NEN75102024 verschillen

NEN7510:2024 verschillen 


NEN 7510:2024 is de vernieuwde Nederlandse norm voor informatiebeveiliging in de zorgsector. Deze norm richt zich op het beschermen van medische gegevens en voldoet aan de eisen van de AVG. NEN7510:2024 is gebaseerd op ISO27001:2022, maar bevat aanvullende eisen die specifiek gelden voor de zorg. Ten opzichte van NEN7510:2017 zijn er in NEN7510:2024 verschillen, zoals een gewijzigde structuur en meer focus op risicomanagement en continue verbetering. Ook zijn de beheersmaatregelen (controls) geactualiseerd en sluit de PDCA-cyclus beter aan op de internationale ISO-norm. In vergelijking met ISO27001:2022 zijn er in NEN7510:2024 verschillen, vooral op het gebied van zorgspecifieke processen en patiëntveiligheid. De extra zorgmaatregelen zijn noodzakelijk vanwege de bijzondere aard van medische gegevens. De NEN7510:2024 verschillen zorgen ervoor dat zorgorganisaties adequaat kunnen inspelen op nieuwe dreigingen en wetgeving. Zorginstellingen moeten hun beleid en procedures actualiseren om te voldoen aan de eisen van deze nieuwe norm. Zo blijft de bescherming van gevoelige patiëntinformatie gewaarborgd.

Tip: vraag onze collega's van Meta-audit naar het QuickStart NEN 7510:2024 handleiding
 

Voor wie is NEN7510

De norm NEN7510 is, zoals gezegd, bestemd voor de zorg. Dit zijn zorgorganisaties, maar ook organisaties die persoonlijke gezondheidsinformatie verwerken. Tot de laatste groep behoren leveranciers die applicaties met persoonlijke gezondsheidsinformatie hosten, software leveranciers van PGO's - Persoonlijke GezondheidsOmgevingen, ISP - Internet Service Providers met een relatie tot zorgapplicaties etc. 

ISMS - Information Security Management System

De opzet van een ISMS voor NEN 7510 is gericht op het creëren van een samenhangend en aantoonbaar systeem waarmee zorgorganisaties informatiebeveiliging structureel beheersen. Het fundament begint bij het bepalen van de scope en context, zodat duidelijk is welke processen, systemen en patiëntgegevens onder het ISMS vallen. Vervolgens staat risicomanagement centraal, waarbij risico’s rondom vertrouwelijkheid, integriteit en beschikbaarheid systematisch worden beoordeeld en behandeld.

Een essentieel onderdeel van deze opzet is het gebruik van een control framework, waarmee de eisen uit NEN 7510 worden vertaald naar concrete, beheersbare controls. Dit framework maakt het mogelijk om maatregelen uniform te implementeren, te monitoren en aantoonbaar te maken richting auditors. Hierdoor ontstaat niet alleen compliance, maar ook praktische houvast voor de dagelijkse operatie.

Daarnaast omvat het ISMS duidelijke beleidsdocumentatie en procedures, waarmee richting wordt gegeven aan medewerkers en management. Rollen en verantwoordelijkheden worden expliciet vastgelegd, zodat eigenaarschap van informatiebeveiliging geborgd is binnen de organisatie. Zoals benadrukt in de verschillen rondom NEN 7510:2024, ligt er een sterkere nadruk op aantoonbaarheid en continue verbetering ten opzichte van eerdere versies.

De Plan-Do-Check-Act-cyclus vormt de kern van het ISMS, waardoor organisaties continu sturen op optimalisatie en risicoreductie. Monitoring, interne audits en managementreviews zorgen ervoor dat het systeem actueel en effectief blijft. Bovendien faciliteert deze gestructureerde aanpak een efficiënte auditvoorbereiding en minimaliseert het verrassingen tijdens externe toetsing.

Door het combineren van een robuust ISMS met een praktisch control framework ontstaat een schaalbare en toekomstbestendige aanpak van informatiebeveiliging. Organisaties krijgen real-time inzicht in hun compliance-status en kunnen sneller bijsturen waar nodig. Dit verhoogt niet alleen de veiligheid van patiëntgegevens, maar versterkt ook het vertrouwen van ketenpartners en toezichthouders. Uiteindelijk positioneert een goed ingericht ISMS organisaties als professioneel, betrouwbaar en compliant binnen de zorgsector.


 

ISMS control framework

Als voorbeeld is een ISMS -Information Security Management System- control framework uitgewerkt, gericht op de ISO 27001, Annex A maar uit te breiden tot NEN 7510. Een set van 95 beheersmaatregelen gericht op informatiebeveiliging, indien van toepassing.
Binnen het managementsysteem platform is het ISMS control framework een onderdeel. Periodiek wordt hier vastgelegd wat de toetsingsresultaten van de effectiviteitscontroles van de betreffende beheersmaatregelen (controls) zijn. Groot voordeel is dat er directe links met het beschreven managementsysteem en de verschillende kwaliteitsregistraties of KPI-metingen zijn.
 

