Publieke consultatie NEN 7510 tot 22 september

Tot 22 september 2024 kan commentaar worden geleverd op de voorgestelde wijzigingen in de herziene NEN 7510, ‘Informatiebeveiliging in de zorg’.

Sinds de eerste publicatie in 2004 is NEN 7510 een belangrijk referentiekader voor informatiebeveiliging in de zorg. De huidige herziening is niet alleen onderdeel van het periodieke onderhoud, dat elke vijf jaar plaatsvindt. De herziening is ook een reactie op de recente herzieningen van de normen ISO/IEC 27001 ‘Managementsystemen voor informatiebeveiliging’, ISO/IEC 27002 ‘Beheersmaatregelen voor informatiebeveiliging’ en ISO 27799 ‘Informatiebeveiligingsmanagement in de gezondheidszorg’.

Belangrijkste wijzingen
De belangrijkste voorgestelde wijzingen zijn:

NEN 7510-1: op basis van ISO 27001:

• Van High Level Structure naar Harmonized Structure
• Amendement klimaatverandering als verplicht aandachtspunt in de contextanalyse
• Nieuwe bijlage A

NEN 7510-2 is: op basis van ISO 27002 + ISO 27799:

• Flink gewijzigd qua structuur, teksten aangescherpt
• Herschikt van hoofdstuk 5 – 15 naar hoofdstuk 5 – 8
• Geactualiseerd naar de laatste stand van de techniek
• Diverse maatregelen zijn samengevoegd
• Doelstelling per maatregel toegevoegd
• Kenmerken per maatregel toegevoegd
• Aangevuld vanuit NIS2
• De implementatierichtlijn is niet meer vrijblijvend, maar comply-or-explain (ook in VvT)

Bekijk ook de toelichtende webinar van 12 juli voor meer informatie over het proces en de voorgestelde wijzigingen.

Commentaar indienen
Commentaar geven op de voorgestelde wijzigingen kan tot uiterlijk 22 september. Kijk hier voor ‘Informatiebeveiliging in de zorg – Deel 1: Managementsysteem’ en hier voor ‘Deel 2: Beheersmaatregelen’.

NEN 7510 is gestoeld op ISO 27001, ISO 27002 en ISO 27799. Deze normen worden zoveel mogelijk integraal aangehouden. Feedback is welkom voor de Nederlandse vertaling. Of als er essentiële, zorgspecifieke beheersmaatregelen worden gemist, waar nu geen zorgspecifieke aanvullingen voor zijn.

Nauwe samenwerking
Bij de ontwikkeling van de herziene tekst zijn alle belanghebbende partijen nauw betrokken. De werkgroep die de nieuwe tekst heeft voorbereid, bestaat uit zorginstellingen, ICT-leveranciers (die optreden als verwerkers van persoonlijke gezondheidsinformatie), vertegenwoordigers van zorggebruikers- en patiëntenorganisaties, zorgverzekeraars, adviesbureaus en certificerende instellingen.