Geen consequenties NEN 7510 door overname ISO27001/2 EU
20-04-2017
Recentelijk zijn de belangrijkste internationale normen voor informatiebeveiliging, ISO 27001 en ISO 27002 overgenomen als Europese normen. Dit betekent dat beide normen in alle Europese landen als nationale norm worden gepubliceerd en conflicterende nationale normen worden ingetrokken. Inhoudelijk zijn de normen niet gewijzigd.
ISO 27001 ‘Informatietechnologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Eisen’ en ISO 27002 ‘Informatietechnologie – Beveiligingstechnieken – Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging’ zijn de voornaamste bronnen voor de revisie van NEN 7510 ‘Medische informatica – Informatiebeveiliging in de zorg’.
De nieuwe editie van NEN 7510 bestaat uit twee delen. Deel 1 bevat de normatieve voorschriften voor het managementsysteem volgens ISO 27001. Deel 2 vormt de Nederlandse weergave van ISO 27002 én de Europese en mondiale norm EN-ISO 27799 ‘Medische informatica – Informatiebeveiligingsmanagement in de gezondheidszorg volgens ISO/IEC 27002’ waarin de beheersmaatregelen zijn opgenomen. Specifiek voor de zorg zijn aanvullende beheersmaatregelen beschreven in EN-ISO 27799. Deze zijn vertaald en integraal in de nieuwe NEN 7510 opgenomen. De nieuwe norm biedt daarmee een integraal Nederlandstalig kader voor informatiebeveiliging, toegespitst op de Nederlandse situatie in de zorg. Door het overnemen van de ISO 27001 als basis voor het informatiebeveiligingsmanagementsysteem, is daarmee ook de High Level Structure (HLS) onderdeel van NEN 7510. NEN 7510 is hierdoor compatibel met andere managementsysteemnormen die de HLS volgen. Het normontwerp NEN 7510:2017 is momenteel gepubliceerd voor de externe commentaarperiode van drie maanden
ISO 27001 en ISO 27002 zijn onveranderd overgenomen door CEN en er is alleen een Europees voorwoord toegevoegd aan beide normen, waarin de status van de Europese norm is toegelicht. Het Europees overnemen van ISO 27001 en ISO 27002 heeft geen consequenties voor het normontwerp NEN 7510:2017.
NEN 7510 is en blijft de sectorspecifieke uitwerking van de huidige Europese en mondiale normen 27001, 27002 en 27799 voor de Nederlandse gezondheidszorg. In de nieuwe wet ‘Clientrechten bij elektronische verwerking van gegevens’ wordt verwezen naar NEN 7510 voor de invulling van adequate informatiebeveiliging.