NEN 7510
In dit artikel
Wat is NEN 7510?
NEN 7510 is een Nederlandse norm voor informatiebeveiliging binnen de gezondheidszorg. De norm is gebaseerd op de internationale ISO/IEC 27001-standaard voor informatiebeveiliging maar is aangepast en uitgebreid om de beveiligingseisen zo goed mogelijk aan te sluiten op de gezondheidszorgsector in Nederland.
Is de NEN 7510 verplicht?
Zorginstellingen verwerken dagelijks de gevoelige persoonsgegevens van hun cliënten en patiënten en een datalek kan dan enorme impact hebben. Daarom is de NEN 7510 verplicht voor zorgaanbieders; de toezichthouder IGJ (Inspectie Gezondheidszorg en Jeugd) eist dat ze kunnen aantonen dat ze een managementsysteem hebben voor informatiebeveiliging dat voldoet aan deze beveiligingsnorm. Als onderdeel ervan moeten ze ook een continuïteitsplan hebben dat regelmatig wordt getest. Bovendien geldt deze NEN 7510 verplichting niet alleen voor zorginstellingen zoals ziekenhuizen, huisartspraktijken, tandartspraktijken, apotheken, enzovoort. Ook partijen die in opdracht van zulke instellingen medische gegevens beheren – zoals Software-as-a-Service aanbieders – moeten compliant zijn met NEN 7510. De meest transparante en professionele manier om dit aan te tonen, is certificatie. We leggen later in dit artikel uit hoe je deze certificatie kunt voorbereiden.
Wat houdt de NEN 7510 in?
Zoals aangegeven is de NEN 7510 gebaseerd op de ISO/IEC 27001-standaard. ISO 27001 helpt organisaties bij het opzetten van een managementsysteem voor informatiebeveiliging, inclusief de noodzakelijke beheersmaatregelen. Zo’n systeem noemen we ook wel een Information Security Management System (ISMS).
NEN 7510 is vergelijkbaar met ISO 27001 maar dan speciaal voor zorgorganisaties. Daarvoor vult NEN 7510 de generieke ISO 27001 richtlijnen aan met eisen die specifiek zijn bedoeld voor zorginstellingen en medische gegevens. Met zulke zorg-specifieke beheersmaatregelen kunnen we een zorgvuldige omgang met patiëntgegevens garanderen. NEN 7510 geeft richtlijnen voor een veilige toegang tot die gegevens, veilige uitwisseling tussen zorgverleners en een goede logging van alle dataverwerkingen.
Een voorbeeld van zo’n zorg-specifieke beheersmaatregel: In ISO 27001 vind je een algemene beheersmaatregel die bepaalt dat medewerkers aan het einde van hun dienstverband gebruikte bedrijfsmiddelen (zoals laptops) weer moeten inleveren. NEN 7510 vult dit aan met extra regels om te garanderen dat alle persoonlijke gezondheidsinformatie op apparaten altijd worden gewist en dat ook fysieke documenten weer worden ingeleverd.
Informatiebeveiligingsbeheer en beheersmaatregelen
Met NEN 7510 kun je je informatiebeveiliging op twee niveaus implementeren:
- Organisatie en processen rondom informatiebeveiliging: Risicomanagement staat bij je informatiebeveiliging centraal. Aan de hand van een beveiligingsrisico analyse bepaal je welke risico’s in een organisatie van toepassing zijn. Vervolgens bepaal je welke risico’s ook echt moeten worden opgelost en welke restrisico’s acceptabel zijn. Ook moet je een zogeheten Plan-Do-Check-Act cyclus (PDCA) opzetten om de risicoanalyse regelmatig te beoordelen en te kijken of nieuwe of aangepaste beheersmaatregelen nodig zijn.
- Gedetailleerde beheersmaatregelen: In NEN 7510 vind je een lijst met zo’n 120 beheersmaatregelen (In het Engels ‘controls’). iedere zorginstelling moet aan de hand van de eigen risicoanalyse bepalen welke beheersmaatregelen moeten worden geïmplementeerd om de beveiligingsrisico’s goed te mitigeren en zo te voldoen aan de standaard.
NEN 7510-1 en NEN 7510-2
Tot nu toe hebben het over de NEN 7510 standaard maar feitelijk bestaat de standaard uit twee delen, NEN 7510-1 en NEN 7510-2:
- NEN 7510-1 is normatief: Het geeft de daadwerkelijke norm waaraan je als zorginstelling compliant moet zijn en gecertificeerd kan worden. De hoofdtekst van NEN 7510-1 beschrijft alle organisatorische en procesmatige zaken rondom je informatiebeveiliging. Daarnaast is er een bijlage A met een tabel met alle beschikbare beheersmaatregelen waar je – afhankelijk van de aanwezige risico’s – gebruik van moet maken.
- NEN 7510-2 is informatief: dit document geeft extra verdiepingsstof die je helpt de noodzakelijke maatregelen uit te werken en ze te implementeren. In NEN 7510-2 vind je dezelfde maatregelen als in de bijlage A van NEN 7510-1, maar NEN 7510-2 geeft per maatregel extra detailinformatie over hoe je die maatregel kan implementeren. NEN 7510-1 beschrijft dus wat er moet gebeuren, NEN 7510-2 helpt je hoe je dat kan doen.
Ook hierin is de opzet van NEN 7510 en ISO 27001 vergelijkbaar. ISO 27001 geeft de norm waarvoor je je kunt certificeren, inclusief een tabel met beheersmaatregelen. ISO 27002 geeft de bijbehorende verdiepingsstof.
Certificering NEN 7510
Hoe kun je je als organisatie voorbereiden op je NEN 7510 certificatie? Handig is dat de genoemde risico-gebaseerde aanpak je enorm helpt bij je certificatie. Omdat het traject begint met het in kaart brengen van de in jouw organisatie relevante risico’s, weet je niet alleen met welke beheersmaatregelen je aan de slag moet, dit zijn ook de maatregelen waar een auditor bij de certificatie op zal focussen. Een stappenplan kan er als volgt uitzien:
- Initiatiefase: Je begint met je NEN 7510 download en bouwt kennis op van de standaard en de huidige status van de informatiebeveiliging. Informeer en betrek ook het management en stakeholders. Stel een informatiebeleid op en laat dit goedkeuren door het management. Zet de organisatorische kaders op voor de vervolgstappen, zorg voor de funding (inclusief de NEN 7510 certificering kosten) en de bemensing van je ISMS-project.
- NEN 7510 risico analyse: Bepaal een methode om risico’s te inventariseren en te beoordelen. Aan de hand hiervan ga je structureel alle beveiligingsrisico’s identificeren, analyseren en beoordelen. Vervolgens bepaal je welke relevant zijn en opgelost moeten worden en welke acceptabel zijn als restrisico.
- NEN 7510 actieplan: Maak aan de hand van de risicoanalyse een plan voor de implementatie van de vereiste beheersmaatregelen en aanpassingen. Welke specifieke beheersmaatregelen in jouw organisatie van toepassing zijn, leg je vast in een ‘Verklaring van toepasselijkheid NEN 7510’ die ook gebruikt zal worden bij de NEN 7510 certificatie. Bij de implementatie van beheersmaatregelen gaat het niet alleen om software- en procesaanpassingen, maar ook om documentatie, training en bewustwording van medewerkers.
- Implementeer de beveiligingsmaatregelen: Dit is de uitvoering van het NEN 7510 implementatieplan dat je hiervoor hebt opgesteld. Je implementeert alle vereiste technische, organisatorische en procedurele maatregelen. Zo bescherm je patiëntgegevens en zorg je voor toegangscontrole, encryptie, incidentresponse plannen, bewuste medewerkers etc.
- Interne Audits: Plan interne NEN 7510 audits om het effect van de geïmplementeerde maatregelen te beoordelen en zo nodig zaken aan te passen. Volg hiervoor een gestructureerde audit-aanpak om de betrokken medewerkers goed voor te bereiden op de uiteindelijke externe audit voor de certificering.
- Voorbereiding NEN 7510 certificering: Selecteer tijdig een geaccrediteerde certificeringsinstantie en zorg voor goede afspraken zodat je weet waarop je voorbereid moet zijn. Zorg dat alle documentatie beschikbaar is en dat alle processen en procedures operationeel zijn. Brief de mogelijk geïnterviewde managers en medewerkers.
- Externe Audit: Plan met de door jou geselecteerde geaccrediteerde certificeringsinstantie de externe audit in. Bij deze audit zal de certificeringsinstantie beoordelen of jouw organisatie voldoet aan de vereisten van NEN 7510. Zo’n audit is veelal een combinatie van het beoordelen van de documentatie en interviews met verantwoordelijke managers en uitvoerende medewerkers.
- Correctieve maatregel en NEN 7510 certificaat: Op basis van de externe audit zijn soms nog correctieve maatregelen nodig. Zodra die gemaakt zijn en afgestemd met de certificerende partij, kan normaliter het NEN 7510-certificaat worden uitgereikt inclusief de ‘Verklaring van toepasselijkheid NEN 7510’.
- Onderhoud en continue verbetering: Als onderdeel van je NEN 7510 ISMS heb je ook een PDCA cyclus (Plan-Do-Check-Act) geïmplementeerd. Zo zorg je voor voortdurende monitoring, evaluatie en verbetering van het ISMS en blijf je dus voldoen aan de NEN 7510-norm.
NEN 7510 checklist voor IAM functies
Bij het opzetten van een NEN 7510 gebaseerd Information Security Management System zul je bij iedere beheersmaatregel nagaan of deze voor jou relevant is en geïmplementeerd moet worden. Bij een aanzienlijk aantal van die maatregelen speelt Identity en Access Management (IAM) tegenwoordig een rol. Men wil bijvoorbeeld op het niveau van individuele medewerkers – en zoveel mogelijk aan de hand van iemands functie – bepalen tot welke applicaties en data iemand toegang moet krijgen. Ook wil je toegangsaanvragen door gebruikers en andere accountprocessen op een gecontroleerde manier stroomlijnen en afhankelijk van iemands profiel en gebruikerscontext zo nodig Multi-Factor Authenticatie toepassen. Last but not least wil je alle individuele beheerhandelingen en inlogpogingen automatisch loggen voor eventuele audit trails.
Veel beveiligingsprofessionals analyseren dan ook hun bestaande IAM oplossing op de geschiktheid ervan voor hun NEN 7510 plannen. Als hulpmiddel daarvoor heeft Tools4ever een whitepaper (NEN 7510 en de rol van Identity Management) gemaakt. Daarin vind je een uitgebreide inleiding in deze zorgnorm en gaan we dieper in op de rol van Identity Management in de informatiebeveiliging in zorginstellingen. Een handig gereedschap daarbij is ook onze NEN 7510 checklist. Daarin wordt per NEN 7510 beheersmaatregel beschreven óf IAM functionaliteit hiervoor nodig is en hoe een modern IAM oplossing de beveiligingseisen zo goed mogelijk kan ondersteunen. We beschrijven dit in de checklist aan de hand van ons eigen HelloID platform.
NEN 7510 is een Nederlandse informatiebeveiligingsstandaard voor medische instellingen zoals ziekenhuizen, huisartspraktijken en tandartspraktijken. NEN 7510 geeft regels zodat alle gevoelige patiëntinformatie veilig wordt opgeslagen en verwerkt, ook tussen zorgverleners.
Aanvullend op de algemene NEN 7510 norm voor informatiebeveiliging in zorginstellingen, telt deze normenreeks nog specifieke andere standaarden. Voorbeelden zijn NEN 7512 (elektronische gegevensverwerking) en NEN 7513 (loggen van activiteiten). De serie als geheel wordt soms aangeduid met NEN 751x.
ISO 27001 is een algemene, veelgebruikte en internationale standaard voor het opzetten van een beheersysteem voor informatiebeveiliging. NEN 7510 gebruikt dezelfde opzet, maar kan worden gebruikt om een informatiebeveiligingsbeheer systeem op te zetten binnen de gezondheidszorg. NEN 7510 is op hoofdlijnen dus vergelijkbaar met ISO 27001, maar met specifiekere eisen rondom medische systemen en gegevens.
De certificering is niet verplicht, maar zorginstellingen zijn wel verplicht om aan te tonen dat hun informatiebeveiliging voldoet aan de NEN 7510 norm. Een structurele en transparante manier om dat te doen is via certificering. Zowel de Inspectie voor Gezondheidszorg (IGZ), patiënten, zorgverzekeraars en partners weten dan in één oogopslag dat men voldoet aan alle eisen.
NEN 7510 bestaat uit twee delen, NEN 7510-1 en NEN 7510-2. NEN 7510-1 bevat bovendien als bijlage een tabel (A1) met beheersmaatregelen. De hoofdtekst van NEN 7510-1 en die tabel A1 vormen het normatieve deel van NEN 7510 waartegen je je kunt certificeren. NEN 7510-2 is meer informatief. Daarom verwijst men soms specifiek naar NEN 7510-1+A1.