NEN7510:2024, verschillen met ISO27001:2022
De norm NEN7510, of preciezer NEN 7510-1:2024 en NEN 7510-2:2024 is een norm gebaseerd op de Code voor Informatiebeveiliging. Het is de norm m.b.t. informatiebeveiliging voor de zorg en afgeleid van de norm ISO27001:2022. Inhoudelijk zijn er bij enkele maatregelen (controls) verschillen, dan wel aanvullingen. De norm NEN7510 kent dus 2 delen. Het 1e deel gaat over de PDCA (Plan-Do-Check-Act) cyclus (vergelijkbaar met ISO 27001:2022, hoofdstukken 4 - 10 en Annex A) en het 2e deel gaat uitgebreid over de beheersmaatregelen, controls. Het 1e deel van de NEN7510 is normgevend.
De NEN 7510 verschilt met de ISO 27001 door een aantal aanvullende zorgspecifieke beheersmaatregelen. (Voor inhoudelijke vragen verwijzen we graag naar onze collega's van Meta-audit). (Vraag hun QuickStart NEN7510:2024-document)
Om tijdens de fase 1 - audit van een certificerende instantie als BSI, DEKRA, DNVGL of TüV niet meteen tegen een tekortkoming aan te lopen, is het wijs vooraf te weten welke documentatie nodig is. En wat de verschillen zijn met de ISO27001. Met onderstaande tabel is een overzicht van de verplichte documenten. Praktisch om door te nemen. Beschouw het simpelweg als een checklist.
Let op: nu de NEN 7510 is veranderd (NEN7510:2024), is het oude certificaat (NEN7510:2017) geldig tot februari 2027 ! Onze collega's van Meta-audit.nl weten meer of bekijk ons ISO 27001:2022 control framework.
Voor wie is NEN7510:2024
De norm NEN7510 is, zoals gezegd, bestemd voor de zorg. Dit zijn zorgorganisaties, maar ook organisaties die persoonlijke gezondheidsinformatie verwerken. Tot de laatste groep behoren leveranciers die applicaties met persoonlijke gezondsheidsinformatie hosten, software leveranciers van PGO's - Persoonlijke GezondheidsOmgevingen, ISP - Internet Service Providers met een relatie tot zorgapplicaties etc.
Voorbeelden - vragen
Een voorbeeld van een ISMS - Information Security Management System genoemd of wel managementsysteem voor informatiebeveiliging is hier te vinden: demo ISMS NEN 7510. Voor inhoudelijke vragen raadplegen wij onze collega's van meta-audit.nl of vraag ze het zelf.
ISMS - Information Security Management System
De opzet van een ISMS (Information Security Management System) voor NEN 7510:2024 is gericht op het structureel borgen van informatiebeveiliging binnen zorgorganisaties of (IT-)organisaties die met zorgdata omgaan, waarbij beleid, processen en controles integraal samenkomen. Een effectief ISMS start met het vaststellen van de scope en context van de organisatie, zodat duidelijk is welke informatiestromen en systemen onder de norm vallen. Vervolgens wordt risicomanagement centraal gesteld, waarbij risico’s systematisch worden geïdentificeerd, geanalyseerd en behandeld volgens de eisen van NEN 7510.
Binnen het ISMS worden beheersmaatregelen vastgelegd in een samenhangend control framework, zodat aantoonbaar wordt voldaan aan de norm en tegelijkertijd praktische uitvoerbaarheid wordt gewaarborgd. Dit framework vertaalt de norm naar concrete acties en controles die direct toepasbaar zijn in de zorgpraktijk. Daarnaast omvat de opzet duidelijke rollen en verantwoordelijkheden, waardoor eigenaarschap van informatiebeveiliging binnen de organisatie wordt versterkt.
Een belangrijk onderdeel is het continu verbeteren via de Plan-Do-Check-Act-cyclus, waarmee organisaties structureel werken aan optimalisatie van hun beveiligingsniveau. Documentatie en bewijsvoering spelen hierin een sleutelrol, omdat zij de basis vormen voor audits en compliance-aantoonbaarheid. Zoals blijkt uit de vergelijking met ISO 27001, sluit NEN 7510:2024 inhoudelijk aan op internationale standaarden, maar legt het extra nadruk op zorgspecifieke risico’s en bescherming van patiëntgegevens.
Door deze gestructureerde opzet ontstaat een praktisch en beheersbaar systeem dat niet alleen voldoet aan wet- en regelgeving, maar ook waarde toevoegt aan de organisatie. Het ISMS maakt beveiliging meetbaar en stuurbaar, waardoor management beter onderbouwde beslissingen kan nemen. Bovendien zorgt het voor een efficiënte auditvoorbereiding en minder operationele verstoringen. Uiteindelijk vormt een goed ingericht ISMS de ruggengraat van betrouwbare en veilige zorgverlening, waarbij compliance en kwaliteit hand in hand gaan.
Eerst zien, bekijk dan bovenstaande demo.
Hieronder staat een overzicht (checklist) met een verwijzing naar het relevante norm-onderdeel.
| |
NEN 7510:2024 deel I |
| Gedocumenteerde informatie |
Onderdeel |
| - Scope van het ISMS |
4.3 |
| - Informatiebeveiligingsbeleid en doelen |
5.2, 6.2 |
| - Risico analyse, - behandeling en -methode |
6.1.2 |
| - Verklaring van toepasselijkheid |
6.1.3 d |
| - Risicobehandelplan |
6.1.3e, 6.2 |
| - Procedure gedocumenteerde informatie |
7.5.3 |
| - Definitie van taken, verantwoordelijkheden en bevoegdheden tav informatiebeveiliging |
A - 5.2, A - 6.2 |
| - Eisen mbt vertrouwelijkheid en non-disclosure agreements |
A - 5.2 |
| - Gebruik van bedrijfsmiddelen |
A - 5.9 |
| - Aanvaardbaar gebruik van bedrijfsmiddelen |
A - 5.10 |
| - Logisch toegangsbeleid |
A - 5.15 |
| - Fysieke beveiliging: zones, procedures beveiligde ruimten |
A - 7.1 |
| - Operationele procedures voor IT management |
A - 5.37 |
| - Procedure back-up and restore |
A - 8.13 |
| - Veilige systeemarchitectuur |
A - 8.27 |
| - Beleid informatiebeveiliging toeleveranciers |
A - 5.19 |
| - Incident management procedure |
A - 5.26 |
| - Business continuity procedures |
A - 5.29 |
| - Eisen mbt wet- en regelgeving |
A - 5.31 |
| |
|
| - Registraties van trainingen, skills, ervaring en kwalificaties |
7.2 |
| - Monitoring en meetresultaten |
9.1 |
| - Internal audit programma |
9.2 |
| - Resultaten van interne audits |
9.2 |
| - Resultaten van management review |
9.3 |
| - Resultaten van correctieve acties |
10.1 |
| - Contractvoorwaarden medewerkers mbt informatiebeveiliging, disciplinaire maatregelen |
A - 6.2 |
| - Logging van gebruikers activiteiten, uitzonderingen en security events |
A - 8.15 |