Artikel bewaren

U heeft een account nodig om artikelen in uw profiel op te slaan

Login of Maak een account aan
Reacties0

NEN7510: zucht of zegen?

Mark van Dorresteijn
De nieuwste versie van de norm NEN7510 voor informatiebeveiliging in de zorg dateert van oktober 2011. Deze versie vervangt de voorgaande versies alsmede de normen NEN7511-1, NEN7511-2 en NEN7511-3. Zorgorganisaties hebben inmiddels enige ervaring met de overstap op de nieuwe versie. Wat zijn de verbeteringen ten opzichte van de oude versie, hoe pas je de norm toe en wat is het nut van NEN7510 audits?
NEN7510: zucht of zegen?

In het begin van dit millennium was er nog geen aparte norm voor de zorg. In het Verenigd Koninkrijk werd op het gebied van informatiebeveiliging de norm BS 7799 toegepast, die in Nederland werd aangepast onder de naam Code voor Informatiebeveiliging (CvIB), de nieuwe NEN-ISO/IEC 17799. Met de CvIB in het achterhoofd werd in 2004 een eigen norm ontwikkeld, speciaal gericht op de zorg (NEN 7510 en 7511). Zorgspecifieke elementen zijn aangescherpt en extra aandacht is geschonken aan de beheersing van de toegang tot gegevens. Omdat er grote verschillen bestaan tussen verschillende zorginstellingen, bijvoorbeeld in de inrichting van processen en in bedrijfscultuur, heeft de normcommissie zorgorganisaties ingedeeld in clusters. Voor drie typen organisaties (complexe organisaties, samenwerkingsverbanden en solopraktijken) zijn aparte normen en te nemen maatregelen opgesteld. De globale aanpak bleef echter voor alle zorginstellingen gelijk.

De nieuwe NEN7510

De nieuwste versie is een substantiële verbetering ten opzichte van de oude versie. Zo is in de nieuwe NEN7510 aandacht voor de inrichting van het managementsysteem voor informatiebeveiliging (ISMS) en voor risicomanagement.

ISMS heeft een prominente plaats gekregen en wordt in separate paragrafen uitgebreid behandeld. Per fase (Plan, Do, Check en Act) is beschreven welke stappen genomen moet worden. Met de nieuwe norm kan daardoor een goede basis worden gelegd voor de inrichting van een managementsysteem, waarmee de informatiebeveiliging doorlopend wordt gecontroleerd op mogelijke verbeteringen.

De inrichting van een ISMS is als verplichting opgenomen in de norm. De beheersmaatregelen die behandeld worden, zijn niet verplicht en alleen van toepassing als de uitkomsten van een risicoanalyse aanleiding geven tot de maatregelen.

Niet alleen het managementsysteem, maar ook risicomanagement heeft – terecht – een prominentere plaats gekregen. De nieuwe NEN7510 behandelt twee vormen van risicoanalyse: de integrale risicoanalyse waarin alle aspecten van informatiebeveiliging de revue passeren en de objectrisicoanalyse van ‘losse’ objecten. De laatste komt met name aan de orde als NEN7510 vraagt om ‘passende’ maatregelen. Je zal dan moeten nagaan wat niet passend is en dat doe je via een objectrisicoanalyse. Risicomanagement – mits organisatiebreed uitgevoerd – zorgt voor een beter bewustzijn van dreigingen en de noodzaak tot het treffen van maatregelen. Niet voor niets had risicoanalyse ook bij de NEN7510-audits, zoals deze bij ziekenhuizen in 2010 conform het NVZ Toetsingsreglement Informatiebeveiliging versie 19-04-2010 zijn uitgevoerd, een prominente plaats.

Wat betreft de indeling in aandachtsgebieden is de NEN7510 in lijn gebracht met de huidige normen ISO27001 en ISO27002. Hierdoor loopt de indeling in hoofdstukken, paragrafen en titels synchroon. In de oude norm week ongeveer 30 procent van de (sub)paragraafnummers af en ook de titels van de (sub)paragrafen verschilden. Verder waren enkele (sub)paragrafen ondergebracht bij andere hoofdstukken.

In de nieuwe norm, is in lijn met ISO27002, een duidelijke onderverdeling gemaakt per hoofdbeveiligingscategorie, namelijk eerst de ‘beheersdoelstelling’ en vervolgens een of meerdere ‘beheersmaatregelen’, ‘aandachtspunten en aanbevelingen voor implementatie’ van de beheersmaatregel en een onderdeel ‘overige informatie’ (voorheen beschreven onder het kopje ‘toelichting’) om rekening mee te houden. Het heeft grote voordelen dat de verschillende normen nu met elkaar in lijn zijn. Wie goed met ISO27001 en ISO27002 uit de voeten kan, kan direct aan de slag met NEN7510. Voor ‘starters’ – ook buiten de zorg – is NEN7510 beslist een aanrader omdat deze door een ander woordgebruik beter te lezen en doorgronden is dan de ISO-normen en veel voorbeeldmateriaal voorhanden is.

