Tot 22 september 2024 is het mogelijk commentaar te leveren op de voorgestelde wijzigingen in de herziene NEN 7510, ‘Informatiebeveiliging in de zorg’.
NEN 7510 is sinds de eerste publicatie in 2004 een begrip voor informatiebeveiliging in de zorg. Naast het periodieke onderhoudsmoment van vijf jaar, vormen ook de herziening van de normen ISO/IEC 27001 ‘Managementsystemen voor informatiebeveiliging’, ISO/IEC 27002 ‘Beheersmaatregelen voor informatiebeveiliging’ en ISO 27799 ‘Informatiebeveiligingsmanagement in de gezondheidszorg’ aanleiding voor de herziening.
Werkgroep
Bij normontwikkeling is het belangrijk dat alle belanghebbende partijen mee kunnen doen. In een werkgroep is de nieuwe tekst voorbereid en uitgebreid bediscussieerd. Zorginstellingen, ICT-leveranciers (in de rol van verwerker van persoonlijke gezondheidsinformatie), vertegenwoordigers van zorggebruikers- en patiëntenorganisaties, zorgverzekeraars, adviesbureaus en certificerende instellingen hebben hieraan gewerkt. Tijdens de publieke consultatie kunnen alle belanghebbenden deze inspanningen beoordelen en via het leveren van commentaar, de normteksten nog bijschaven.
De scope van NEN 7510 richt zich op zorgorganisaties en andere beheerders van persoonlijke gezondheidsinformatie. Bij leveranciers is het relevant te constateren of zij zelf persoonlijke gezondheidsinformatie ‘verwerken’.
Bij de ontwikkeling van de herziene tekst zijn alle belanghebbende partijen nauw betrokken. De werkgroep die de nieuwe tekst heeft voorbereid, bestaat uit zorginstellingen, ICT-leveranciers (die optreden als verwerkers van persoonlijke gezondheidsinformatie), vertegenwoordigers van zorggebruikers- en patiëntenorganisaties, zorgverzekeraars, adviesbureaus en certificerende instellingen.
Nauwe samenwerking
Bij de ontwikkeling van de herziene tekst zijn alle belanghebbende partijen nauw betrokken. De werkgroep die de nieuwe tekst heeft voorbereid, bestaat uit zorginstellingen, ICT-leveranciers (die optreden als verwerkers van persoonlijke gezondheidsinformatie), vertegenwoordigers van zorggebruikers- en patiëntenorganisaties, zorgverzekeraars, adviesbureaus en certificerende instellingen.
NEN: wat is het en wat doet het?
Goede afspraken over producten, diensten en werkwijzen zijn belangrijk. Is veiligheid in het geding, dan zijn ze zelfs van levensbelang. Zoals afspraken over speeltoestellen, woningen, ontruimingsplannen en cyber security. In Nederland is NEN al ruim 100 jaar het centrum van normalisatie. NEN helpt bedrijven en andere partijen om onderling heldere en toepasbare afspraken te maken. NEN vertegenwoordigt ook Nederlandse bedrijven en partijen om samen met centra in andere landen afspraken te maken op Europees en zelfs internationaal niveau.
Commentaar geven op de voorgestelde wijzigingen kan tot uiterlijk 22 september 2024 hier voor‘Informatiebeveiliging in de zorg – Deel 1: Managementsysteem’ en hier voor ‘Deel 2: Beheersmaatregelen’.
Belangrijkste wijzingen
NEN 7510-1: op basis van ISO 27001:
- Van High Level Structure naar Harmonized Structure
- Amendement klimaatverandering als verplicht aandachtspunt in de contextanalyse
- Nieuwe bijlage A
NEN 7510-2 is: op basis van ISO 27002 + ISO 27799:
- Flink gewijzigd qua structuur, teksten aangescherpt
- Herschikt van hoofdstuk 5 – 15 naar hoofdstuk 5 – 8
- Geactualiseerd naar de laatste stand van de techniek
- Diverse maatregelen zijn samengevoegd
- Doelstelling per maatregel toegevoegd
- Kenmerken per maatregel toegevoegd
- Aangevuld vanuit NIS2
- De implementatierichtlijn is niet meer vrijblijvend, maar comply-or-explain (ook in VvT)
Door de toelichtende webinar van 12 juli te bekijken worden alle wijzingen duidelijk.