Informatiebeveiliging is essentieel om alle gegevens en informatiestromen binnen een organisatie te beschermen. In een tijd van toenemende digitalisering en toenemende cyberdreigingen is het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid van informatie dus van vitaal belang.
In deze blog gaan we in op de overeenkomsten en verschillen tussen de ISO 27001 en NEN 7510.
Beide normen, de ISO 27001 en de NEN 7510 hebben tot doel om risico-gebaseerd de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. Hiermee kunnen organisaties zich wapenen tegen digitale dreigingen en de continuïteit van hun activiteiten waarborgen.
Wat is de ISO 27001? Dit is een internationale norm die toepasbaar is op allerlei soorten organisaties in alle soorten sectoren. De norm bestaat uit een raamwerk voor het opzetten, implementeren, onderhouden en continu verbeteren van een Informatiebeveiligingmanagementsysteem (ISMS) en een beschrijving van mogelijke beheersmaatregelen om risico’s op het gebied van informatiebeveiliging te verlagen.
Wat is de NEN 7510? Dit is een specifieke Nederlandse norm die van toepassing is op de Nederlandse gezondheidzorg. De norm bestaat uit een raamwerk voor het opzetten, implementeren, onderhouden en continu verbeteren van een Informatiebeveiligingmanagementsysteem (ISMS) en een beschrijving van mogelijke beheersmaatregelen en zorgspecifieke beheersmaatregelen om risico’s op het gebied van informatiebeveiliging te verlagen.
Zoals uit bovenstaande blijkt zijn de verschillen sinds de herziening van de NEN7510 beperkt tot aanvullende zorgspecifieke maatregelen.
Ja! Als je organisatie voldoet aan de NEN 7510 dan voldoe je ook aan de ISO 27001. Andersom vormt het voldoen aan de ISO 27001 een goede basis om te voldoen de NEN 7510 maar moet je de zorgspecifieke maatregelen risico-gebaseerd al dan niet gaan toepassen.
Het is niet zo dat je met een NEN 7510 certificaat automatisch een ISO 27001 certificaat ontvangt. Wanneer je dit wilt als organisatie moet je dit apart vragen aan de betrokken Certificatie Instelling. Mogelijk zijn daar extra kosten mee gemoeid en is de vraag of dit een meerwaarde heeft voor de organisatie. Een overweging hierbij is dat de ISO 27001 internationaal een erkende norm is en de NEN 7510 alleen in Nederland. Om deze reden kiezen sommige organisaties ervoor om zich voor beide normen te laten certificeren.
Nee! Een NEN 7510 certificaat kan alleen worden behaald als de organisatie persoonlijke gezondheidsinformatie verwerkt. Dat kan zowel als verwerkersverantwoordelijke (zorgverleners en –organisaties) als verwerker (leveranciers).
Zorgverleners en –zorgorganisaties moeten wettelijk verplicht aantoonbaar voldoen aan de NEN 7510. Dit kan door het behalen van een certificaat maar ook zonder certificaat is het mogelijk om aantoonbaar te voldoen.
Onze gespecialiseerde consultants staan voor je klaar! Zowel de ISO 27001 als de NEN 7510 hebben tot doel de informatiebeveiliging van je organisatie te borgen, de keuze hangt af van je sector en specifieke behoefte. Neem contact met ons op en we helpen je graag verder!