Toepassing van NEN7510

In de uitvoering lijkt het er maar al te vaak op dat beveiligers ‘beveiligen om het beveiligen’. Als een beveiligingsmaatregel mogelijk is, moet deze ook daadwerkelijk worden genomen. Een voorbeeld is een onnodig zwaar wachtwoordbeleid. Je kan een maandelijkse wijziging van het wachtwoord afdwingen, dus doe het dan ook maar. Te vaak ervaren de medewerkers die het ondergaan, de invoering van beveiligingsstandaarden op deze manier.

Dit gevaar loop je ook met NEN7510. Deze bevat een groot aantal beveiligingsmaatregelen dat in de zorg in vol ornaat gevoerd zouden ‘moeten’ worden. Jammer genoeg wordt vaak op deze wijze met NEN7510 omgegaan. Het zet de norm in een kwaad daglicht, terwijl de standaard veel kan betekenen voor zorginstellingenbij de opzet van informatiebeveiliging.

Het is raadzaam genuanceerder om te gaan met NEN7510. Beveiligingsmaatregelen zijn nodig om risico’s tot een acceptabel niveau terug te brengen. Laat een risicoanalyse uitwijzen welke maatregelen nodig zijn en welke niet. Een zorgvuldig uitgevoerde en gedocumenteerde risicoanalyse vormt een goede onderbouwing voor het beveiligingsplan. Hiermee kan het management een verantwoorde afweging maken. Mede door de nieuwe norm en de aandacht voor risicomanagement hierin is men zich meer bewust geworden van de verschillende nuances en mogelijkheden, alsmede van het feit dat men in het verleden veelal onbewust geringe en grotere restrisico’s heeft geaccepteerd.

Nut van NEN7510 audits

Het afgelopen decennium is het niet meegevallen om de zorg ‘aan de informatiebeveiliging te krijgen’. Vanuit verschillende hoeken is behoorlijke druk uitgeoefend om de zorg meer verantwoord om te laten gaan met informatie. In 2010 moesten de ziekenhuizen in Nederland via een externe NEN7510-audit aan de Inspectie voor de Gezondheidszorg (IGZ) laten zien dat zij serieus bezig waren met structurele informatiebeveiliging. De NVZ vereniging van ziekenhuizen heeft in reactie hierop een externe certificerende instelling de opdracht gegeven een NVZ Toetsingsreglement Informatiebeveiliging samen te stellen. Dit toetsingsreglement moet worden gezien als een ad hoc norm en was niet bedoeld als reglement voor certificatie-audits ter beoordeling van conformiteit met de volledige NEN7510 norm. Het reglement omvatte de integrale risicoanalyse en een selectie van 33 normelementen uit de ‘oude’ NEN7510.

Een terechte vraag is in hoeverre het zinvol is om externe audits als stok achter de deur te gebruiken om zaken gedaan te krijgen. Immers het hoofddoel verschuift dan naar ‘compliant zijn’ in plaats van het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie op een fatsoenlijk niveau. Veel tijd en aandacht wordt gestoken in compliancy, terwijl een investering in de juiste maatregelen, als uitkomst van risicomanagement en evaluatie, een hoger rendement zou hebben gehad.

Daarnaast is het de vraag of audits opleveren wat ze zouden moeten opleveren. Het is een ‘klassiek probleem’: audits zijn voor een groot deel mensenwerk. Het is een uitdaging om zo te meten dat onder gelijke omstandigheden maar één uitkomst mogelijk is ongeacht wie de audit uitvoert. In de praktijk blijkt: zoveel auditors, zoveel uitkomsten. Zelfs wanneer de auditors afkomstig zijn van dezelfde certificerende instantie en even bekwaam zijn.

Gerichte onderzoeksvragen

In plaats van in de volle breedte te toetsen op NEN7510, is het vaak zinvoller om gerichte onderzoeksvragen te beantwoorden, bijvoorbeeld:

Zijn de beschikbaarheid van informatie en de continuïteit van de informatievoorziening afdoende gewaarborgd?

De zorg gebruikt steeds minder papier. Door verregaande digitalisering is men in het primaire proces meer en meer afhankelijk geworden van ict. Zo afhankelijk dat de medische staf zich tegenwoordig terecht afvraagt of de continuïteit van de informatievoorziening wel in voldoende mate gewaarborgd is. Een audit ict-continuïteit kan deze vraag beantwoorden.

Is de privacy van patiënten in voldoende mate gewaarborgd?

Steeds meer informatie van en over patiënten wordt digitaal in verschillende systemen bewaard. En verschillende informatiesystemen worden gekoppeld tot grotere informatiesystemen. Nieuws in de media over cybercrime en de narigheid die mensen thuis ondervinden van malware en phishing ondervindt heeft gezorgd voor een toegenomen bewustwording van de risico’s. Steeds meer patiënten (klanten!) vragen zich af of hun medische gegevens wel afdoende beveiligd zijn. Een privacy-audit kan hier antwoord op geven.

Met de uitkomsten van specifieke audits is het mogelijk om gerichter te werk te gaan en informatiebeveiliging aan te laten sluiten op de beleving en belangen van de diverse betrokkenen.

Rein de Vries, senior consultant en partner, en André van Soest, adviseur bij LBVD

Geef uw reactie

Om te kunnen reageren moet u ingelogd zijn. Heeft u nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.