NEN 7510:2017 – certificering

Informatiebeveiliging in de zorg

Informatieveiligheid en cybersecurity worden steeds belangrijker. NEN 7510 is de Nederlandse norm voor certificering van de informatiebeveiliging in de zorgsector. Met dit certificaat toont u aan dat u uw informatiebeveiliging op een structurele en aantoonbare manier is geborgd en steeds wordt bijgewerkt. Zo kunt u veilig en vol vertrouwen zaken doen en mogen klanten erop rekenen dat u veilig met hun data omgaat. Het is dus erg belangrijk om dit certificaat in huis te halen!

Wilt u graag het NEN 7510 certificaat behalen? Met onze slimme ondersteuningspakketten kunt u kiezen voor de aanpak die het beste aansluit bij uw budget, gewenste doorlooptijd en de benodigde ondersteuning. Graag de zekerheid van een certificeringsgarantie? Kies dan ons Compleet pakket. Vraag vandaag nog uw offerte aan!

Chantal NijmeijerUw product adviseur

Ondersteuningspakketten voor uw NEN 7510 certificering

3 manieren om de NEN 7510 certificering te behalen

Nulmeting en plan van aanpak  
Start Plus Compleet

Nulmeting en plan van aanpak

Nulmeting volgens NEN 7510
Nulmeting volgens NEN 7510
Nulmeting volgens NEN 7510
Nulmeting volgens NEN 7510

Risico analyse

Risico analyse uitvoeren en behandelplan vaststellen
Risico analyse uitvoeren en behandelplan vaststellen
Risico analyse uitvoeren en behandelplan vaststellen
Risico analyse uitvoeren en behandelplan vaststellen

Informatiebeveiligingsbeleid en -handboek

Op maat uitgewerkt ISMS handboek volgens NEN 7510
Op maat uitgewerkt ISMS handboek volgens NEN 7510
Op maat uitgewerkt ISMS handboek volgens NEN 7510
Op maat uitgewerkt ISMS handboek volgens NEN 7510

Verplichte informatiebeveiliging documenten

Op maat uitwerken van verplichte documenten
Op maat uitwerken van verplichte documenten
Op maat uitwerken van verplichte documenten
Op maat uitwerken van verplichte documenten

Interne audit

Toetsing documentatie en bezoek door adviseur voor interne audit op locatie
Toetsing documentatie en bezoek door adviseur voor interne audit op locatie
Toetsing documentatie en bezoek door adviseur voor interne audit op locatie
Toetsing documentatie en bezoek door adviseur voor interne audit op locatie

Training en implementatiebegeleiding

Training en implementatiebegeleiding
Training en implementatiebegeleiding
Training en implementatiebegeleiding
Training en implementatiebegeleiding

Directiebeoordeling

Directiebeoordeling uitvoeren
Directiebeoordeling uitvoeren
Directiebeoordeling uitvoeren
Directiebeoordeling uitvoeren

Begeleiding tijdens de certificeringsaudit

1 dag begeleiding tijdens de certificeringsaudit
1 dag begeleiding tijdens de certificeringsaudit
1 dag begeleiding tijdens de certificeringsaudit
1 dag begeleiding tijdens de certificeringsaudit

Uw tijdsbesteding

 Hoog Gemiddeld Laag

Aantal bezoeken door adviseur Budget Certificering

 1 5 7

Aantal betaaltermijnen

 1 5 7

Duur traject

 Dit bepaalt u zelf 9 maanden 6 maanden

Certificeringsgarantie
Aanvragen Aanvragen Aanvragen
Aanvragen 'Start' Aanvragen 'Plus' Aanvragen 'Compleet'
Stappenplan
1. Nulmeting en certificeringsplanning vastleggen3. Beheersmaatregelen conform Appendix A (ISO 27002) vaststellen5. Implementatie van de beheersmaatregelen7. Certificering NEN 7510
2. Risico analyse uitvoeren4. Training medewerkers6. Interne audit, implementatiebegeleiding en directiebeoordeling
1. Nulmeting en certificeringsplanning vastleggen2. Risico analyse uitvoeren3. Beheersmaatregelen conform Appendix A (ISO 27002) vaststellen4. Training medewerkers5. Implementatie van de beheersmaatregelen6. Interne audit, implementatiebegeleiding en directiebeoordeling7. Certificering NEN 7510
NEN 7510

Wat houdt NEN 7510 in?

