NEN 7510

De NEN 7510 is de standaard voor informatiebeveiliging binnen de zorgsector. De norm geeft richtlijnen voor hoe zorgorganisaties hun informatiebeveiliging kunnen organiseren. Centraal staat het managementsysteem voor informatiebeveiliging, ook wel een ‘information security management system’ (ISMS) genoemd. Daarnaast beschrijft de norm een reeks maatregelen waarmee organisaties risico’s kunnen beheersen of verkleinen.

De kosten voor een NEN 7510-certificering zijn afhankelijk van uw organisatie (zoals grootte, IT-complexiteit en bestaande maatregelen) en de keuzes die u maakt (bijvoorbeeld of u externe begeleiding inzet). Er bestaat daarom geen vast tarief, maar u kunt wel een indicatie krijgen van wat u ongeveer kan verwachten.

Indicatie van kosten (excl. btw)
Over het algemeen kunt u rekening houden met de onderstaande kostenposten:

• Voorbereiding en nulmeting: ± €1.000 – €3.000

• Certificatieaudit (initieel): ± €3.000 – €10.000

• Jaarlijkse opvolgaudits: ± €2.000 – €4.000 per jaar

Dit is een richtlijn — uw uiteindelijke investering kan hoger liggen, afhankelijk bijvoorbeeld van de inzet van externe consultants, de omvang van de scope of de interne uren die uw organisatie besteedt.

De NEN 7510 werkt volgens een kwaliteitscyclus, ook wel bekend als de PDCA-cyclus (plan, do, check, act). Eerst voert u een risicoanalyse uit om inzicht te krijgen in de mogelijke bedreigingen. Op basis daarvan bepaalt u welke maatregelen nodig zijn (plan) en zet u deze maatregelen in praktijk (do). Vervolgens monitort u regelmatig of de maatregelen het gewenste effect hebben (check). Indien nodig past u verbeteringen toe om de resultaten te optimaliseren (act).

De NEN 7510 is van toepassing op alle zorgaanbieders die persoonsgegevens verwerken in een zorginformatiesysteem. Het is belangrijk dat u kunt aantonen dat u volgens deze norm werkt. Voor organisaties in de jeugdhulp bestaat een vergelijkbare norm: de ISO 27001, die veel overeenkomsten heeft met de NEN 7510.

Sinds 2008 is het wettelijk verplicht voor zorgaanbieders om te voldoen aan de NEN 7510. Dit staat in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Ook de Regeling Gebruik Burgerservicenummer in de zorg en het Besluit elektronische gegevensverwerking door zorgaanbieders verwijzen expliciet naar deze norm. Hierdoor moeten organisaties de NEN 7510 volgen bij het beheren, beveiligen en gebruiken van een zorginformatiesysteem. Een uitzondering geldt voor aanbieders in de jeugdhulp: zij volgen een vergelijkbare norm, de ISO 27001, die is opgenomen in de regeling Jeugdwet.

Daarnaast geldt de Algemene Verordening Gegevensbescherming (AVG), die vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen.

Werken volgens de NEN 7510 betekent dat het information security management system (ISMS) effectief functioneert. Zo kan een organisatie aantonen dat de kwaliteitscyclus voor informatiebeveiliging goed wordt toegepast. Het is niet voldoende om alleen beleid en maatregelen op papier te hebben; de organisatie moet ook controleren of deze maatregelen daadwerkelijk werken en waar nodig verbeteringen doorvoeren. Daarnaast stelt de NEN 7510 dat de informatiebeveiliging regelmatig onafhankelijk beoordeeld moet worden.

Een NEN 7510‑certificaat is een duidelijk bewijs dat uw organisatie werkt volgens de norm.

Er zijn verschillende typen certificaten. Om het certificaat geldig te houden, controleert de certificerende organisatie periodiek of uw organisatie nog steeds aan de norm voldoet. Vaak staat in het certificaat ook beschreven hoe de kwaliteit van deze toetsing wordt gecontroleerd en door wie. Zo kan bijvoorbeeld de Raad voor Accreditatie nagaan of de certificerende instantie correct toetst en certificeert. Op deze manier biedt een certificaat extra zekerheid, ook voor externe partijen.