Hoe staat het met de informatiebeveiliging van uw organisatie? Hebt u alle risico’s in kaart gebracht en weet u waar de gevaren zitten? Met behulp van diverse normen rondom informatiebeveiliging kunt u aantonen dat uw organisatie het goed doet. Twee voorbeelden van deze normen zijn ISO 27001 en NEN 7510.

Dat deze normen allebei iets te zeggen hebben over informatiebeveiliging, is mogelijk wel bekend. Maar wat is het verschil tussen ISO 27001 en NEN 7510? Kunt u beide normen inzetten voor uw organisatie of past de één beter dan de ander?

In dit artikel ontdekt u aan welke regels en eisen u moet voldoen als het gaat om informatiebeveiliging en privacybescherming. Ook bespreken we kort de ISO 27001 en de NEN 7510 en het verschil tussen deze twee normen. 

Ga direct naar:

Verschil NEN ISO - afrekenen in de apotheek

De ISO 27001

Als we het hebben over dé internationale norm voor informatiebeveiliging, dan hebben we het over de ISO 27001. Het proces waarop een organisatie de informatiebeveiliging op orde krijgt en houdt, wordt beschreven in deze norm. Het maken van een risicoanalyse staat hierbij centraal. Het doel is voor organisaties om risico’s te beheersen en terug te dringen naar een acceptabel niveau.

ISO 27001 is een brede norm, gericht op informatiebeveiliging in het algemeen. Wanneer een bedrijf de processen rondom informatiebeveiliging toepast op basis van de ISO 27001, is het ook mogelijk om hier een certificaat voor te behalen. Hiermee laat de organisatie zien dat het voldoet aan alle eisen rondom informatiebeveiliging. Dit ISO 27001 certificaat draagt bij aan het versterken van een betrouwbaar imago.

Lees ook: De NIS2-richtlijn - uitleg en voorbeelden

De NEN 7510

De NEN 7510 is een informatiebeveiligingsnorm speciaal voor organisaties in de zorgsector. Deze Nederlandse norm is wettelijk verplicht voor instellingen zoals ziekenhuizen, huisartsen, apothekers, verzorgingstehuizen et cetera.

Zorgverleners dienen op het juiste moment toegang tot de juiste informatie te kunnen krijgen. Alleen op die manier kunnen zij aan het gewenste niveau van dienstverlening voldoen. Aan de andere kant is het van groot belang dat deze privacygevoelige informatie niet in handen van ongeautoriseerde partijen komt, om de privacy van de patiënt te beschermen. De NEN 7510 biedt een kader waarin iedere partij de voor zijn/haar dienst relevante informatiebeveiliging kan specificeren, inclusief de bijbehorende maatregelen.

De NEN 7510 is niet de enige wettelijke verplichting voor zorgorganisaties als het gaat om bescherming en beveiliging van medische gegevens. Zorgorganisaties dienen ook aan bijvoorbeeld specifieke wetgeving te voldoen voor het uitwisselen van dergelijke informatie met andere zorgpartijen zoals de Wet cliëntenrechten waarbij cliënten (veelal patiënten) vanaf 1 juli 2020 ‘gespecificeerde toestemming’ moeten kunnen geven: men moet dan kunnen aangeven welke gegevens wel of niet door welke (categorieën van) zorgverleners mogen worden ingezien.

 

Verschil ISO 27001 en NEN 7510

De NEN 7510 is gebaseerd op de ISO 27001. Hierdoor zijn er ondanks de verschillen, ook overeenkomsten te vinden tussen de NEN 7510 en de ISO 27001. In feite is de NEN 7510 een aanvulling, of uitbreiding, op de ISO 27001 met de focus op de zorgsector.

We hebben de grootste verschillen tussen de ISO 27001 en NEN 7510 op een rij gezet:

  • ISO 27001 is een algemene norm, NEN 7510 is branche specifiek voor de zorg;
  • NEN 7510 is een Nederlandse norm, terwijl ISO 27001 een internationale norm is;
  • Toepassing van de NEN 7510 is verplicht voor alle zorginstellingen. Dit geldt enkel voor de toepassing van de norm, niet de certificering;
  • NEN 7510 benoemt 36 specifieke beheersmaatregelen voor de zorg, naast de 114 beheersmaatregelen die de ISO 27001 al benoemt.

Voorbeelden van de verschillen

Een voorbeeld van een specifieke zorgmaatregel uit de NEN 7510 en hoe deze zich verhoudt tot de ISO 27001:

Uit de ISO 27001 A.6.1.2 (Scheiding van taken):
Conflicterende taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.

Toevoeging uit de NEN 7510:
Organisaties moeten, indien dit haalbaar is, plichten en verantwoordelijkheidsgebieden scheiden om de kansen te verkleinen van onbevoegde wijziging of misbruik van persoonlijke gezondheidsinformatie.

En ook:

Uit de ISO 27001 A.7.1.2 (Arbeidsvoorwaarden):
De contractuele overeenkomst met medewerkers en contractanten moet hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie vermelden.

Toevoeging uit de NEN 7510:
Alle organisaties waarvan personeelsleden betrokken zijn bij het verwerken van persoonlijke gezondheidsinformatie, moeten die betrokkenheid in relevante functieomschrijvingen vastleggen. Beveiligingsrollen en verantwoordelijkheden, zoals vastgelegd in het informatiebeveiligingsbeleid van de organisatie, moeten ook in relevante functieomschrijvingen worden vastgelegd. Er moet speciale aandacht worden besteed aan de rollen en verantwoordelijkheden van tijdelijk personeel of personeel met een kort dienstverband zoals vervangers, studenten, stagiairs enzovoorts.

Uit deze voorbeelden blijkt dat de NEN 7510 vooral zorg-specifieke toevoegingen doet aan de bestaande beheersmaatregelen uit de ISO 27001.

 

Base27 voor ISO 27001 en NEN 7510

Base27 bewaakt en registreert uw processen rondom informatiebeveiliging. Het is een information security management system dat houvast geeft in de vele en vaak complexe aspecten van informatiebeveiliging. Met behulp van Base27 bent u in staat om snel de informatiebeveiliging conform de ISO 27001 en NEN 7510 norm op te zetten. Inclusief ondersteuning voor privacywetgeving, de AVG. Neem vrijblijvend contact op voor meer informatie of neem een kijkje naar de verschillende features van de tool. 

 

Wij helpen bedrijven met hun digitale veiligheid