Waarom een nieuwe versie van de NEN 7510?
De NEN 7510 is nauw verbonden met de internationale normen ISO 27001 en ISO 27799. In 2022 is er een update geweest van de ISO 27001, en dat heeft directe gevolgen voor de NEN 7510. Om de NEN 7510 weer in lijn te krijgen met deze vernieuwde internationale ISO 27001 standaard, is een update van de Nederlandse norm noodzakelijk.
Daarnaast heeft de herziening van de zorgspecifieke ISO 27799 ook een rol gespeeld in de vernieuwing. Het vernieuwden van de ISO 27001 was namelijk een mooie reden om ook weer eens te kijken naar de zorgspecifieke beheersmaatregelen van de ISO 27799. Deze beheersmaatregelen bleken wel aan verandering toe, mede vanwege de eisen vanuit de NIS2. Zo zijn er meerdere normen betrokkenen bij de wijzigingen die aanstaande zijn binnen de NEN 7510.
Wat zijn de belangrijkste veranderingen?
De nieuwe NEN 7510 bevat flink wat updates die van invloed zijn op zorginstellingen en andere partijen die werken met persoonlijke gezondheidsinformatie. In het kort zijn dit de belangrijkste aanpassingen:
- Aanvullingen op zorgspecifieke beheersmaatregelen: Er zijn 14 aanvullingen op de bestaande ISO-maatregelen en 8 extra maatregelen die specifiek gericht zijn op de zorg. Deze zijn het resultaat van een internationale herziening en zijn bedoeld om beter te voldoen aan de huidige eisen rondom informatiebeveiliging.
- Nieuwe hoofdstukken voor beheersmaatregelen: Waar de oude norm 117 beheersmaatregelen bevatte, kent de vernieuwde versie er 101. Deze zijn nu verdeeld over vier hoofdstukken: organisatie, mensen, fysiek en technologie. Dit zorgt voor een logischere structuur, maar vergt ook aanpassingen van organisaties die momenteel met de oude norm werken.
- Aanpassingen in het ISMS: Het informatiebeveiligingssysteem (ISMS) blijft grotendeels hetzelfde, maar er zijn enkele nieuwe elementen toegevoegd. Een opvallende nieuwe eis is dat zorginstellingen explicieter moeten aangeven of ze wettelijke en contractuele informatiebeveiligingseisen wel of niet opnemen in hun ISMS. Dit is een belangrijke wijziging die vraagt om meer duidelijkheid van organisaties.
- Klimaatverandering: De impact van klimaatverandering op de organisatie, zoals opgenomen in de ISO-normen, is nu ook geïntegreerd in de vernieuwde NEN 7510.
- Veranderingen in Bijlage A: De grootste wijzigingen zitten in Bijlage A, waar de meeste beheersmaatregelen beschreven staan. Nieuwe maatregelen zoals configuratiebeheer en het wissen van informatie brengen uitdagingen met zich mee, vooral voor organisaties met eigen IT-systemen.
Wat is de impact voor zorginstellingen?
Voor veel zorginstellingen voelt de komst van de vernieuwde NEN 7510 als een extra last. Na jaren van investeren in tijd, middelen en mankracht om te voldoen aan de oude norm, moet er nu opnieuw veel worden aangepast. Dit kan als overweldigend worden ervaren, maar de veranderingen zijn noodzakelijk om te blijven voldoen aan de nieuwste standaarden in informatiebeveiliging.
Zorginstellingen die al gecertificeerd zijn volgens de oude NEN 7510, zullen de komende jaren moeten overstappen naar de nieuwe versie. Deze update brengt zowel nieuwe beheersmaatregelen als het schrappen van enkele bestaande met zich mee. Zo zijn zorgspecifieke eisen rond ‘screening’ en het gebruik van de ‘zorgrelatie’ als basis voor toegang tot persoonlijke gezondheidsinformatie komen te vervallen. Ook het Informatiebeveiligingsmanagementforum (IBMF), dat bij veel zorginstellingen aanwezig is, maakt geen deel meer uit van de nieuwe norm. Wat wél terugkomt, is de verplichting om persoonlijke gezondheidsinformatie in back-ups te versleutelen.
De planning en overgangsperiode
Op dit moment is de nieuwe norm nog in de consultatiefase, die loopt tot 22 september 2024. Experts hebben tot die tijd de kans om feedback te geven op de conceptversie van de NEN 7510:2024. In december 2024 wordt de definitieve versie verwacht, waarna certificatie-instellingen zich kunnen accrediteren om audits uit te voeren. De eerste certificaten volgens de nieuwe norm worden waarschijnlijk vanaf april 2025 afgegeven.
De verwachting is dat er een overgangsperiode komt waarin organisaties kunnen overstappen van de oude naar de nieuwe norm, vergelijkbaar met eerdere overgangen van ISO-normen. Dit betekent dat er waarschijnlijk een einddatum wordt genoemd (mogelijk ergens in 2028), waarna deze mogelijk nog wordt opgeschoven om iedereen de tijd te geven de veranderingen door te voeren.
Hoe nu verder?
Wil je als zorginstelling alvast aan de slag met de nieuwe NEN 7510? Dat kan! Zorg ervoor dat je de nieuwe beheersmaatregelen en eisen goed in kaart brengt en je ISMS daarop aanpast. Het is verstandig om niet te wachten tot de nieuwe norm officieel van kracht is, zodat je straks goed voorbereid bent op de transitie. Wij kunnen je hier ook bij helpen! Neem daarom gerust vrijblijvend contact met ons op.