22 mei 2019
Nieuws

Succesvolle transitieaudit naar NEN 7510:2017

Onlangs werd bij Eshgro de transitieaudit NEN 7510:2011 – NEN 7510:2017 uitgevoerd. Daarbij is door de auditor getoetst of Eshgro aan het nieuwe control framework van NEN 7510:2017 voldoet. We hebben deze transitieaudit succesvol doorlopen, zonder op- of aanmerkingen van de auditor. In dit artikel legt onze Compliance Officer Maik van de Graaf je uit wat het verschil is tussen het oude en nieuwe control framework en licht hij toe wat de waarde van NEN 7510 is voor jou als klant.

Het doel van NEN 7510

NEN 7510 is een in Nederland ontwikkelde norm voor informatiebeveiliging in de zorg. Informatiebeveiliging in zijn algemeenheid is van groot belang, maar in de zorgsector, waar medische en patiëntgegevens worden verwerkt, is het des te belangrijker. Zo belangrijk zelfs, dat de wetgever in wet- en regelgeving het voldoen aan de inhoud van NEN 7510 verplicht heeft gesteld voor organisaties die onder de reikwijdte van deze regelgeving vallen.

NEN 7510 ziet toe op het handhaven van de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van persoonlijke gezondheidsinformatie. Van de in de norm beschreven beheersmaatregelen is bepaald dat deze geschikt zijn om de BIV van dit type informatie in de zorg te beschermen. Door het uitbrengen van NEN 7510 is een integraal kader ontstaan dat een minimumniveau van informatiebeveiliging omvat voor persoonlijke gezondheidsinformatie. Organisaties die deze informatie verwerken, moeten aan de inhoud van NEN 7510 voldoen.

Wat is een transitieaudit?

Een norm zoals NEN 7510 kan uit verschillende versies bestaan. Normen worden namelijk periodiek herzien om ervoor te zorgen dat ze up-to-date blijven en inspelen op actuele en toekomstige situaties. Dit alles met het oog op het handhaven van een adequaat niveau van informatiebeveiliging. Daarom is het belangrijk om gecertificeerd te blijven conform de laatste versie.

Tijdens een transitieaudit toetst een auditor de opzet en het bestaan van beleid binnen de organisatie ten opzichte van de verschillen tussen het bestaande en nieuwe control framework, met inachtneming van de scope. In het control framework zijn de te realiseren beheersdoelstellingen beschreven, evenals de te nemen beheersmaatregelen. Bij een succesvolle transitieaudit heeft de auditor vastgesteld dat een organisatie voldoet aan de nieuwe normonderdelen. De organisatie dient dan een nieuwe verklaring van toepasselijkheid op te stellen en de auditor verstrekt vervolgens een certificaat.

NEN 7510:2011 vs. NEN 7510:2017

Eshgro was ten tijde van de transitieaudit NEN 7510:2011 gecertificeerd voor haar publieke en private clouddiensten en de beheersorganisatie die daarvoor nodig is. Zoals de naam doet vermoeden, werd deze norm in 2011 uitgebracht en is het een herziene versie van eerdere varianten van de norm. Destijds is er bij het opstellen van de norm naar gestreefd om zo veel mogelijk aansluiting te zoeken bij ISO 27001 en ISO 27002. Zo is de indeling en nummering gelijk aan ISO 27002. Ondanks deze indeling en nummering was de structuur van de oude NEN 7510 norm niet gebaseerd op de nu gehanteerde High Level Structure (HLS).

High Level Structure houdt in dat op hoog niveau bepaalde onderdelen normoverstijgend zijn. Deze onderdelen kunnen bovendien op meerdere vlakken binnen de organisatie van toepassing zijn. Denk hierbij aan risicobeheersing, de jaarlijkse evaluatie van de norm door de directie en het implementeren van beleid binnen de gehele organisatie.

NEN 7510:2017 is de herziende versie van NEN 7510:2011. Deze norm past wel High Level Structure toe. Het voordeel hiervan is dat de norm compatibel wordt met andere managementnormen die de HLS volgen. Deze gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen een enkel managementsysteem uit te voeren dat voldoet aan de eisen van twee of meer managementsysteemnormen. Hierbij kan worden gedacht aan bijvoorbeeld de laatste versies van ISO 27001, ISO 9001, ISO 14001 en ISO 45001. Daarnaast is in deze nieuwe versie rekening gehouden met de Algemene Verordening Gegevensbescherming (AVG).

NEN 7510:2017 en de AVG

De AVG verplicht in artikel 24 dat organisaties passende maatregelen moeten nemen op organisatorisch en technisch vlak, om daarmee persoonsgegevens te beschermen. Hoe een organisatie dit doet, bepaalt de organisatie zelf, rekening houdend met de aard van de te verwerken gegevens. Dit geldt ook voor persoonlijke gezondheidsinformatie, een bijzondere en gevoelige categorie van persoonsgegevens.

Zoals gezegd, vindt de wetgever in Nederland het zo belangrijk dat persoonlijke gezondheidsinformatie conform NEN 7510 wordt verwerkt, dat zij dit verplicht heeft gesteld in wet- en regelgeving. Daarmee zegt de wetgever dat het informatiebeveiligingsniveau dat uit NEN 7510 voortkomt voldoende passend kan zijn voor de bescherming van bijzondere persoonsgegevens. Bij het voldoen aan NEN 7510, wordt daarom automatisch ook voldaan aan het vereiste uit artikel 24 van de AVG. Deze redenatie wordt ook door de Autoriteit Persoonsgegevens (AP) gevolgd, zo is af te leiden uit diverse door haar uitgebrachte richtlijnen.

Wil je meer weten over de compliance? Lees dan ons dossier.

Wat betekent dit voor jou?

Door te voldoen aan de laatste versie van NEN 7510 toont Eshgro aan dat de opzet en het bestaan van een passend gegevensbeschermingsbeleid voor persoonlijke gezondheidsinformatie in lijn is met de AVG en Nederlandse wet- en regelgeving. Als klant kun je er dus op vertrouwen dat jouw gegevens op een veilige en integere manier worden verwerkt, met inachtneming van een passend niveau van informatiebeveiliging. Uiteraard blijf je bij de uitbesteding van je IT-processen wettelijk zelf (eind)verantwoordelijk voor de verwerking van persoonsgegevens. Samenwerking met een serviceprovider die over de juiste certificaten en assurance rapportages beschikt, is dan wel zo geruststellend!

Wil je als bestaande klant het nieuwe NEN 7510:2017 certificaat en verklaring van toepasselijkheid inzien? Of wil je meer weten over dit onderwerp? Neem dan contact op met onze Compliance Officer Maik van de Graaf. Hij vertelt je graag meer.

Contact opnemen