Volg Software Zaken

keurmerk 7510: een praktische aanpak voor informatiebeveiliging in de zorg

| Sieuwert van Otterloo | Privacy Security Templates
Zorginstellingen beschikken over veel gevoelige informatie, en moeten deze goed beschermen. Zorginstellingen moeten daarom aantoonbaar voldoen aan de  verplichte norm NEN7510. Keurmerk 7510, is een nieuwe, eenvoudige, praktische en betaalbare manier om de NEN 7510 in te vullen. De templates van het  keurmerk zijn gratis beschikbaar, waardoor het keurmerk een betaalbaar alternatief is voor volledige certificering. 

Wat is Keurmerk 7510?

Keurmerk7510 is een aanpak om aan NEN 7510 te voldoen, die speciaal ontwikkeld is voor kleine en middelgrote organisaties die gebruik maken van standaardsystemen. Doordat veel zorg-zorgorganisaties op vergelijkbare manier werken, is het mogelijk om veel zaken al vooraf uit te werken en vast te leggen. Elke organisatie hoeft daarom niet opnieuw alles in te vullen. De aanpak bestaat uit drie elementen:

  1. Een documentenset met sjabonen(templates) en voorbeeldteksten voor alle verplichte documenten. Deze documentenset wordt gratis aangeboden en kan door elke instelling worden gebruikt
  2. Training voor security officers, privacy officers en andere betrokkenen om de aanpak te gaan gebruiken.
  3. Efficiënte en effectieve onafhankelijke beoordeling door middel van audits. De audits lijken op de interne audit die ook bij NEN7510-certificering verplicht is, en worden door onafhankelijke experts uitgevoerd. ICT Institute kan deze audits doen, maar op termijn kunnen ook andere adviseurs met voldoende ervaring auditor worden. Na succesvolle audit kan een organisatie ook een officiële verklaring krijgen dat het keurmerk is behaald.

Keurmerk7510 is een open initiatief, beheerd door ICT Institute (een onafhankelijk adviesbureau) en gecoördineerd door Stichting IP Zorg. ICT Institute beheert de templates en leidt trainers en auditors op. Stichting IP zorg houdt bij welke organisaties het keurmerk ook behaald hebben.

Waaruit bestaat de documentenset

De documententenset van Keurmerk 7510 bestaat uit zeven hoofd-documenten die altijd nodig zijn. Het gaat om de volgende documenten:

  • 01 Informatiebeveiligingsbeleid. Dit is een kort, algemeen document.
  • 02 Personeelsregels voor informatiebeveiliging. Dit document moet met alle medewerkers worden gedeeld en bevat belangrijke regels, zoals het melden van incidenten. De inhoud van dit document mag ook opgenomen worden in een gedragscode of bestaand personeelsreglement of handboek.
  • 03 ISMS beheersmaatregelen informatiebeveiliging. In dit document moet elke organisatie documenten hoe zij de aanbevolen beheersmaatregelen invullen. In het template staat een eerste aanzet of aanwijzingen hoe dit kan.
  • 04 Context-risico-register.xslx. Dit is een opzet voor een register met risico’s. Dit register moet minimaal jaarlijks worden bijgehouden.
  • 05 Doelstellingen en monitoring. Dit is een voorbeeld van een eenvoudig dashboard dat de organisatie moet gaan gebruiken om te zorgen dat er ook gereageerd en verbeterd wordt.
  • 06 Incidenten-datalekken-afwijkingen. Dit is een voorbeeld-register waarin de organisatie vastlegt wat er misgaat en hoe dit wordt afgehandeld.
  • 07 Business Continuity Plan. Het is verstandig voor elke organisatie om een apart Bedrijfscontinuiteitsplan te maken. Dit is verplicht vanuit NEN7510 maar ook de NIS2/CBW.

Deze documenten zijn vrij beschikbaar voor elke adviseur en kleinere organisatie (op dit moment op verzoek via mail). De documenten mogen vrij gebruikt worden onder Creative Commons, met naamsvermelding van ICT Institute. Adviseurs mogen de templates vrij delen of gebruiken bij hun advies. We willen organisaties die de volledige set gebruiken wel vragen om een licentie te kopen. Organisaties die een licentie kopen, mogen de naam ICT Institute wel weghalen.

De documentenset is ontwikkeld door Sieuwert van Otterloo, Marc Been, Peter van der Zwan en andere mensen met praktische kennis en ervaring in de zorg. De documenten vormen een heel goed startpunt om een systeem voor informatiebeveiliging op te zetten maar moeten wel aangepast worden aan elke organisatie zelf. Ook zal de organisatie zelf aan de slag moeten en blijven om ook echt een betere beveiliging te bereiken.

Hoe ga je aan de slag

Het inrichten van een ISMS volgens NEN7510 kan het beste gedaan worden in een project van elke maanden voor de opzet. In dit project worden de documenten opgesteld en processen ingericht. Na het project moet het ISMS worden bijgehouden, moeten trainingen worden gegeven, incidenten worden bestudeerd en verdere verbeteringen gepland. Voor dit project is een klein project-team nodig, met betrokkenheid van een bestuurder/directeur, iemand met kennis van de IT-omgeving, en ook iemand met kennis van de HR-processen. Onderstaande planning laat zien hoe de inrichting kan worden gepland. De meeste tijd gaat zitten in het documenteren van de beheersmaatregelen.

