Verschil NEN 7510 ISO 27001Informatiebeveiliging is een veelbesproken onderwerp en niet voor niets. Met ingang van de Algemene verordening persoonsgegevens (ofwel GDPR) in Europa zijn de regels rondom (persoonsgebonden) gegevensbescherming aangescherpt. Als organisatie betekent dit, dat u uw managementsysteem voor informatiebeveiliging goed op orde dient te hebben. U kunt dit aantonen met het NEN-EN-ISO/IEC 27001:2017 certificaat. Als zorgorganisatie of andere beheerder van persoonlijke gezondheidsinformatie kan dat (ook) met de NEN 7510:2017. Maar wat is nu precies het verschil tussen deze twee normen?

ISO 27001 is de internationale, wereldwijd erkende, norm op het gebied van informatiebeveiliging.

De NEN 7510 is een nationale (dus Nederlandse) norm, specifiek toegespitst op organisaties die te maken hebben met persoonlijke gezondheidsinformatie (dus zorginstellingen en hun dienstverleners). De beheersmaatregelen die de NEN 7510 beschrijft (en in sommige gevallen verplicht) zijn geschreven als aanvulling op ISO 27001.

Krijg grip op uw kwetsbare gegevens in de zorg - Download het NEN 7510  stappenplan

ISO 27001 en ISO 27002

ISO 27001 helpt u bij het opstellen van een managementsysteem voor informatiebeveiliging. Het certificaat geeft uw klanten zekerheid dat u belang hecht aan privacy en zorgvuldig met (persoonlijke) gegevens omspringt. Een basis van het managementsysteem is een analyse van de risico’s die uw organisatie loopt met betrekking tot informatie. Om die risico’s te beheersen zijn er maatregelen bedacht. Die zijn beschreven in ISO 27002 en opgenomen als bijlage in ISO 27001.

De in totaal 114 beheersmaatregelen zijn onderverdeeld naar onderwerp (bijvoorbeeld toegang, communicatie, ontwikkeling) in 14 hoofdstukken. De eis die aan uw managementsysteem gesteld wordt, is dat de beheersmaatregelen in overeenstemming zijn met de geïdentificeerde risico’s. Wilt u het ISO 27001 certificaat behalen? Dan dient u aan deze eis te voldoen. Welke beheersmaatregelen u neemt (en waarom) legt u vast in de zogenaamde ‘verklaring van toepasselijkheid’, die onderdeel uitmaakt van uw certificaat.

Het ISO 27001 certificaat geeft uw klanten zekerheid dat u belang hecht aan privacy en zorgvuldig met (persoonlijke) gegevens omspringt.

NEN 7510

De structuur van de NEN 7510 is vrijwel identiek aan die van ISO 27001. De NEN 7510 norm bestaat eigenlijk uit twee delen; de 7510-1 en de 7510-2. De eerste is vergelijkbaar met ISO 27001 (en certificeerbaar), de tweede vergelijkbaar met ISO 27002 (niet certificeerbaar en is als het ware een verdiepingsslag). Het pakket van beheersmaatregelen om zorgvuldig om te gaan met patiëntgegevens is daarbij nog verder uitgebreid, met name op het gebied van toegang (wie kan/mag wat zien en bewerken) en logging (hoe houdt u daar toezicht op).

Het gaat hierbij niet alleen om de gegevens die binnen een zorginstelling worden verwerkt, maar ook om informatie die tussen zorginstellingen onderling wordt uitgewisseld (bijvoorbeeld tussen huisarts en ziekenhuis) of tussen zorginstelling en toeleverancier (bijvoorbeeld de drukker die een mailing verzorgt naar cliënten of de IT-leverancier die het patiënten-gegevenssysteem levert en onderhoud). Kortom elke organisatie die in aanraking kan komen met persoonlijke gezondheidsinformatie.

De normen naast elkaar

Houden we de normen naast elkaar dan zien we dus dat NEN 7510 in feite een uitbreiding vormt op de eisen en beheersmaatregelen uit de ISO 27001/27002 normen, uiteraard omdat de zorg vaak te maken heeft met essentiële persoonlijke- en medische gegevens die direct invloed hebben op mensenlevens.

Concreet betekent dit het volgende:

  • De norm zelf (7 hoofdstukken, genummerd 4 t/m 10) van de NEN 7510-1 is volledig identiek aan de ISO 27001;
  • In de Bijlage A (ook wel Annex A genoemd) zijn er voor de 114 beheersmaatregelen van ISO 27001, er voor de NEN 7510 33 met een extra specificatie voor de zorg (soms met meer dan één maatregel),
  • NEN 7510 heeft daarnaast nog 3 extra beheersmaatregelen.

In de NEN 7510 norm zijn de onderdelen die verschillen van de ISO 27001 norm duidelijk aangegeven. U hoeft dus alleen maar in de NEN 7510 te kijken om deze verschillen te vinden.

Welke norm kiest u?

Maar waar gaat u voor? Wanneer u een zorgorganisatie bent, dan kiest u eigenlijk automatisch voor NEN 7510; omdat dat van u wordt verwacht. Wilt u als zorgorganisatie ook internationaal of buiten de zorgbranche aantonen dat u zorgvuldig omgaat met informatie, dan kunt u ervoor kiezen om naast de NEN 7510 ook voor ISO 27001 te gaan.

Wanneer u geen zorgorganisatie bent, dan ligt ISO 27001 het meest voor de hand, tenzij… Het kan zijn dat één van uw klanten een zorgstelling is of u zelf met zorginformatie in aanraking komt. Voorbeelden hiervan zijn zorgserviceproviders, gemeenten en toeleveranciers van zorginstellingen, zoals hostingproviders. In dat geval bent u een ‘andere beheerder van persoonlijke gezondheidsinformatie’ (zo noemt de norm dat). In dat geval kunt u (ook) kiezen voor NEN 7510. Hieraan zijn echter wel enkele voorwaarden verbonden, namelijk:

  • U moet in staat zijn aan te tonen dat u interfaces heeft met zorginstellingen, met andere woorden: hoe komt u in aanraking met persoonlijke gezondheidsinformatie.
  • De beheersmaatregelen met betrekking tot deze interfaces moeten in de ‘verklaring van toepasselijkheid’ worden opgenomen.
  • De scope van certificatie moet duidelijk maken welke activiteiten, producten of diensten zijn uitbesteed die betrekking hebben op het beheer van persoonlijke gezondheidsinformatie, waarbij de van toepassing zijnde beheersmaatregelen uit de ‘verklaring van toepasselijkheid’ moeten worden gespecificeerd.

Wanneer u een zorgorganisatie bent, dan kiest u eigenlijk automatisch voor NEN 7510; omdat dat van u wordt verwacht.

Als u dus wilt aantonen dat u goed omgaat met de gegevens van patiënten en u uw informatiebeveiliging voor de zorg structureel wilt aanpakken en implementeren in uw organisatie, dan biedt de NEN 7510 norm uitkomst. Dat betekent gelukkig niet dat dit heel veel extra tijd kost. Wanneer u dit wilt doen, kost het u ongeveer één extra auditdag - bovenop de ISO 27001 auditdagen – om uw NEN 7510 certificaat te behalen. Die dag wordt met name besteed aan de beoordeling van de genoemde 33 + 3 zorg specifieke beheersmaatregelen. Wanneer u het NEN 7510 certificaat los van ISO 27001 wilt behalen, dan zijn de kosten ongeveer gelijk aan de kosten voor ISO 27001.

Organiseer uw informatiebeveiliging effectief, download het NEN 7510 of ISO 27001 stappenplan

Bent u verantwoordelijk voor een optimale informatiebeveiliging, maar vindt u het lastig om te bepalen wat u moet doen en in welke volgorde? En zoekt u naar de juiste balans tussen technische kennis, zorgen voor acceptatie en adoptie bij medewerkers en ook een managementsysteem opzetten? Onze experts ontwikkelden een praktisch NEN 7510 stappenplan en een ISO 27001 Stappenplan om u stap voor stap te helpen uw doel te bereiken.

Download hier het NEN7510 stappenplan: 

New Call-to-action

Download hier het ISO 27001 stappenplan:

New Call-to-action

Onderwerpen:

Alle onderwerpen Certificeren ISO 27001 nen 7510

mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland