Contact

Vrijblijvend
contact opnemen?

Home | Wat houdt een NEN 7510-audit precies in?

Wat houdt een NEN 7510-audit precies in?

Een NEN 7510-audit is de toetsing waarmee je aantoont dat jouw organisatie voldoet aan de eisen voor informatiebeveiliging in de zorg. Maar wat gebeurt er tijdens een NEN 7510 audit eigenlijk? In deze pagina leggen we uit hoe een NEN 7510 audit verloopt in de praktijk – van voorbereiding tot beoordeling.
Vertrouwd door 1.500+ klanten in zorg en informatietechnologie

In één oogopslag: NEN 7510-certificering

Onderdeel van de audit

Wat houdt het in?

Fase 1: Vooronderzoek (documentatie)

Beoordeling van beleid, procedures en risicoanalyses.

Fase 2: Onsite audit

Beoordeling van processen, systemen met interviews en waarnemingen.

Rapportage & beoordeling

Auditresultaten, conclusies en eventuele afwijkingen

Jaarlijkse controle-audits

Korte herbeoordelingen in jaar 2 en 3

Hoe verloopt een NEN 7510 audit?

Een NEN 7510 audit-traject bestaat uit meerdere stappen:

  1. Vooronderzoek (fase 1)
    De auditor bekijkt je beleidsdocumenten, risicoanalyses, beheersmaatregelen en interne audits. Deze fase richt zich vooral op papierwerk. Hierbij wordt getoetst of de documentatie zoals de norm deze vereist aanwezig, volledig en juist is.

  2. On-site audit (fase 2)
    Tijdens de daadwerkelijke NEN 7510 toetsing bezoekt de auditor je locatie. Er vinden gesprekken plaats met medewerkers en er wordt gecontroleerd of procedures in de praktijk worden gevolgd, gecontroleerd op werking en effectiviteit en hoe ze verbeteringen vaststellen en opvolgen.

  3. Beoordeling & certificering
    Na afloop ontvang je een rapport. Hierin staat of je organisatie voldoet aan de norm. Eventuele afwijkingen moeten binnen een bepaalde termijn hersteld worden. Wanneer de toetsing door een RvA geaccrediteerde Certificerende Instelling wordt uitgevoerd verstrekt deze, bij positieve beoordeling, een certificaat.

    Een certificaat is het meest eenvoudig om te bewijzen dat je organisatie aantoonbaar voldoet aan de NEN7510 maar niet de enige. Zie hiervoor     deze pagina op de website van de IGJ.

  4. Jaarlijkse NEN 7510 controle
    In de twee jaren na certificering vinden kortere controle-audits plaats om te waarborgen dat je blijft voldoen aan de norm. Een certificaat is 3 jaar geldig daarna moet een hercertificering plaatsvinden (dat is fase 1 en 2 maar dan in een keer).

Wil je weten wat zo’n proces kost? Bekijk hier de kosten van een NEN 7510-certificering door een Certificerende Instelling. Deze inzet (uren) is gestandaardiseerd, prijsverschillen ontstaan door verschillen in uurtarieven tussen Certificatie Instellingen en/of tegelijk uitvoeren van toetsing voor meerdere normen.

Praktijkvoorbeeld van een NEN 7510 audit

Bij een middelgrote zorginstelling startte het audittraject met een fase 1: documentcheck waarbij zo’n 30 beleidsstukken werden beoordeeld.

Tijdens de onsite audit, fase 2, werden onder meer toegangsbeveiliging, wachtwoordbeleid en loggingprocessen getoetst op werking en contriole, alsook processen voor het omgaan met afwijkingen, incidenten en calamiteiten.

Na kleine correcties op het gebied van het vastleggen en controleren van logging en autorisaties werd het certificaat toegekend.

Contactpersonen
Robin Beiler
Pieter Kloetstra

Haal een expert aan boord

Wij maken organisaties al 10 jaar weerbaar tegen risico's

    Veelgestelde vragen over de inhoud van de NEN 7510 audit

    Een NEN 7510 audit roept bij veel organisaties praktische vragen op. Hoe lang duurt het traject? Wie voert de audit uit? En wat gebeurt er als er afwijkingen worden gevonden?

    Hieronder beantwoorden we de meest voorkomende vragen die organisaties hebben bij de voorbereiding op een NEN 7510 toetsing of controle. Zo weet je precies wat je kunt verwachten en kun je gericht aan de slag met de voorbereiding.

    Is de audit verplicht?

    Ja, als je je wilt certificeren volgens NEN 7510, maar niet als je wilt voldoen aan de wet. Dan is het aantoonbaar voldoen aan de NEN7510 voldoende. Dat kan met een certificaat maar ook anders, zie deze pagina van de IGJ.

    Hoe lang duurt de audit?

    Afhankelijk van de omvang van de organisatie (Aantal locaties en medewerkers): Fase 1: 2-3 dagen, Fase 2: 2-4 dagen, tussentijdse audit 2-4 dagen.

    Wie voert de audit uit?

    Een door de RvA geaccrediteerde Certificerende Instelling.

    Afwijkingen tijdens de NEN 7510-audit

    Wanneer de auditor vaststelt dat een organisatie niet voldoet aan een eis van de norm wordt een afwijking of bevinding vastgesteld.

    Hierbij bestaan 3 categorieën:

    • Een belangrijke of major afwijking of bevinding geeft aan dat het managementsysteem onvoldoende functioneert. Een dergelijke afwijking of bevinding bij een initiële audit houdt een certificering tegen.
    • Een niet-belangrijke of minor afwijking of bevinding geeft aan dat een onderdeel niet goed is geimplementeerd. Een dergelijke bevinding houdt een certificering niet tegen, maar dit moeten er niet te veel zijn omdat dat aantoont dat het managementsysteem niet goed (genoeg) werkt.
    • Als laatste zijn er observaties, niet genoeg voor een niet belangrijke of minor afwijking of bevinding maar kunnen op termijn, als er onvoldoende actie op wordt ondernomen, wel een belangrijke of niet-belangrijke afwijking of bevinding worden.

    De auditor heeft ook de optie om verbeterpunten te benoemen. De organisatie is niet verplicht hier actie op te ondernemen, maar dit is uiteraard wel verstandig.

    Meer weten over de norm zelf?

    Ben je nog niet volledig bekend met de achtergrond van deze norm? Dan is het goed om eerst te begrijpen wat NEN 7510 precies inhoudt en waarom deze zo belangrijk is binnen de zorgsector. Deze norm vormt namelijk de basis van de audit. Lees verder op: Wat is NEN 7510 en waarom is het belangrijk?

    Het laatste nieuws

    Naar alle berichten

    Direct hulp

    Schakel binnen 24 uur met onze consultants.

      Heb je een vraag over onze diensten?

      Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!