De verschillen tussen ISO 27001 en NEN 7510
Door de toegenomen digitalisering wordt online informatiebeveiliging steeds belangrijker. Tegelijkertijd blijft het belangrijk om offlinedocumenten veilig te bewaren. We willen namelijk niet dat vertrouwelijke informatie, zoals persoonlijke gezondheidsinformatie, in verkeerde handen valt. ISO 27001 en NEN 7510 zijn bekende normen die regels en richtlijnen stellen rondom het omgaan met deze informatie. Ondanks dat beide normen erg op elkaar lijken, verschillen ze wel van elkaar. In deze blog leest u meer over ISO 27001, NEN 7510, en hoe deze van elkaar verschillen.
ISO 27001
ISO 27001
is de wereldwijde standaard voor informatiebeveiliging. De norm biedt richtlijnen en structuur bij het opstellen van een managementsysteem voor informatiebeveiliging, zowel offline als online informatie. De risico’s rondom informatiebeheer worden met maatregelen zo klein mogelijk gemaakt. Daarbij kan je denken aan wachtwoorden voor digitale bestanden, of sleutels voor kasten met fysieke bestanden. Maatregelen om deze risico’s te beheersen staan in ISO 27002; een bijlage van ISO 27001.
NEN 7510
NEN 7510
is een nationale norm in Nederland. Deze is specifiek gericht op organisaties die werken met persoonlijke gezondheidsinformatie. De norm is dus met name bedoeld voor zorginstellingen en toeleveranciers van bedrijven in de zorg. Het gaat daarbij niet alleen om informatie die een organisatie intern opslaat, maar ook om gegevens die zorginstellingen onderling uitwisselen. Denk daarbij aan het overdragen van het patiëntendossier van de huisarts naar het ziekenhuis. De opbouw van NEN 7510 is bijna gelijk aan die van ISO 27001. De norm bestaat uit twee delen. Het eerste deel bestaat uit de richtlijnen voor een goed informatiebeheersysteem. Het tweede deel vormt een verdieping op het eerste deel.
De verschillen
Maar wat zijn dan de verschillen tussen ISO 27001 en NEN 7510? Eén van de belangrijkste verschillen is de reikwijdte van de normen. ISO 27001 is een internationale norm, die is ontwikkeld door ISO (International Organization for Standardization). NEN 7510 is daarentegen gebaseerd op ISO 27799 en ontwikkeld door NEN (Nederlandse Norm). Het is alleen in Nederland van kracht. Daarnaast is ISO 27001 voor veel verschillende soorten organisaties geschikt. NEN 7510 is alleen van toepassing voor zorginstellingen en beheerders van persoonlijke informatie over de gezondheid. De focus van NEN 7510 ligt dan ook op persoonlijke gezondheidsinformatie, terwijl ISO 27001 zich richt op alle vertrouwelijke informatie binnen de organisatie. De verdieping van NEN 7510 bevat bovendien extra aanvullingen van maatregelen die specifiek op de zorg zijn gericht.
De norm voor uw organisatie
Welke norm is het meest geschikt voor uw organisatie? Als vuistregel kunt u aanhouden dat wanneer u bij een zorginstelling werkt, u kiest voor NEN 7510. Werkt u niet in de zorg maar wel met persoonlijke gezondheidsinformatie? Bijvoorbeeld als IT-organisatie met een zorginstelling als klant? Dan doet u er goed aan om naast ISO 27001 ook te voldoen aan NEN 7510. Om als beheerder gecertificeerd te kunnen worden tegen NEN 7510 laat u zien op welke manier u in aanraking komt met deze gezondheidsgegevens. En om welke activiteiten, producten of diensten het gaat. Dit kunt u bijvoorbeeld doen met behulp van een verwerkersovereenkomst. Ook moet u aangeven welke zorg-specifieke beheersmaatregelen u neemt om deze informatie veilig te beheren. Heeft u geen klanten in de zorg en beheer je wel vertrouwelijke informatie? Dan is ISO 27001 geschikt. Wilt u meer weten over informatiebeveiliging bij DEKRA? Ontdek het
hier.