Eugenie Verhaar over de NEN 7510.
Wat heeft Eugenie Verhaar met de NEN 7510?
We zijn op bezoek bij Eugenie Verhaar, die voor diverse organisaties en bedrijven de rol van Security Officer en /of Functionaris Gegevensbescherming vervult. Ook ondersteunt zij organisaties met de voorbereidingen op een certificering tegen de ISO 27001 en/of de NEN 7510.
Eugenie is als docent betrokken bij de Security Academy en geeft trainingen over onder meer de Certified Implementer of ISO 27001 en de NEN 7510 Praktische Normtraining. Zij is een enthousiaste spreker, die door haar ruime werkervaring in staat is om de theorie te verbinden met de praktijk.
Wat zijn, in het kort, de verschillen zijn tussen de ISO 27001 en de NEN 7510?
Op het eerste gezicht lijken deze twee normenkaders erg op elkaar. Zowel de ISO 27001 als de NEN 7510 vragen om een ‘managementsysteem’. Een Plan Do Check Act Cyclus dus. Er zijn aan de Annex van de ISO 27001 een aantal eisen toegevoegd en zo is de NEN 7510 ontstaan. Ook zijn een paar eisen aan de body toegevoegd. Deze eisen zijn gericht op het beveiligen van persoonlijke gezondheidsinformatie. Deels gaat het om toevoegingen die eisen uit de ISO 27001 wat concreter maken. De NEN 7510 geeft wat minder ruimte om zelf te bepalen hoe de beveiliging wordt ingericht. Daarnaast is ook een aantal eisen toegevoegd die te maken hebben op het gebruik van informatie binnen de zorgprocessen.
Als de NEN 7510 gericht is op de zorg, kunnen ICT bedrijven zich dan ook laten certificeren?
Zowel ICT bedrijven als zorginstellingen kunnen zich laten certificeren tegen de NEN 7510. Een aantal van de ‘extra eisen’ uit de NEN 7510 zijn echter niet direct relevant voor ICT bedrijven, omdat zij geen zorgprocessen hebben. Van ICT bedrijven die een NEN 7510 certificaat willen, wordt wel verwacht dat ze zoveel mogelijk voldoen aan de extra eisen en ook hun diensten en producten moeten zo gemaakt zijn, dat zorginstellingen voldoende ondersteund worden om ook te voldoen.
Goh, dus ICT bedrijven zijn er indirect voor verantwoordelijk dat de zorginstellingen voldoen? Kun je daar een voorbeeld van geven?
Een duidelijk voorbeeld is dat de NEN 7510 eist dat applicaties met persoonlijke gezondheidsinformatie voorzien zijn van een beginscherm met een waarschuwing dat deze omgeving vertrouwelijke informatie bevat. Dit is primair een eis aan de zorginstelling, maar tijdens de audit met een ICT bedrijf die zo’n applicatie levert, zal de auditor vragen of de geboden applicatie zo’n scherm met deze melding heeft. De redenering is dat ICT bedrijven met een NEN 7510 certificaat moeten aantonen dat hun diensten en producten de zorginstellingen helpen om te voldoen.
Kan ik direct die eendaagse NEN7510 cursus volgen?
Dat hangt ervan af. Als je los bent op de ISO27001, dan wel. Anders zou ik sterk aanraden eerst die driedaagse cursus te volgen en pas daarna deze dag.
————–
Schrijf je in voor de nieuwe NEN7510 Praktische normtraining, of begin bij het begin en schrijf je in voor de Certified Implementer of ISO27001!