Geplaatst 09-09-24
Eind 2024 gaat naar verwachting een vernieuwde versie van de NEN7510 van kracht. Zorginstellingen kunnen nu alvast aan de slag met de vernieuwde norm in TrustBound.
Maar waarom wordt de norm vernieuwd, wat zijn de belangrijkste wijzigingen, en wat is de impact hiervan voor zorginstellingen? Wij vroegen het Cees van der Wens, NEN7510 auditor / auteur / consultant / trainer.
Waarom is er een nieuwe versie van de NEN7510? Was de oude niet goed?
"Het is een beetje lang verhaal, maar ik zal proberen het kort uit te leggen. De NEN7510 bestaat voor 95% uit de internationale norm ISO27001 en voor 5% uit de internationale norm ISO27799. De twee ISO-normen werden door de Nederlandse organisatie NEN samengevoegd en voilà, daar was de NEN7510.
Eind 2022 heeft ISO de nieuwe norm ISO27001:2022 gepubliceerd. Hierin zijn wijzigingen aangebracht die een betere ondersteuning moeten bieden bij het systematisch managen van informatiebeveiliging. In Europa noemen we deze ISO-norm de 2023-versie, in de rest van de wereld heet hij de 2022-versie. Vanaf dat moment liep de huidige NEN-norm uit de pas met de ISO-norm. Dat gaat binnenkort rechtgetrokken worden."
"Qua zorgspecifieke beheersmaatregelen komen er nu 14 aanvullingen op ISO-maatregelen en 8 losse, extra zorgspecifieke maatregelen."
Wat zijn de belangrijkste wijzigingen in de nieuwe versie?
"Om die vraag te kunnen beantwoorden moet ik eerst nog iets anders uitleggen. Het voornemen om de Nederlandse NEN7510 in lijn te krijgen met de nieuwe ISO27001 was een mooie aanleiding om ook weer eens te gaan kijken naar de zorgspecifieke beheersmaatregelen van de internationale ISO27799. Bij nader inzien konden die beheersmaatregelen wel een facelift gebruiken, zeker gezien de eisen van de NIS2-richtlijn.
Tijdens het in internationaal verband opfrissen van de ISO27799, heeft de NEN – zoals ik in juli uit een webinar van NEN begreep - een belangrijke rol in gespeeld. Uiteraard met het oog op de reeds geplande update van de norm NEN7510. Het internationale overleg heeft geleid tot een flinke aanpassing van de zorgspecifieke beheersmaatregelen. Er komen nu 14 aanvullingen op ISO-maatregelen en 8 losse, extra zorgspecifieke maatregelen."
Dus eigenlijk wordt alles in de nieuwe NEN7510 veranderd?
"Nee hoor. De nieuwe NEN7510:2024 is nog steeds bedoeld voor zorgaanbieders, dat zijn zowel instellingen als solistisch werkende zorgverleners. De norm is ook bedoeld voor zogenaamde beheerders van persoonlijke gezondheidsinformatie, denk aan DVP’s, DVA’s, zorgserviceproviders, gemeenten, zorgverzekeraars, toeleveranciers van zorgaanbieders, zoals hostingproviders, etc.
Waar alle doelgroepen opnieuw mee te maken krijgen, is het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging, het zogenaamde ISMS. Dit ISMS blijft ten opzichte van de oude NEN7510 in grote lijnen hetzelfde. Er zijn wel wat nummers gewijzigd en er is een nieuw normelement bijgekomen (over wijzigingen in het ISMS), maar voor de rest geen grote aanpassingen.
Een opvallende nieuwe eis in dit deel van de NEN7510 is dat organisaties explicieter moeten zijn over de vraag of ze contractuele en wettelijke informatiebeveiligingseisen wel of niet gaan meenemen in de implementatie van hun ISMS. Als auditor vind ik deze eis heel interessant en geheid gaat hier gedoe over komen."
"Een opvallende nieuwe eis in dit deel van de NEN7510 is dat organisaties explicieter moeten zijn over de vraag of ze contractuele en wettelijke informatiebeveiligingseisen wel of niet gaan meenemen in de implementatie van hun ISMS."
En de beheersmaatregelen van Bijlage-A?
"Daar zit de grootste wijziging. De oude NEN7510 had 117 beheersmaatregelen, de nieuwe NEN7510 kent 101 beheermaatregelen, die verdeeld zijn over vier hoofdstukken: organisatie, mensen, fysiek en technologie. Of een beheersmaatregel wel of niet belangrijk is, en of hij wel of niet van toepassing is, hangt volledig af van de risicocontext waarbinnen de maatregel wordt geïmplementeerd. Maar dat was altijd al zo.
Voor een hosting provider is de nieuwe eis met betrekking tot ‘configuratiebeheer’ doorgaans goed te doen, maar voor een zorgaanbieder met eigen IT kan dit een flinke puzzel worden. En wat te denken van de nieuwe eis dat informatie moet worden gewist als deze niet meer nodig is? Iedereen zal begrijpen dat het verwijderen van onnodige informatie een goede stap is, maar ga het maar eens organiseren in een ziekenhuis. Zo zijn er meer nieuwe eisen.
Er zijn ook wat kleine aanpassingen die niet meteen opvallen, maar die wel even aandacht nodig hebben. Zo gaat de beheersmaatregel over het opstellen en communiceren van beleid nu ook over het ‘erkennen’ van het beleid. En zo gaat de beheermaatregel over screening nu ook over het op gezette tijden ‘herhalen’ van screening. Uiteraard allemaal in samenhang met je risico’s, maar wel even opletten dus."
Welke veranderingen in de NEN7510 hebben in jouw optiek de grootste impact voor organisaties die nu zijn gecertificeerd volgens de oude norm?
"Die impact hangt af van de organisatie. Als adviseur/auditor ben ik de laatste jaren bewust steeds meer van het bedrijfsleven naar de wereld van de zorgaanbieders gegaan, met het idee dat ik daarmee kan bijdragen aan de bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van medische gegevens. Belangrijke gegevens van mensen zoals jij en ik.
Je gebruikt het woord impact. Op dat moment denk ik meteen aan de negen ziekenhuizen die ik heb mogen helpen om aantoonbaar aan de NEN7510 te voldoen. In de afgelopen jaren heeft de IGJ flink druk gezet, waardoor de meeste ziekenhuizen nu volgens de NEN7510 werken. Maar dat heeft veel tijd en geld gekost en nu komt het nieuws dat iedereen in de komende jaren zal moeten overschakelen naar een nieuwe NEN7510.
Je noemde in je vraag het woord certificering. De wet zegt dat zorgaanbieders moeten voldoen aan de NEN7510, maar zegt niets over certificering. Certificering is echter wel verstandig om de zaken echt scherp te krijgen. Veel zorgaanbieders begrijpen dat."
"Het nieuws van de vernieuwde NEN7510 voelt voor veel zorgaanbieders als het verplaatsen van de finish van de marathon die ze net hebben gelopen, of waar ze nog volop mee bezig zijn."
Hoe is het nieuws over de nieuwe NEN7510 aangekomen in de zorg?
"Dat nieuws voelt voor veel zorgaanbieders als het verplaatsen van de finish van de marathon die ze net hebben gelopen, of waar ze nog volop mee bezig zijn. Veel medewerkers hebben een enorme inspanning moeten verrichten om hun informatiebeveiliging naar een hoger plan te tillen, en nu moeten ze nog een keer aan de bak. Daarnaast is er veel geld uitgegeven aan NEN7510. In die zin is de timing van de nieuwe NEN7510 erg ongelukkig.
Op vrijdag 12 juli keek ik naar het webinar van NEN waar door vier vriendelijke heren een uitleg werd gegeven over de conceptversie van de nieuwe NEN7510. Het verhaal kwam op mij erg theoretisch over en stond mijlenver af van het gevecht met de norm waar ik zorgaanbieders in de afgelopen jaren mee bezig heb gezien. Je vraag over de impact van de nieuwe NEN7510 op zorgaanbieders was een goede vraag geweest voor dit webinar."
Wat is momenteel de planning voor de nieuwe NEN7510?
"Tot 22 september 2024 zitten we in de consultatiefase. Dat betekent dat de NEN graag tot die datum wil horen wat experts van de nieuwe NEN7510 vinden. Staan er fouten in? Is het allemaal duidelijk? Ik heb ook iets bij de NEN ingediend. Uit ervaring weet ik dat de NEN geen grote wijzigingen kan doorvoeren, simpelweg omdat de teksten uit internationale normen komen. Het beperkt zich meestal tot kleine vertaal-aanpassingen.
In december 2024 zou dan de definitieve NEN7510:2024 gepubliceerd moeten worden. Vanaf dat moment gaan de certificatie-instellingen zorgen dat ze door de RvA geaccrediteerd worden om audits te mogen uitvoeren tegen de nieuwe norm. Dit kan pas als er een definitief certificatieschema is, de NCS7510, en dat schema was in juli nog niet helemaal klaar. Vanaf ongeveer april 2025 (citaat) zullen de eerste certificaten kunnen worden behaald."
Is er een overgangsperiode voor de transitie naar de nieuwe NEN7510?
"Zodra het certificatieschema NCS7510 gereed is, zal er ook duidelijk komen over de overgangsperiode van de oude naar de nieuwe NEN7510. Ik vermoed dat dit niet anders zal gaan dan bij de overgang naar de nieuwe ISO27001: eerst een strenge einddatum noemen (bijvoorbeeld ergens in 2028) en daarna die einddatum verschuiven om iedereen aan boord te houden. Want zo’n nieuwe norm is voor veel organisaties echt wel een ding hoor.
Wie nu al aan slag wil met de nieuwe NEN7510 kan alvast mijn Handboek ISO27001 Controls gebruiken, want hierin worden alle beheersmaatregelen uitgelegd die straks ook in de nieuwe NEN7510 zullen staan, alleen dan aangevuld met de zorgspecifieke maatregelen. In 2025 wil ik met een boek komen over de nieuwe norm NEN7510:2024."
Over Cees van der Wens
Cees van der Wens (1965) studeerde Industriële Automatisering aan de Hogeschool Utrecht en belandde geleidelijk in de wereld van informatiebeveiliging. In 2014 was hij betrokken bij het opzetten van een nieuwe certificatie-instelling en van 2015 tot 2020 voerde hij als Lead Auditor tientallen certificatie-audits uit bij een breed scala van bedrijven en zorginstellingen. Als adviseur heeft hij veel organisaties geholpen met het verkrijgen van het ISO27001 of NEN7510-certificaat. Vanaf 2019 publiceerde hij in twee talen een aantal boeken over de normen ISO27001 en NEN7510. Sinds 2021 werkt hij als zelfstandig auditor en adviseur voor negen Nederlandse ziekenhuizen, en voor enkele grote en kleine bedrijven.
Wil je een effectief ISMS?
Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor informatiebeveiliging (en privacy).