NEN 7510 checklist

Het opzetten van een managementsysteem voor informatiebeveiliging in de zorgsector, is een secuur proces. In veel gevallen komen er tal van zaken op u af waar u rekening mee dient te houden. Door het hanteren van een stappenplan doorloopt u op een logische wijze alle fases en behoudt u het overzicht. Om de efficiency te waarborgen in deze beginfase is de NEN 7510 checklist opgesteld.

 

Stap 1: De NEN 7510 norm doorgronden

Bij het implementeren van de NEN 7510 norm kunnen we twee delen onderscheiden:

  • NEN 7510-1
  • NEN 7510-2

De gegevensbescherming in de zorg is een zeer belangrijk aandachtspunt voor de overheid. Dat is dan ook de reden dat de norm gratis wordt aangeboden. Deel 1 behandelt het managementsysteem en in deel 2 wordt ingegaan op de beheersmaatregelen. Dit is een pakket maatregelen die genomen kunnen worden om de eventueel aanwezige risico’s tot een minimum te beperken terwijl u wel aan de gestelde eisen blijft voldoen in uw organisatie.

Voor een zorgorganisatie is de NEN 7510 certificering geen verplichting, het biedt echter wel een duidelijke meerwaarde als u een managementsysteem voor informatiebeveiliging in de zorg gaat opzetten. Door het interpreteren van de norm zet u de eerste stap. Op die manier krijgt u een goed overzicht van de normeisen voor uw organisatie. Het doorgronden van de norm kan soms een hele opgave zijn. Juist voor die situaties worden er trainingen door het NEN georganiseerd zodat u efficiënt te norm kunt verklaren.

 

Stap 2: Risico’s beoordelen

Na het doorlopen van de eerste stap van de checklist, heeft u een goed beeld gekregen van de eisen die aan uw organisatie worden gesteld. In stap twee legt u zich toe op de assessment, het identificeren van de risico’s. In deze fase gaat het om het vaststellen van een methode om de risico’s op basis van een aantal criteria te identificeren. Op basis van de gekozen methode worden de gevonden risico’s geanalyseerd en wordt in kaart gebracht wat de kans is dat dergelijke risico’s zich kunnen manifesteren.

Dit proces helpt u om de juiste prioriteiten te stellen in uw organisatie. Zodoende kunnen de juiste beheersmaatregelen worden genomen. Om dit proces te stroomlijnen stelt het NEN een risicoanalyse tool beschikbaar om de verschillende risicoanalyses uit te voeren.

 

Stap 3: Risico’s behandelen

Nu de risico’s in stap twee in kaart zijn gebracht, worden in stap drie de risico’s behandeld. Dit wordt het risk treatment plan genoemd. Hierbij is het belangrijk om per risico aan te geven hoe zwaar (lees: groot) het risico weegt en welke beheersmaatregelen genomen kunnen worden om het geïdentificeerde risico te minimaliseren. In deze fase spreken we dan over preventieve beheersmaatregelen. De bedoeling is immers om een situatie te creëren waarin de kans dat een risico ontstaat, wordt geminimaliseerd. Is dit risk treatment plan al opgesteld, dan is een belangrijke horde op weg naar een goed functionerend managementsysteem voor informatiebeveiliging genomen.

 

Stap 4: Statement of applicability opstellen

Een statement of applicability (SoA) is bedoeld om vast te stellen welke onderdelen van toepassing zijn op uw organisatie. Uitgangspunt hierbij is de bijlage A uit de NEN 7510 norm. Hierin staan de onderdelen beschreven die op uw organisatie van toepassing zijn. Bij het gebruik van de bijlage dient u de verschillende onderdelen te voorzien van de juiste argumentatie en dit vast te leggen in een document. Door het hanteren van een efficiënte documentatie,  fungeert het statement of applicability als een waardevol middel voor zowel u als de auditor om het functioneren van het managementsysteem voor informatiebeveiliging te beoordelen.

 

Stap 5: Het totaalplaatje opmaken

De vijfde stap is het moment dat de balans wordt opgemaakt. Zo kijken we kritisch naar de bevindingen van de risicoanalyse, de risicobeoordeling, het risk treatment plan en de gegevens die zijn vastgelegd in het statement of applicability?

Het doel in deze stap is een vorm van zelfreflectie. Vragen die in deze fase aan de orde komen zijn:

  • zijn álle informatiebeveiligingsrisico’s in kaart gebracht?
  • welke acties zijn nog mogelijk als de voorgenomen beheersmaatregelen niet voldoende effect zouden sorteren?
  • hoe gaan medewerkers om met een situatie waarbij gevoelige persoonsgegevens niet correct worden behandeld?

Deze vragen zijn niet geheel onbelangrijk omdat in noodsituaties er vaak anders wordt gereageerd dan een vastgesteld protocol voorschrijft.

 

Stap 6: Een beleid opstellen

Zodra duidelijk is hoe u de informatiebeveiliging in uw organisatie vorm gaat geven en wat de (kritische) aandachtspunten zijn, is het tijd voor de laatste stap: het opstellen van een informatiebeveiligingsbeleid.

Een informatiebeveiligingsbeleid heeft tot doel om richting en ondersteuning te bieden binnen uw organisatie. Het informatiebeveiligingsbeleid moet daarnaast waarborgen bevatten zodat het overeenkomt met de in de norm vastgelegde eisen, voorschriften en wetten.

De belangrijke aandachtspunten voor uw beveiligingsbeleid vindt u terug in de norm. U kunt deze ook nalezen op de website van het NEN. U kunt daar ook de gehele norm online nalezen. Van belang is in ieder geval dat de directie van uw organisatie de informatie uit het beleidsdocument onderschrijft, publiceert en gaat delen met de relevante deelnemers en partijen.