Vragen over NEN 7510

De NEN 7510 is de norm voor informatiebeveiliging in de zorg. Er staat in hoe organisaties in de zorg hun informatiebeveiliging moeten inrichten. De kern van de NEN 7510 gaat over het managementsysteem voor informatiebeveiliging. Dit heet ook wel een ‘information security management system’ of ISMS. Verder beschrijft de norm een serie beheersmaatregelen. Hiermee kunnen organisaties hun risico’s wegnemen of kleiner maken.

De NEN 7510 gaat uit van een kwaliteitscyclus (plan, do, check, act of PDCA-cyclus). U doet eerst een risicoanalyse. Zo bepaalt u met welke bedreigingen u te maken heeft. Dan besluit u welke maatregelen nodig zijn (plan). U voert de maatregelen uit (do). U controleert regelmatig of de maatregelen het gewenste resultaat opleveren (check). Als het nodig is, zorgt u voor verbeteringen (act).

De Cyberbeveiligingswet (Cbw) is de Nederlandse vertaling van de richtlijn Network and Information Security 2 (NIS2). Dit is een Europese richtlijn die gaat over het vergroten van de digitale weerbaarheid van organisaties en instellingen (de richtlijn spreekt van entiteiten) in onder meer de sector gezondheidszorg.

De Cbw kent meerdere verplichtingen waaronder een zorgplicht. Deze zorgplicht houdt in dat een organisatie maatregelen moet nemen om de weerbaarheid te vergroten.  Door te voldoen aan de NEN 7510, voldoet u al voor een groot deel aan de eisen van deze zorgplicht.

Alle zorgaanbieders, ook als uw organisatie niet onder de reikwijdte van de Cbw valt, zijn verplicht te werken volgens NEN 7510. Meer informatie hierover vindt u op de website Data voor gezondheid. 

De NEN 7510 geldt voor elke zorgaanbieder die gegevens van personen verwerkt in een zorginformatiesysteem. U moet kunnen laten zien dat u werkt volgens de NEN 7510. Voor aanbieders in de jeugdhulp geldt een norm die sterk lijkt op de NEN 7510, de ISO 27001.

Sinds 2008 staat in de wet dat zorgaanbieders zich moeten houden aan de NEN 7510. Dit volgt uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). De Regeling Gebruik Burgerservicenummer in de zorg verwijst expliciet naar de NEN 7510. Dat geldt ook voor het Besluit elektronische gegevensverwerking door zorgaanbieders. Daarom moeten organisaties zich aan de NEN 7510 houden bij het beheer, de beveiliging en het gebruik van een zorginformatiesysteem. Uitzondering: voor aanbieders in de jeugdhulp geldt een norm die sterk lijkt op de NEN 7510, de ISO 27001. Deze norm is opgenomen in de regeling Jeugdwet. 

Daarnaast is er de Algemene Verordening Gegevensbescherming (AVG). De AVG eist 'passende technische of organisatorische maatregelen' om persoonsgegevens te beschermen.

Werken volgens de NEN 7510 betekent dat het information security management system (ISMS) goed werkt. De organisatie kan dan laten zien dat de kwaliteitscyclus voor informatiebeveiliging werkt. Daarvoor is het niet genoeg dat er een beleid en beheersmaatregelen zijn. De organisatie moet ook controleren of ze werken zoals bedoeld. Als het nodig is moet de organisatie verbeteringen uitvoeren. De NEN 7510 zegt dat de organisatie de informatiebeveiliging regelmatig onafhankelijk moet laten beoordelen.

Nee, dit is niet direct het geval. In de AVG staat specifiek hoe organisaties moeten omgaan met persoonsgegevens. De AVG eist ‘passende technische of organisatorische maatregelen' om persoonsgegevens te beschermen. De NEN 7510 beschrijft die maatregelen voor de zorg. Daarnaast staan er in de NEN 7510 nog andere maatregelen over informatiebeveiliging. Zie ook het antwoord op de vraag "Wat betekent ‘werken volgens de NEN 7510’?”.

Bij een onafhankelijke beoordeling kijkt een expert naar het information security management system (ISMS) en de beheersmaatregelen. De expert moet iemand zijn met kennis van de norm, het auditeren van een ISMS, en kennis van de zorg. De expert is niet zelf betrokken bij uw informatiebeveiligingsbeleid en de uitvoering ervan. De expert kan bijvoorbeeld een interne auditor, een externe specialist of een medewerker van een andere zorgorganisatie zijn. Zie voor andere eisen aan een onafhankelijke beoordeling het antwoord op de vraag ‘Welke onafhankelijke beoordeling is voldoende?’.

