Inleiding

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. Deze norm is onderverdeeld in twee delen: NEN 7510-1 en NEN 7510-2. Hoewel beide delen bijdragen aan een robuust informatiebeveiligingssysteem, hebben ze verschillende doeleinden en inhoud. In dit artikel bespreken we de belangrijkste verschillen tussen NEN 7510-1 en NEN 7510-2 en hoe ze elkaar aanvullen.

NEN 7510-1: Managementsysteem voor informatiebeveiliging

NEN 7510-1 beschrijft de eisen voor een informatiebeveiligingsmanagementsysteem (ISMS) dat specifiek is afgestemd op de zorgsector. Het biedt een raamwerk voor het opzetten, implementeren, onderhouden en continu verbeteren van een ISMS. De belangrijkste aspecten van NEN 7510-1 zijn:

• Scope en Doel: Definieert het toepassingsgebied van de norm en de doelstellingen voor informatiebeveiliging binnen zorgorganisaties.
• Context van de Organisatie: Behandelt het begrijpen van de interne en externe factoren die van invloed zijn op de informatiebeveiliging.
• Leiderschap: Vereist betrokkenheid van het topmanagement en het vaststellen van een informatiebeveiligingsbeleid.
• Planning: Omvat risicobeoordeling en risicobehandeling, evenals het vaststellen van informatiebeveiligingsdoelstellingen.
• Ondersteuning: Beschrijft de middelen, competenties, bewustzijn en communicatie die nodig zijn voor een effectief ISMS.
• Operationele Beheersmaatregelen: Bevat de processen en procedures die nodig zijn om informatiebeveiligingsrisico’s te beheren.
• Evaluatie van de Prestaties: Omvat monitoring, meting, analyse en evaluatie van het ISMS, inclusief interne audits en managementbeoordelingen.
• Verbetering: Behandelt corrigerende maatregelen en continue verbetering van het ISMS.

NEN 7510-2: Code van Praktijk

NEN 7510-2 biedt een gedetailleerde set van best practices en richtlijnen voor de implementatie van de beveiligingsmaatregelen die zijn vastgesteld in NEN 7510-1. Dit deel is bedoeld om zorgorganisaties te helpen bij het daadwerkelijk toepassen van de principes en eisen uit NEN 7510-1. De belangrijkste aspecten van NEN 7510-2 zijn:

• Organisatorische Beheersmaatregelen: Bevat richtlijnen voor beleidsontwikkeling, rolverdeling, asset management en de beheersing van derde partijen.
• Menselijke Beheersmaatregelen: Richt zich op veiligheidsbewustzijn, training en het beheren van personeel gedurende hun dienstverband.
• Fysieke Beheersmaatregelen: Beschrijft maatregelen voor fysieke toegangscontrole en beveiliging van de fysieke omgeving.
• Technische Beheersmaatregelen: Omvat richtlijnen voor toegangsbeheer, cryptografie, systeemontwikkeling en het beheer van beveiligingsincidenten.

Belangrijkste Verschillen tussen NEN 7510-1 en NEN 7510-2

Hoewel NEN 7510-1 en NEN 7510-2 nauw met elkaar verbonden zijn, zijn er enkele belangrijke verschillen die zorgorganisaties moeten begrijpen:

Doelstelling

NEN 7510-1 richt zich op het opzetten en beheren van een ISMS en biedt een raamwerk voor risicobeoordeling en managementprocessen. Het legt de nadruk op het ‘wat’ van informatiebeveiliging.

NEN 7510-2 biedt gedetailleerde richtlijnen en best practices voor de praktische implementatie van de beveiligingsmaatregelen. Het richt zich op het ‘hoe’ van informatiebeveiliging.

Detailniveau

NEN 7510-1 beschrijft de eisen op een hoger niveau en biedt een strategisch raamwerk voor informatiebeveiliging. Het helpt organisaties om een systematische aanpak te hanteren voor informatiebeveiliging.

NEN 7510-2 gaat dieper in op specifieke maatregelen en biedt gedetailleerde adviezen voor de implementatie ervan. Het fungeert als een handleiding voor de praktische uitvoering van de maatregelen die in NEN 7510-1 zijn vastgesteld.

Certificeerbaarheid

NEN 7510-1 kan worden gebruikt als basis voor certificering. Zorgorganisaties kunnen aantonen dat zij voldoen aan de eisen van NEN 7510-1 door middel van een formeel certificeringsproces.

NEN 7510-2 is geen certificeerbare norm op zich, maar ondersteunt de implementatie van NEN 7510-1. Het biedt richtlijnen en best practices die organisaties kunnen volgen om te voldoen aan de eisen van NEN 7510-1.

Conclusie

NEN 7510-1 en NEN 7510-2 zijn beide cruciaal voor het waarborgen van informatiebeveiliging in de Nederlandse zorgsector. NEN 7510-1 biedt een strategisch raamwerk voor het opzetten en beheren van een ISMS, terwijl NEN 7510-2 gedetailleerde richtlijnen en best practices biedt voor de praktische implementatie van beveiligingsmaatregelen. Samen helpen deze normen zorgorganisaties om hun informatiebeveiliging systematisch en effectief te beheren, risico’s te verminderen en te voldoen aan wettelijke en regelgevende eisen.