NEN 7510 Certificering



Advies Opleidingen

NEN 7510 Certificering

NEN 7510 informatiebeveiliging in de zorg

NEN 7510 is de norm voor informatiebeveiliging in de zorg en valt onder het toezichtterrein van de Inspectie voor de Gezondheidszorg (IGZ). Bent u op zoek naar een Informatieveiligheidssysteem conform NEN7510 en zoekt u daarbij deskundige ondersteuning tot certificering? Nieuwhuis Consult levert u die graag. Hiervoor hanteren wij een praktisch model. In 4 fasen behaalt uw organisatie het NEN 7510 certificaat.

In december 2017 is de nieuwe versie NEN 7510:2017 uitgekomen. In deze nieuwe versie is er meer aandacht voor wet- en regelgeving rondom de nieuwe Algemene Verordening Gegevensbescherming (AVG) die in de hele EU van toepassing is vanaf mei 2018.

Voor wie is de NEN 7510?

De norm is ontwikkeld voor instellingen in de zorg. NEN 7510 geeft u handvatten voor het inrichten van adequate ICT-systemen. De NEN7510 dekt het hele gebied van informatiebeveiliging en blijft dus niet beperkt tot technische specificaties maar geeft ook richting aan de organisatie en het menselijk handelen.

Voordelen NEN 7510 certificering

De NEN 7510 biedt een aantal voordelen voor uw organisatie, zoals:

  • U leert uw beveiligingsrisico’s kennen waarop u vervolgens kunt inspelen.
  • U krijgt een praktisch kader om uw informatiebeveiliging in te richten volgens de wettelijke eisen rond het Elektronisch Patiënten Dossier (EPD).
  • Met de NEN7510 laat u aan zorgverzekeraars en patiënten zien dat gegevens van patiënten bij u in goede handen zijn.
  • De NEN 7510 helpt u het aantal beveiligingsincidenten te verminderen.
  • De NEN7510 is ingericht volgens de HLS-structuur, zodat deze makkelijk te integreren is met bijvoorbeeld de norm ISO 27001

Is de NEN 7510 certificering verplicht?

Informatiebeveiliging in de zorg wordt steeds belangrijker. Alle zorginstellingen in Nederland moeten aan de IGZ kunnen aantonen dat zij beschikken over de juiste informatiebeveiliging. IGZ zal bij het toetsen van zorginstellingen op informatiebeveiliging de NEN 7510 als leidraad nemen. De norm NEN7510 helpt de verantwoordelijken relevante maatregelen te bepalen, in te voeren en te beheersen.

Het landelijk communicatiepunt voor de zorg Vecozo eist van softwareleveranciers in de zorg dat zijn kunnen aantonen dat ze voldoen aan de NEN 7510. Dit kan door middel van de verkorte TPM verklaring (ook wel Third Party Memorandum of Derdenverklaring). Deze verkorte verklaring, uitgevoerd door een derde instantie, bevat de eindconclusie van de audit zonder details vrij te geven. Hiermee voldoet u vanuit het oogpunt van de zorgplicht aan de gestelde eisen, zonder dat alle details en bevindingen vrijgegeven worden.

De norm NEN 7510

De norm NEN 7510 (afgeleide van ISO 27001) is toegesneden op informatiebeveiliging binnen de gezondheidszorg. Hieronder wordt verstaan het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie ten behoeve van verantwoorde zorg voor patiënten. Naast het borgen van kwaliteit moeten de informatiebeveiligingsmaatregelen volgens de norm zo zijn ingericht dat ze zijn te controleren. De NEN7510 kan worden gezien als een kader waarbinnen iedere proceseigenaar relevant geachte informatie voor het proces kan specificeren inclusief bijbehorende maatregelen.

Met de nieuwe Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht wordt in de hele EU, worden de eisen aan informatiebeveiliging steeds strenger. De norm NEN7510 zal in december 2017 dan ook een nieuwe versie krijgen waarmee ingespeeld wordt op deze strengere eisen. Nieuwhuis Consult informeert u graag over wat deze nieuwe norm NEN 7510:2017 betekent voor uw organisatie.

Stappenplan NEN 7510 certificering

Nulmeting: waar staan we nu? Elk project start met een nulmeting. Dit geeft inzicht in de huidige status van informatiebeveiliging en wat nodig is om aan de eisen van NEN 7510 te voldoen. In de praktijk blijkt dat organisaties onbewust al veel elementen van de NEN7510 goed hebben geregeld.