De IGJ verwacht van een onafhankelijke beoordeling altijd het volgende:

• De beoordeling maakt duidelijk hoe het staat met:
  • elk onderdeel van het information security management system (ISMS, hoofdstuk 4 tot en met 10 van de NEN 7510) en
  • de beheersmaatregelen die van toepassing zijn (annex A van de NEN 7510). Als inspectie begrijpen we het dat in de praktijk soms niet alle maatregelen getoetst kunnen worden. We verwachten dan dat u aangeeft waarom u een maatregel niet heeft getoetst.
• De beoordelaar kijkt niet alleen naar de plannen op papier, maar ook naar (bewijs voor) de werking van de informatiebeveiliging in de praktijk.
• In het rapport staat:
  • wie de beoordeling deed en waarom deze persoon of personen onafhankelijk en deskundig zijn (aandachtspunten hierbij: de kennis van NEN 7510, kennis van het auditeren van een ISMS en kennis van de zorgsector);
  • hoe de beoordeling is uitgevoerd;
  • met wie is gesproken (en in welke rol);
  • welk bewijs is gebruikt;
  • hoe het bewijs is verzameld;
  • hoe de zorgaanbieder meet en bijstuurt, ook op de beheersmaatregelen uit bijlage A van de NEN 7510.

Nee. De norm gaat ervan uit dat een organisatie naast interne audits ook onafhankelijke beoordelingen laat uitvoeren (zie o.a. onderdelen 5.35 en  5.36  in NEN 7510‑2:2024). Dit hoort bij een proces van steeds opnieuw verbeteren (de plan, do, check, act of PDCA-cyclus). Omdat dit proces steeds doorgaat, zijn regelmatige beoordelingen nodig. Hoe vaak is afhankelijk van onder meer de snelheid van wijzigingen in een organisatie.

Als inspectie verwachten we dat een zorgaanbieder duidelijk maakt hoe de organisatie ook in de toekomst onafhankelijke beoordelingen regelt.

Nee. De wet stelt dit niet verplicht. Ook de nieuwe Cyberbeveiligingswet (Cbw) niet. De NEN 7510 eist dit óók niet. Een NEN 7510-certificaat is één manier om te laten zien dat u werkt volgens de norm. Maar het is niet de enige manier. U moet wél regelmatig het information security management system (ISMS)  en de beheersmaatregelen onafhankelijk laten beoordelen.

Een NEN 7510‑certificaat is een goede manier om te laten zien dat u werkt volgens de norm.

Er bestaan verschillende soorten certificaten. Om het certificaat te behouden toetst de certificerende organisatie periodiek of uw organisatie nog voldoet aan de norm. Daarnaast staat in een certificaat vaak hoe de kwaliteit van de toetsing gecontroleerd wordt. En wie dat doet. Bijvoorbeeld dat de Raad voor Accreditatie controleert of de certificerende organisatie volgens de regels toetst en certificeert. Zo geeft een certificaat extra vertrouwen, ook voor derde partijen.

Nee. U blijft als zorgaanbieder zélf verantwoordelijk voor de informatiebeveiliging. Ook uw eigen bedrijfsprocessen hebben invloed op de informatieveiligheid. Bijvoorbeeld welke controles u doet als u personeel aanneemt. Of wie u toegang geeft tot informatiesystemen. Ook moet u de eisen voor informatiebeveiliging opnemen in de contracten met uw leveranciers. Verder moet u de dienstverlening van uw leveranciers beoordelen. Het kan voorkomen dat sommige beheersmaatregelen niet nodig zijn, bijvoorbeeld omdat u zelf geen computerprogramma’s maakt.

De IGJ en de AP zien beiden toe op informatiebeveiliging. Ze hebben daarbij allebei een eigen rol. De AP let vooral op de beveiliging van persoonsgegevens. De IGJ let op de invloed op de kwaliteit van zorg. Daarvoor is belangrijk dat informatie beschikbaar is wanneer deze nodig is. De AP en de IGJ hebben samenwerkingsafspraken.

De IGJ verwacht dat zorgaanbieders kunnen laten zien dat ze werk maken van informatiebeveiliging in de zorg. De NEN 7510 is daarvoor de norm. De IGJ vraagt zorgaanbieders te laten zien dat hun information security management system (ISMS) werkt. Ook moet de zorgaanbieder laten zien dat de beheersmaatregelen werken zoals bedoeld. Zorgaanbieders kunnen dit laten zien met een onafhankelijke beoordeling (zie ook de vragen onder het kopje 'Vragen over het aantoonbaar voldoen aan NEN 7510').