Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Certificeringskeuze: ISO 27001 of NEN 7510?

Dit artikel delen:

Computable Expert

ir. Tobias op den Brouw
Senior Consultant / Teamleider, CERTIFICERINGSADVIES NEDERLAND. Expert van Computable voor de topics Management, Development en Security.

Informatiebeveiliging is, mede door de toenemende digitalisering, voor veel organisaties van vitaal belang. Daarmee gepaard stijgt ook de vraag naar certificeringen. De belangrijkste en meest voorkomende certificeringen in Nederland op het gebied van informatiebeveiliging zijn ISO 27001 en NEN 7510. Wanneer kies je voor welke certificering?

ISO 27001 en NEN 7510 zijn beide normen op het gebied van informatiebeveiliging.

ISO 27001 is de internationale standaard voor informatiebeveiliging. In deze norm staat omschreven hoe een organisatie haar informatiebeveiliging procesmatig kan inrichten. Het biedt een raamwerk voor het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in je organisatie. Met het bijbehorende certificaat toon je aan dat je informatiebeveiliging op orde is. 

NEN 7510 is een Nederlandse ‘specificatie’ van de ISO 27001 voor de zorgsector. De gezondheidszorg heeft te maken met vertrouwelijke patiëntgegevens. Informatiebeveiliging is daarom essentieel. Met NEN 7510 maak je aantoonbaar dat je hier goed mee omgaat. 33 van de 114 standaard beheersmaatregelen van ISO 27001 zijn bij NEN 7510 uitgebreid met een specifieke ‘vertaling’ naar de zorg. Verder kent deze norm nog eens drie extra maatregelen specifiek voor de zorg.

Wanneer kies je voor welke norm?

"Naast ISO 27001 en NEN 7510 zijn er meer normen op de markt op het gebied van informatiebeveiliging"

Het belangrijkste criterium bij de keuze is het soort informatie. Gaat het om persoonlijke gezondheidsinformatie of niet? Wanneer het niet draait om het beveiligen van persoonlijke gezondheidsinformatie, dan is NEN 7510 niet toepasbaar. Vanzelfsprekend kom je dan uit bij ISO 27001. 

In sommige gevallen is het zelfs interessant om te kiezen voor beide certificaten. Dat heeft te maken met de scope van de certificering. NEN 7510 is een norm die opgeld doet in Nederland. Wanneer je dan bijvoorbeeld te maken hebt met internationale belanghebbenden met betrekking tot de informatie waar je certificering op van toepassing is, loont het om tevens te certificeren voor ISO 27001. 

Naast ISO 27001 en NEN 7510 zijn er meer normen op de markt op het gebied van informatiebeveiliging. Denk aan ISAE 3402 (type I of II) die betrekking heeft op het afdekken van financiële risico’s gerelateerd aan informatiebeveiliging bij uitbestede processen. In opkomst is ISO 27701 die zich specifiek richt op privacy/AVG. 

 

Voor wie is NEN 7510 nuttig?

In de eerste plaats is NEN 7510 van toepassing op zorginstellingen. Aan zorginstellingen is immers de (wettelijke) eis opgelegd om de persoonlijke gezondheidsinformatie die in het zorgverleningsproces omgaat aantoonbaar goed te beveiligen. In veel gevallen ‘vertalen’ zorginstellingen de informatiebeveiligingseisen direct door naar hun it-leveranciers, die als gevolg van uitbestede processen ook toegang hebben tot persoonlijke gezondheidsinformatie. NEN 7510 wordt daarmee dus niet enkel relevant voor zorg verlenende organisaties, maar ook voor:  

  • Leveranciers van (cloud) zorgapplicaties; 

  • Voor tussenpartijen voor zorgadministratie en -declaratie; 

  • Voor andere verwerkers van persoonlijke gezondheidsinformatie. 

Let op, niet elke it-leverancier hoeft (en kan) gehoor geven aan een NEN 7510-eis van een klant. Soms is ISO 27001 genoeg. 

Een voorbeeld van een geslaagde 27001- en 7510-certificering? Een klein it-bedrijf dat hardware, software, voip en clouddiensten levert aan een brede groep klanten, waaronder tandartsen, huisartsen en apotheken. Die klanten hebben NEN 7510-plicht, maar weinig it- en normkennis. Dus ondersteunt het it-bedrijf ze met hosting (daarmee formeel Verwerker onder de AVG), maar ook met remote support door beeld-overname. Het kan dus voorkomen (ondanks de maatregelen) dat een helpdesk-medewerker opeens geconfronteerd wordt met een medisch dossier bij remote support, omdat de arts vergat dat dossier te sluiten. Door de maatregelen van deze it-leverancier, die in principe niets met persoonlijke gezondheidsinformatie wil doen, kan de klant toch aan een aantal van z’n verplichtingen voldoen. 

 

Certificeren loont

Voor organisaties zelf, alsmede voor hun klanten, is het van cruciaal belang dat informatie op het juiste moment en op de juiste plek beschikbaar is, dat die informatie correct is en dat die informatie enkel toegankelijk is voor de personen voor wie die bestemd is. Wil je dit als organisatie goed inregelen? Denk dan eens aan een ISO 27001- of NEN 7510-certificering. Zo toon je aan dat je de risico’s goed in kaart hebt gebracht, dat je passende beheersmaatregelen hebt getroffen en dat er een proces van continue verbetering in gang is gezet.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-11-06T10:42:00.000Z Tobias op den Brouw
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.