 

NEN7510:2024
 

NEN7510:2024

NEN 7510:2024 verschillen versus ISO 27001:2022

Hieronder staat een overzicht (checklist) van de verschillen, aandachtspunten dan wel uitbreidingen NEN7510:2024 deel II versus ISO27001:2022

  NEN 7510:2024 deel II
Beheersmaatregelen
 		 Onderdeel
 
- Organisaties moeten beschikken over een schriftelijk informatiebeveiligingsbeleid, goedgekeurd door hoogste management en minimaal 1x per jaar of na een ernstig incident II - 5.1
- Tenminste één persoon moet verantwoordelijk zijn voor informatiebeveiliging II - 5.2
- Taken en verantwoordelijkheden moeten worden gescheiden, indien haalbaar II - 5.3

- Ook informatiestromen en interfaces moeten worden geïnventariseerd, intern en extern

 II - 5.9
- Beleid voor retourneren van bedrijfsmiddelen moet er zijn inclusief een schriftelijke bevestiging (geretourneerd of verwijderd) II - 5.11
- Classificatie van informatie: persoonlijke gezondheidsinformatie = vertrouwelijk II - 5.12
- Vóórdat informatie wordt overgedragen moeten regels / procedures / overeenkomsten zijn geïmplementeerd II - 5.14
- Toegangsbeleid voor persoonlijke gezondheidsinformatie moet beschikbaar zijn, rolgebaseerd II - 5.15
- Toegang tot persoonlijke gezondheidsinformatie moet volgens een formele gebruikersregistratie II - 5.16
- Risico's omtrent toegang externe partijen moeten worden geïdentificeerd, beoordeeld en maatregelen moeten zonodig worden genomen II - 5.19
- Informatiebeveiligingseisen moeten worden geanalyseerd en gespecificeerd II - 5.38
- Zorgontvangers moeten op unieke wijze zijn te identificeren II - 5.39
- Getoonde, geprinte gegevens moeten zijn te valideren II - 5.40
- Openbare gezondheidsinformatie: archiveren, integriteit beschermen en bron vermelden II - 5.41
- Noodcommunicatiekanalen binnen een gezondheidsorganisatie: plannen, implementeren, onderhouden en beproeven II - 5.42
- Informatiebeveiligingsincidenten moeten worden gemeld, conform wet- en regelgeving II - 5.43
- In functieomschrijvingen rollen en verantwoordelijkheden vastleggen irt persoonlijke gezondheidsinformatie II - 6.2
- Formeel de vertrouwelijkheid van informatie in stand houden II - 6.6
- Versleutelen persoonlijke gezondheidsinformatie op verwijderbare media II - 7.10
- 2FA (tweefactorauthenticatie) voor systemen met persoonlijke gezondheidsinformatie II - 8.5
- Backups met persoonlijke gezondheidsinformatie versleutelen II - 8.13
- Zero trust beginselen toepassen II - 8.35
   

 

  

 

 

Voorbeelden - vragen - aanpak

Een voorbeeld van een ISMS - Information Security Management System - of wel managementsysteem voor informatiebeveiliging is hier te vinden: demo ISMS NEN 7510 en demo Control framework
Voor inhoudelijke vragen of de praktische spreadsheet zijn er de collega's van Meta-audit.nl. Contact?
 

Snel aan de slag? Zet in 60 seconden het Metaware platform als cloudoplossing op proef klaar, een simpele en innovatieve software tool voor het volledige managementsysteem. Nog meer? Het duurt iets langer ... maar dan hebben we ook een eigen en geschikt voorbeeld, conform NEN7510:2024 natuurlijk. Voorbeeld documentatie én control framework (workflow gestuurd overzicht van alle beheersmaatregelen).

In onderstaande korte presentatie wordt een stappenplan voor de upgrade van NEN 7510:2017 naar NEN 7510:2024. Van onze collega's van Meta-audit.nl, gebruikmakend van het managementsysteem platform van Metaware


Één managementsysteem

Één managementsysteem platform.
Kwaliteit, veiligheid, milieu, informatiebeveiliging, .... Een geïntegreerde omgeving voor de beschreven processen, de risico-analyse met beheersmaatregelen, alle workflow processen en 'last but not least' de prestaties in een dashboard.
Alles samen te stellen als 'bouwblokken'.

Meer over het platform

Start nu je gratis proefperiode

Wij hebben geen 'glimmende folders'. Ga meteen zelf achter de knoppen zitten en ervaar het gemak, overzicht en de productiviteitsverbetering.
Wij helpen je online en verrijken je met de ervaring en 'best practices' van andere gebruikers.

Start Nu