Zijn audits, keurmerk en certificering verplicht?

Een belangrijke toezichthouder voor zorginstellingen is de IGJ: De Inspectie Gezondheidszorg en Jeugd.  De IGJ houdt toezicht op alle Nederlandse zorginstellingen. Op de website van de IGJ is uitgelegd wat zij verwachten van zorgorganisaties op het gebied van informatiebeveiliging:

De IGJ verwacht dan ook dat zorgaanbieders aantoonbaar werk maken van een managementsysteem voor informatiebeveiliging dat voldoet aan de wettelijke norm. En ook dat er een continuïteitsplan is en dat dit regelmatig getest wordt.

De IGJ verwacht dus een management-systeem volgens NEN7510 en dat dit managementsysteem ook aantoonbaar is. De inspectie eist niet dat organisaties een NEN7510-certificaat behalen. De IGJ schrijft het volgende:

Nee. De wet stelt dit niet verplicht. De NEN 7510 eist dit óók niet. Een NEN 7510-certificaat is één manier om te laten zien dat u werkt volgens de norm. Maar het is niet de enige manier. U moet wél regelmatig het information security management system (ISMS) en de beheersmaatregelen onafhankelijk laten beoordelen.

Volledige certificatie is een goede manier om te voldoen en ICT Institute helpt regelmatig organisaties met certificering voor ISO 27001 of NEN7510 maar is dus niet verplicht. We raden het wel aan voor organisaties die al erg ver zijn in hun aanpak van informatiebeveiliging, want de onafhankelijke extra audit door een certificerende instelling levert extra inzichten op. De certificerende instellingen (zoals Brand Compliance en Digitrust) zijn erg druk en hebben geen tijd om elke zorginstellingen te auditen.

Een audit volgens Keurmerk 7510 is een lichter alternatief voor volledige certificering. De audit wordt gedaan volgens dezelfde eisen (de wettelijke eisen NEN7510, AVG en NIS2) maar er wordt een kortere steekproef gedaan.  De uitkomst is een audit-rapport, dat gebruikt kan worden om aan de eis van aantoonbaarheid te voldoen.

Meedoen met Keurmerk 7510?

Keurmerk 7510 is bedoeld als open initiatief waar meerdere bedrijven en professionals aan mee mogen doen, bijvoorbeeld als auditor of kennispartner. Er gelden wel een paar praktische eisen om te zorgen dat de kwaliteit van het keurmerk goed blijft. Wie zich wil aanmelden als auditor moet ervaring hebben met het opzetten of runnen van een ISMS volgens NEN7510 of ISO 27001, beschikken over kennis van de AVG en minimaal 1 jaar gewerkt hebben bij een zorginstelling of leverancier van de zorgsector. Wie aan deze eisen voldoet kan meelopen als tweede auditor.

Wat moet een organisatie doen voor het keurmerk?

De inhoud van het keurmerk is gebaseerd op wat er in de Nederland verwacht wordt van zorgorganisaties op het gebied van informatiebeveiliging. Dit betekent dat het volgende moet worden geregeld:

  • De organisatie moet een managementsysteem hebben voor het beheersen van risico’s. Dit betekent dat er een security officer moet zijn, ondersteuning vanuit directie en andere rollen) en een goed risicomanagementproces.
  • De standaard beheersmaatregelen uit de NEN 7510 moeten worden bestudeerd en zo veel mogelijk worden geïmplementeerd. De indeling uit de ISO 27001:2022 / NEN 7510:2024 wordt gebruikt, dus het gaat om organisatorische maatregelen, mensgerichte maatregelen, fysieke maatregelen en technologische maatregelen. Voorbeelden van maatregelen zijn leveranciersbeoordeling, screening en onboarding, trainingen, sluitplannen voor gebouwen, maar ook rolgebaseerde toegang, controle van logs, antivirus-maatregelen en registreren van incidenten.
  • De zorgspecifieke beheersmaatregelen uit de NEN 7510 moeten ook worden bestudeerd en zoveel mogelijk worden toegepast, bijvoorbeeld het principe van zero-trust.
  • Persoonsgegevens moeten worden beschermd volgens de AVG. Dit betekent bijvoorbeeld dat er een register van verwerkingsactiviteiten moet zijn, een privacyverklaring, verwerkersovereenkomsten, en een proces voor DPIA’s. ICT Institute biedt aparte AVG-templates aan.
  • Er moeten ook stappen worden genomen om aan nieuwe wetgeving te voldoen, zoals de cyberbeveiligingswet (NIS2).De NIS2 stelt enkele extra eisen, zoals training van bestuurders.
Author: Sieuwert van Otterloo
Dr. Sieuwert van Otterloo (CISA, CIPP/E) is IT-deskundige met kennis van ISO 27001, NEN 7510, software-kwaliteit, projectmanagement, privacy, en verantwoord gebruik van AI. Hij geeft les aan de VU, doet onderzoek aan de HU en geeft advies en doet reviews bij organisaties door heel Nederland. Hij oprichter en directeur van ICT Institute.