Belangrijk effect van deze eerste fase is bewustwording van de noodzaak van informatiebeveiliging en het begrijpen welke maatregelen hiervoor nodig zijn.

Risico-analyse informatiebeveiliging De risico-analyse informatiebeveiliging is de basis van alle beheersmaatregelen en essentieel dat deze goed wordt uitgevoerd. Risico’s beoordelen op het niveau van vertrouwelijkheid, integriteit en beschikbaarheid. Doelstellingen bepalen om het risico terug te brengen tot een aanvaardbaar niveau. Criteria bepalen voor het accepteren van het risico. Risico’s evalueren. De risico-analyse wordt uitgevoerd conform ISO 31000 en ISO 27005. Deze normen geven richtlijnen om het risicomanagementproces goed te beschrijven en te borgen. Na deze fase is de organisatie zich bewust van de risico's en inzicht in prioriteiten van diverse beheersmaatregelen die nodig zijn.

ISMS opzetten Het ISMS voorziet in een pakket van beheersmaatregelen die uit de risico-analsye naar voren zijn gekomen. Het ontwerp wordt op maat gemaakt en bevat onder andere de volgende elementen: Fysieke beveiliging (bijv. sloten op deuren en kasten, brandbeveiliging, bezoekersregistratie) Beveiliging van apparatuur (bijv. periodiek onderhoud, hergebruik en vernietiging van apparatuur, omgang met usb/telefoon/tablets/laptop) Beveiliging van systemen (bijv. firewalls, toegangsbeveiliging, softwarebeveiligingsupdates) Beveiliging van gegevens (bijv. clear desk & clear screen, gebruikersrechten) Communicatie en medewerkersbewustzijn (bijv. introductie, beleid/reglement) Het resultaat is een systeem dat aansluit bij de huidige praktijk en risico's. In het systeem is de PDCA-cyclus geïntegreerd. Het handboek informatiebeveiliging kan desgewenst in digitaal voor alle medewerkers beschikbaar worden gemaakt.

Implementatie en training Het kwaliteitssysteem en de maatregelen worden geïmplementeerd door de organisatie zelf. Dit proces wordt door Nieuwhuis Consult begeleid. Om de implementatie te bespoedigen kan Nieuwhuis Consult trainingen verzorgen gericht op het vergroten van inzicht in informatiebeveiliging en bewustwording.

Verklaring van toepasselijkheid De conformiteitsverklaring, ook wel Verklaring van Toepasselijkheid genoemd, zal worden opgesteld door het management van uw bedrijf. De Verklaring is het vertrekpunt voor de uiteindelijke certificering en mede bedoeld voor externe communicatiedoeleinden.

Interne audit en verbeterproces Nadat het ISMS is ingericht en de maatregelen zijn geïmplementeerd wordt de PDCA-cyclus gecontinueerd door het uitvoeren van interne audits. Op basis van de interne audits kunnen aanpassingen en verbeteringen worden doorgevoerd. De resultaten van de interne audits vormen samen met het risicomanagement de input voor de managementreview.

Certificeringsaudit Nieuwhuis Consult organiseert de externe audit NEN 7510. Wij begeleiden de certificeringsaudit en bewaken dat deze goed verloopt. Resultaat is het NEN 7510 certificaat. Ook kan een verkorte TPM verklaring opgesteld worden, waarmee aan de eisen van Vecozo wordt voldaan.

Offerte aanvragen

Informatie aanvragen

Over het adviestraject NEN 7510 Certificering

"Bedankt voor je kundige advies, ondersteuning en prettige samenwerking in het traject dat we gehad hebben om tot de ISO13485:2016 certificering te komen."

Bert Raap

General Manager Prince Technologies

"Het was een leerzaam en leuk traject! Zowel in je adviezen als in de training weet je mijn aandacht goed vast te houden, mijn complimenten!"

Karin van Veen

EHS-coördinator Saint Gobain

"De praktische aanpak van het ISO 27001 traject was precies wat we nodig hadden."

Goran Grcic

CEO Graficom

"Nieuwhuis Consult was a great help for implementing our ISMS ; the consultant successfully managed to adapt the complex ISO 27001 requirements into something our company could easily work with. "

Cyril Mallet

CTO Platform 161

"Al meer dan 15 jaar is Nieuwhuis Consult onze betrouwbare partner op het gebied van veiligheid van ons materieel"

Remko Vriezema

Hoofd werkplaatsen Twente Milieu

Wij werken voor: