NEN 7510 audit

Een audit is een systematisch en onafhankelijk onderzoek waarmee wordt vastgesteld of processen, systemen of organisaties voldoen aan vastgestelde normen en eisen. Binnen de zorgsector is een NEN 7510 audit specifiek gericht op het beoordelen van informatiebeveiliging van medische en patiëntgerelateerde gegevens. Tijdens zo’n audit wordt onderzocht of de organisatie voldoet aan de eisen van de NEN 7510-norm, die gebaseerd is op ISO 27001, maar toegespitst op de zorg. De auditor bekijkt daarbij niet alleen documentatie, maar toetst ook in de praktijk of beleid en maatregelen effectief worden toegepast. Een NEN 7510 audit richt zich op thema’s als toegangsbeveiliging, bewustwording van medewerkers en de continuïteit van zorgsystemen. Het doel is om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen. De resultaten van de audit geven inzicht in risico’s en verbeterpunten binnen de organisatie. Vaak vormt de NEN 7510 audit een verplicht onderdeel van certificering of naleving van wettelijke eisen. Een positieve uitkomst toont aan dat een zorginstelling zorgvuldig en verantwoord met gevoelige informatie omgaat. Daarmee draagt de audit bij aan vertrouwen van patiënten, partners en toezichthouders.

NEN 7510 audit raamwerk

Bij NEN 7510 (en ook ISO 27001) is het referentiekader erg uitgebreid. Er is dan al gauw sprake van een raamwerk, een overzicht van alle relevante beheersmaatregelen.
De auditor die de audit uitvoert, dient zich er van te vergewissen dat alle relevante beheersmaatregelen in het raamwerk worden beoordeeld. Op basis van een risico-inschatting kan een audit frequentie worden vastgesteld, maar gedurende de gehele auditperiode moeten alle beheersmaatregelen zijn beoordeeld.

Het geeft veel overzicht als het raamwerk de volgende processtappen aangeeft:

1. In voorbereiding
   Op basis van een eerder opgesteld auditprogramma wordt voor de specifieke audit een agenda opgesteld. Wat komt aan bod en wat niet. Het managementsysteem of een selectie van de beheersmaatregelen worden doorgenomen en er wordt bekeken wat de resultaten waren van de vorige audits. Zijn alle verbeteringen effectief geïmplementeerd?
    
2. In uitvoering
   Tijdens de audit onderzoekt de auditor of de organisatie of het proces aan de eisen van een norm voldoet op basis van bewijs. De auditor verzamelt hiervoor informatie zoals documenten en registraties en beoordeelt operationele (monitoring)systemen. Daarnaast kan informatie worden verkregen door waarnemingen van de auditor en interviews met werknemers. De auditor controleert en beoordeelt de informatie. Kan worden aangetoond dat de auditee zegt wat hij doet, en dat hij doet wat je zegt?
    
3. Afgerond
   Alle bevindingen, afwijkingen van de norm of verbetersuggesties, worden verzameld en vastgelegd in een auditrapport. Besproken onderwerpen, aandachtspunten en tekortkomingen zijn hierin beschreven en deze worden besproken met de auditee. Ook worden corrigerende maatregelen vastgelegd. Over de feiten mag geen onduidelijkheid zijn. De auditor moet de verbeterplannen accorderen.
    
4. Verbeterplan nodig
   Als er in het auditverslag corrigerende maatregelen zijn voorgesteld, dient de auditee een verbeterplan op te stellen en later te implementeren. In een volgende audit, bijvoorbeeld een herhalingsaudit, kan dan worden beoordeeld of deze corrigerende maatregelen effectief zijn doorgevoerd.

Een heel specifiek proces dus. Voor de inhoudelijke kant steunen we daarom op onze business partners van meta-audit.nl. 

NEN 7510 audit tooling

Aan de IT-kant gaan ontwikkelingen snel. Zo is met goede audit tooling een NEN 7510 audit praktisch en efficiënt uit te voeren.
Bekijk eens dit overzicht van 'standaard' functionaliteiten van een digitaal managementsysteem, ingericht voor audits.

In onderstaande korte presentatie wordt een voorbeeld besproken van een audit tool die de volledige auditcyclus volgt. Het is een onderdeel van het managementsysteem platform van Metaware.

,