Informatiebeveiliging is voor veel mensen een wat abstract thema. Ja, u moet zorgvuldig omgaan met gegevens, maar dat wist u natuurlijk al. En dan helpt het natuurlijk niet dat normen en richtlijnen weinig tot de verbeelding sprekende namen hebben. Als u er een beetje in thuis bent, dan heeft u al gehoord van ISO 27001 en NEN 7510 normen. Maar wat houden ze eigenlijk in? Wat is het verschil precies en moet u aan beide voldoen?
Laten we beginnen te benoemen waarin ISO 27001 en NEN 7510 overeenkomen: het zijn beide normen voor informatiebeveiliging. In feite dus documenten die voorschrijven hoe u procesmatig de hand houdt in veilige dataverwerking binnen uw organisatie. Op een heel concreet niveau. Dus welke stappen u zet en welke maatregelen u neemt om het kwijtraken, stelen of op andere wijze onrechtmatig behandelen van data te voorkomen. Het belangrijkste verschil? NEN 7510 is specifiek bedoeld voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie, terwijl ISO 27001 de algemene en internationaal geldende norm is voor informatiebeveiliging ongeacht de branche waarin men actief is.
ISO 27001
Elke organisatie heeft te maken met data en informatie. Er is tegenwoordig eigenlijk geen ontkomen meer aan. Dat betekent dat – zelfs in branches waar dit onderwerp niet tot de verbeelding spreekt – men iets moet met informatieveiligheid en informatiebeveiliging. Dat moet van de klant, die natuurlijk wil dat zijn data veilig zijn. Maar het moet ook van de overheid. Tenminste, als het om persoonlijke data gaat. Elke organisatie krijgt te maken met wetten en regels omtrent databeveiliging. Denk maar aan de nieuwe Algemene Verordening Gegevensbescherming (AVG / GDPR) die per mei 2018 gaat gelden. En daarom doet elke organisatie er verstandig aan een informatiebeveiligingsmanagementsysteem op te zetten volgens ISO 27001.
NEN 7510
Zeker in de zorgsector waar persoonlijke gezondheids- en patiëntgegevens worden beheerd en uitgewisseld is informatiebeveiliging belangrijk. NEN 7510 is speciaal opgesteld voor deze zorg- en welzijnssector en ‘spreekt’ de Nederlandse zorgtaal.
NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen, die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. De norm bevat een uitgebreide inleiding, die ingaat op specifiek Nederlandse context van wet- en regelgeving en actuele ontwikkelingen. Het handhaven van de vertrouwelijkheid, beschikbaarheid en integriteit (met inbegrip van authenticiteit, toerekenbaarheid en controleerbaarheid) van informatie is en blijft het overkoepelende doel van informatiebeveiliging.
Afhankelijk van branche en activiteiten komt het voor dat bedrijven, organisaties en instellingen zich volgens ISO 27001 én NEN 7510 willen laten certificeren. Overigens betekent het niet dat u daar veel extra tijd in hoeft te steken; beide normen overlappen in hoge mate.
Wilt u weten in hoeverre u voldoet aan de eisen uit ISO 27001 en NEN 7510? Of wat u daar nog in kunt verbeteren? Neem contact op met Conformiso. Wij gaan graag het gesprek met u aan.