Voorbeelden

Wilt u uw klanten en bezoekers laten weten dat u de persoonsgegevens op een veilige wijze bewaard? Een ISO 27001 certificering toont aan dat u uw informatiebeveiliging op orde hebt. Hulp nodig? In ons gratis e-book helpen wij u in tien stappen naar de certificering. Download hem gratis!

Lees verder onder de afbeelding.

Wat is ISO 27001?

Als we het hebben over dé internationale norm voor informatiebeveiliging, dan hebben we het over de ISO 27001. Het proces waarop een organisatie de informatiebeveiliging op orde krijgt en houdt, wordt beschreven in deze norm. Het maken van een risicoanalyse staat hierbij centraal. Het doel is voor organisaties om risico’s te beheersen en terug te dringen naar een acceptabel niveau.

ISO 27001 is een brede norm, gericht op informatiebeveiliging in het algemeen. Wanneer een bedrijf de proces sen rondom informatiebeveiliging toepast op basis van ISO 27001, is het ook mogelijk om hier een certificaat voor te behalen. Hiermee laat de organisatie zien dat het voldoet aan alle eisen rondom informatiebeveiliging. Dit ISO 27001 certificaat draagt bij aan het versterken van een betrouwbaar imago.

Wat is NEN 7510?

De NEN 7510 is een informatiebeveiligingsnorm speciaal voor organisaties in de zorgsector. Deze Nederlandse norm is wettelijk verplicht voor instellingen zoals ziekenhuizen, huisartsen, apothekers, verzorgingstehuizen et cetera.

Zorgverleners dienen op het juiste moment toegang tot de juiste informatie te kunnen krijgen. Alleen op die manier kunnen zij aan het gewenste niveau van dienstverlening voldoen. Aan de andere kant is het van groot belang dat deze privacygevoelige informatie niet in handen van ongeautoriseerde partijen komt, om de privacy van de patiënt te beschermen. De NEN 7510 biedt een kader waarin iedere partij de voor zijn/haar dienst relevante informatiebeveiliging kan specificeren, inclusief de bijbehorende maatregelen.

De NEN 7510 is niet de enige wettelijke verplichting voor zorgorganisaties als het gaat om bescherming en beveiliging van medische gegevens. Zorgorganisaties dienen ook aan bijvoorbeeld specifieke wetgeving te voldoen voor het uitwisselen van dergelijke informatie met andere zorgpartijen zoals de Wet cliëntenrechten waarbij cliënten (veelal patiënten) vanaf 1 juli 2020 ‘gespecificeerde toestemming’ moeten kunnen geven: men moet dan kunnen aangeven welke gegevens wel of niet door welke (categorieën van) zorgverleners mogen worden ingezien.

Verschil ISO 27001 en NEN 7510

De NEN 7510 is gebaseerd op de ISO 27001 en ondanks verschillen, zijn de overeenkomsten tussen de NEN 7510 en de ISO 27001 erg groot. In feite is de NEN 7510 een aanvulling, of uitbreiding, en dus zijn er wel degelijk verschillen te ontdekken:

• ISO 27001 is een algemene norm, NEN 7510 is branche specifiek voor de zorg;
• NEN 7510 is een Nederlandse norm, terwijl ISO 27001 een internationale norm is;
• Toepassing van de NEN 7510 is verplicht voor alle zorginstellingen. Dit geldt enkel voor de toepassing van de norm, niet de certificering;
• NEN 7510 benoemt 36 specifieke beheersmaatregelen voor de zorg, naast de 114 beheersmaatregelen die de ISO 27001 al benoemt.

Voorbeelden

Een voorbeeld van een specifieke zorgmaatregel uit de NEN 7510 en hoe deze zich verhoudt tot de ISO 27001:

Uit de ISO 27001 A.6.1.2 (Scheiding van taken):
Conflicterende taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.

Toevoeging uit de NEN 7510:
Organisaties moeten, indien dit haalbaar is, plichten en verantwoordelijkheidsgebieden scheiden om de kansen te verkleinen van onbevoegde wijziging of misbruik van persoonlijke gezondheidsinformatie.

En ook:

Uit de ISO 27001 A.7.1.2 (Arbeidsvoorwaarden):
De contractuele overeenkomst met medewerkers en contractanten moet hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie vermelden.

Toevoeging uit de NEN 7510:
Alle organisaties waarvan personeelsleden betrokken zijn bij het verwerken van persoonlijke gezondheidsinformatie, moeten die betrokkenheid in relevante functieomschrijvingen vastleggen. Beveiligingsrollen en verantwoordelijkheden, zoals vastgelegd in het informatiebeveiligingsbeleid van de organisatie, moeten ook in relevante functieomschrijvingen worden vastgelegd. Er moet speciale aandacht worden besteed aan de rollen en verantwoordelijkheden van tijdelijk personeel of personeel met een kort dienstverband zoals vervangers, studenten, stagiairs enzovoorts.

Uit deze voorbeelden blijkt dat de NEN 7510 vooral zorg-specifieke toevoegingen doet aan de bestaande beheersmaatregelen uit de ISO 27001.

Base27 voor ISO 27001 en NEN 7510

Base27 bewaakt en registreert uw processen rondom informatiebeveiliging. Het is een information security management system dat houvast geeft in de vele en vaak complexe aspecten van informatiebeveiliging. Met behulp van Base27 bent u in staat om snel de informatiebeveiliging conform de ISO 27001 en NEN 7510 norm op te zetten. Inclusief ondersteuning voor privacywetgeving, de AVG.

Wilt u uw klanten en bezoekers laten weten dat u de persoonsgegevens op een veilige wijze bewaard? Een ISO 27001 certificering toont aan dat u uw informatiebeveiliging op orde hebt. Hulp nodig? In ons gratis e-book helpen wij u in tien stappen naar de certificering. Download hem gratis!