Het verschil tussen de NEN 7510 en de ISO 27001 normen

iso 27001

Informatiebeveiliging is een veelbesproken onderwerp en dat is natuurlijk niet voor niets. Sinds de invoering van de Algemene verordening persoonsgegevens (de AVG) in Europa zijn de regels rondom (persoonsgebonden) gegevensbescherming een stuk strenger. Daarom moet u ervoor zorgen dat de managementsystemen voor informatiebeveiliging van uw organisatie goed op orde zijn. Dit kunt u aantonen met een NEN- of ISO-certificaat. Maar wat is nou precies het verschil tussen deze twee certificaten?

ISO 27001 & ISO 27002

ISO 27001 helpt u bij het opstellen van een managementsysteem voor informatiebeveiliging. Het certificaat laat aan uw klanten zien dat u belang hecht aan privacy en zorgvuldig met persoonlijke gegevens omgaat. De basis van het managementsysteem is een analyse van de risico’s die uw organisatie loopt als het om informatiebeheer gaat. Om de verschillende risico’s te beheersen zijn er verschillende maatregelen. Deze maatregelen zijn opgenomen in ISO 27001 & ISO 27002.

In totaal zijn er 114 maatregelen die per onderwerp in 14 hoofdstukken zijn verdeeld. Een belangrijke eis aan uw managementsysteem is dat de beheersmaatregelen overeenkomen met de geïdentificeerde risico’s. Wilt u graag het ISO-certificaat behalen? Dan is dit een harde eis om aan te voldoen.

NEN 7510

De structuur van de NEN 7510 is bijna gelijk aan die van de ISO 27001. De NEN 7510 norm bestaat uit twee delen, de 7510-1 en de 7510-2. Het eerste deel is vergelijkbaar met de ISO 27001, de tweede is vergelijkbaar met de ISO 27002. Bij de NEN-norm is het pakket van maatregelen met betrekking tot patiëntgegevens een stuk uitgebreider.

Het gaat hier niet alleen om de gegevens die een zorginstelling zelf verwerkt. Er wordt hier ook rekening gehouden met de informatie die verschillende instellingen onderling uitwisselen of die een zorginstelling en een toeleverancier uitwisselen. Kortom: elke organisatie die in aanraking kan komen met persoonlijke gezondheidsinformatie.

De normen met elkaar vergeleken

Als we de normen met elkaar vergelijken, zien we dat de NEN 75510 eigenlijk een uitbreiding is op de ISO-normering. Dit komt uiteraard omdat de zorg te maken heeft met zeer persoonlijke medische gegevens die direct invloed kunnen hebben op iemands leven.

Welke norm past bij u

Maar welke kiest u dan? Als u een zorgorganisatie bent, dan kiest u eigenlijk automatisch voor de NEN 7510. Dit wordt immers ook van u verwacht. Wilt u als zorginstelling graag internationaal gaan? Dan kunt u ervoor kiezen om naast het NEN 7510 certificaat ook voor de ISO 27001 te gaan. Bent u geen zorgorganisatie? Dan ligt de ISO 27001 het meest voor de hand. Dit verandert als een van uw klanten een zorginstelling is of u in aanraking komt met gegevens uit de zorg. Denk hierbij aan organisaties zoals zorgserviceproviders, gemeenten, toeleveranciers, hostingproviders etc. In dit geval bent u volgens de norm namelijk een andere beheerder van persoonlijke gezondheidsinformatie. Daarom moet u kiezen voor de NEN 7510.

Wat kan Schonewille voor u betekenen

Bij Schonewille helpen we u graag met:

  • Het opstellen van een informatiestroomregister.
  • Het formuleren van een persoonsgegevensbeleid.
  • Het bieden van organisatorische handvatten.
  • Het uitvoeren van een DPIA (audit) met een beoordeling.
  • Het ondersteunen met een certificeringstraject conform ISO 27001 of NEN 7510.

Veelgestelde vragen

Het belangrijkste verschil ligt in de scope. NEN 7510 is specifiek ontworpen voor de zorgsector en heeft uitgebreidere vereisten voor de bescherming van persoonlijke gezondheidsinformatie. ISO 27001 is breder van toepassing op informatiebeveiliging in verschillende sectoren.

Ja, een zorginstelling kan beide certificaten behalen als ze voldoen aan de vereisten van zowel NEN 7510 als ISO 27001. Dit kan gunstig zijn als de organisatie internationaal actief is.

Organisaties in de zorgsector, waaronder ziekenhuizen, huisartsenpraktijken en zorgverzekeraars, zijn verplicht om NEN 7510 te implementeren vanwege de gevoelige aard van patiëntgegevens.

ISO 27001 biedt een solide raamwerk voor informatiebeveiliging dat waardevol is voor organisaties buiten de zorgsector. Het kan hen helpen gegevens te beschermen, de algehele beveiliging te verbeteren en het vertrouwen van klanten en partners te vergroten.

NEN 7510 kan complexer zijn vanwege de specifieke vereisten voor de zorgsector. Beide normen vereisen echter een grondige analyse en implementatie.

De tijd die nodig is voor certificering hangt af van de grootte en complexiteit van uw organisatie. Het kan variëren van enkele maanden tot meerdere jaren. Voor een ISO 27000-certificering wordt een minimale tijd van 5 tot 6 maanden aangehouden. Hoe groter de organisatie, hoe langer dit kan duren.

Deel dit artikel

Facebook
Twitter
LinkedIn
WhatsApp

Recente nieuwsberichten

Wil je meer weten?
Neem dan gerust contact met ons op!

Verzenden