VacaturesOrganisaties die werken met gevoelige informatie krijgen al snel te maken met normen voor informatiebeveiliging. Twee normen die daarbij vaak worden genoemd zijn ISO 27001 en NEN 7510. Ze lijken sterk op elkaar en zijn inhoudelijk nauw verwant, maar toch zijn ze niet uitwisselbaar. Zeker binnen de zorgsector is het belangrijk om het verschil goed te begrijpen.
In deze blog leggen we uit wat de overeenkomsten en verschillen zijn tussen NEN 7510 en ISO 27001, wanneer welke norm van toepassing is en waarom zorgorganisaties vaak niet kunnen volstaan met alleen ISO 27001.
De basis: informatiebeveiliging volgens een managementsysteem
Zowel ISO 27001 als NEN 7510 zijn normen voor het inrichten van een Information Security Management System (ISMS). Beide normen vragen van organisaties dat zij informatiebeveiliging niet ad hoc regelen, maar structureel en risicogestuurd aanpakken.
In beide gevallen begint dit met het in kaart brengen van risico’s, het bepalen van passende beheersmaatregelen en het vastleggen van beleid, verantwoordelijkheden en procedures. Ook continue verbetering speelt een centrale rol: organisaties moeten hun beveiliging regelmatig evalueren, testen en bijstellen.
Tot dit punt lopen de normen grotendeels gelijk. Het verschil zit vooral in de context waarin ze worden toegepast en in de aanvullende eisen die NEN 7510 stelt.
Wat is ISO 27001?
ISO 27001 is een internationale norm die toepasbaar is op organisaties in alle sectoren. Of u nu actief bent in de industrie, dienstverlening, IT, logistiek of overheid, ISO 27001 biedt een universeel raamwerk om informatiebeveiliging te organiseren.
De norm richt zich op het beschermen van alle soorten informatie, zoals klantgegevens, bedrijfsinformatie, intellectueel eigendom en digitale systemen. ISO 27001 laat veel ruimte voor maatwerk: organisaties bepalen zelf, op basis van hun risicoanalyse, welke beveiligingsmaatregelen nodig zijn.
Daarmee is ISO 27001 breed inzetbaar en geschikt voor organisaties die willen aantonen dat zij professioneel omgaan met informatiebeveiliging.
Wat maakt NEN 7510 anders?
NEN 7510 is specifiek ontwikkeld voor de Nederlandse zorgsector. De norm bouwt voort op ISO 27001, maar vertaalt de eisen naar de praktijk van zorgverlening en het werken met medische gegevens.
Het belangrijkste verschil is dat NEN 7510 expliciet rekening houdt met de aard van patiëntgegevens en zorgprocessen. In de zorg is informatie niet alleen vertrouwelijk, maar ook direct gekoppeld aan patiëntveiligheid. Een systeem dat tijdelijk niet beschikbaar is, kan directe gevolgen hebben voor behandeling en zorgverlening.
Daarom stelt NEN 7510 aanvullende en strengere eisen op onderwerpen zoals toegangsbeheer, logging van inzage in patiëntendossiers, continuïteit van zorgsystemen en autorisaties van zorgverleners. Deze eisen sluiten aan op Nederlandse zorgwetgeving en de verwachtingen van toezichthouders.
Wettelijke context: zorg versus algemene sectoren
Een belangrijk verschil tussen ISO 27001 en NEN 7510 zit in de relatie met wetgeving. ISO 27001 ondersteunt naleving van de AVG, maar is niet specifiek afgestemd op één sector.
NEN 7510 sluit daarentegen direct aan op Nederlandse zorgwetgeving, zoals de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). Toezichthouders zoals de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd gebruiken NEN 7510 in de praktijk als referentiekader bij controles in de zorg.
Dat betekent dat een zorgorganisatie met alleen ISO 27001 vaak onvoldoende kan aantonen dat zij voldoet aan de specifieke wettelijke eisen die voor zorginformatie gelden.
Is ISO 27001 voldoende voor zorgorganisaties?
In de meeste gevallen is het antwoord: nee. Hoewel ISO 27001 een sterke basis biedt, mist de norm de zorgspecifieke verdieping die NEN 7510 wel heeft.
Zorginstellingen, maar ook ICT-leveranciers en andere partijen die toegang hebben tot patiëntgegevens, krijgen daarom steeds vaker de eis om NEN 7510 toe te passen of gecertificeerd te zijn. ISO 27001 kan daarbij een goede basis vormen, maar moet worden aangevuld met de eisen uit NEN 7510.
Combinatie van ISO 27001 en NEN 7510
Veel organisaties kiezen voor een gecombineerde aanpak. Omdat NEN 7510 is gebaseerd op ISO 27001, kunnen beide normen goed worden geïntegreerd in één managementsysteem.
Organisaties die al ISO 27001 hebben geïmplementeerd, hoeven meestal geen volledig nieuw systeem op te zetten. Door aanvullende maatregelen te treffen en zorgspecifieke eisen te borgen, kan het bestaande ISMS worden uitgebreid naar NEN 7510.
Deze combinatie biedt het voordeel dat organisaties zowel internationaal als binnen de zorg aantoonbaar voldoen aan hoge eisen voor informatiebeveiliging.
Wat betekent dit voor leveranciers in de zorg?
Niet alleen zorginstellingen zelf, maar ook leveranciers krijgen met dit verschil te maken. ICT-bedrijven, softwareleveranciers en hostingpartijen die zorgdata verwerken, worden steeds vaker contractueel verplicht om te voldoen aan NEN 7510.
Een ISO 27001-certificaat alleen is dan niet altijd voldoende. Opdrachtgevers verwachten dat leveranciers aantoonbaar rekening houden met zorgspecifieke risico’s en wetgeving.
ISO 27001 en NEN 7510 zijn nauw verwant, maar hebben een verschillend toepassingsgebied. ISO 27001 is een brede, internationale norm voor informatiebeveiliging in alle sectoren. NEN 7510 is specifiek ontwikkeld voor de Nederlandse zorg en stelt aanvullende eisen om patiëntgegevens en zorgprocessen te beschermen.
Voor zorgorganisaties en hun leveranciers is NEN 7510 in de praktijk vaak onmisbaar. ISO 27001 kan een goede basis vormen, maar biedt zonder aanvulling onvoldoende zekerheid dat aan zorgwetgeving en toezichteisen wordt voldaan.
Wilt u weten welke norm voor uw organisatie van toepassing is of hoe u ISO 27001 en NEN 7510 slim kunt combineren? Bij Diks Process Support begeleiden wij zorgorganisaties en leveranciers bij de implementatie, uitbreiding en certificering van beide normen. Neem gerust contact op voor een vrijblijvend adviesgesprek.