NEN 7510 is de officiële Nederlandse norm voor het opzetten en invoeren van een managementsysteem voor informatiebeveiliging binnen zorginstellingen en leveranciers in de zorg die met patiëntgegevens werken.

NEN 7510 wordt genoemd in artikel 2 van de AMvB (Algemene Maatregel van Bestuur) die behoort bij de Wet voor het gebruik van het BSN in de zorg. Hierdoor heeft NEN 7510 een verplichtend karakter. Informatiebeveiliging valt daarmee onder het toezicht van de Inspectie voor de Gezondheidszorg (IGZ). IGZ neemt NEN 7510 ter hand bij het toetsen of zorginstellingen de juiste maatregelen treffen voor het invoeren en handhaven van adequate informatiebeveiliging.

Voor wie is NEN 7510 bedoeld?

NEN 7510 is bedoeld voor zorginstellingen en leveranciers in de zorg die met patiëntgegevens werken. NEN 7510 beschrijft een set maatregelen dat zorginstellingen moeten treffen om via een gecontroleerd proces op adequate wijze met (medische) gegevens om te gaan.

De norm is van toepassing op alle organisaties in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. IGZ controleert hier ook op.

Het landelijk communicatiepunt voor de zorg Vecozo eist van softwareleveranciers in de zorg dat zijn kunnen aantonen dat ze voldoen aan de NEN 7510.

Normeisen

Samenvatting van de eisen uit NEN 7510

  1. De context van de organisatie bepalen. Denk aan de eisen en verwachtingen van in- en externe belanghebbenden (stakeholders), wetgeving, externe ontwikkelingen en specifieke interne issues die in de organisatie spelen. Wij gebruiken ISO 31000 bij het vaststellen van de context.
  2. De scope van het informatiebeveiligingsmanagementsysteem moet duidelijk zijn vastgesteld.
  3. De directie moet leiderschap tonen door het informatiebeveiligingsbeleid vast te stellen, rollen en verantwoordelijkheden te verdelen, middelen ter beschikking te stellen en betrokkenheid te tonen.
  4. Risico’s en kansen moeten voor de organisatie worden vastgesteld. Ook moeten de noodzakelijke maatregelen worden bepaald, gepland en geïmplementeerd. Voor de risico analyse moet een procedure zijn vastgesteld zodat toekomstige risico analyses gelijkwaardige resultaten opleveren. Ook zijn de uitkomsten van de risico analyse input voor Verklaring van toepasselijkheid.
  5. De beheers doelen en maatregelen uit Appendix A van de normen moeten worden beoordeeld op relevantie, toepasselijk worden verklaard en waar vereist gedocumenteerd en geïmplementeerd. Dit is een belangrijk aspect van de NEN 7510 certificering.
  6. Ondersteunende processen met betrekking tot onder andere bewustzijn en competenties van personeel, inzet van middelen, infrastructuur, meetmiddelen, communicatie en documentatie moeten worden bepaald en ingevoerd.
  7. Het primaire proces moet voorzien in producten en diensten rekening houdend met de voorgaande onderwerpen.
  8. Meting en monitoring, onder andere via het meten van informatiebeveiligingsdoelen en KPI’s, incidenten, meten van informatiebeveiligingsprocessen en het uitvoeren van interne audits.
  9. Evaluaties zoals de directiebeoordeling, effectiviteit van maatregelen uit de appendix/risicobeoordeling en geleverde informatiebeveiligingsprestaties.
  10. Leren van fouten, klachten, afwijkingen en treffen van corrigerende maatregelen.
  11. Realiseren van verbeteringen.

De eisen van NEN 7510 vindt u terug in de officiële NEN 7510 norm.

Wie certificeert

De volgende organisaties zijn geaccrediteerde certificerende instellingen voor NEN 7510:

Voordelige keuze

Breed certificeringsaanbod

Instellingen met een markt of normspeciaisatie

Hoe verloopt de certificering?

Als tijdens de interne audit en de directiebeoordeling is vastgesteld dat aan alle certificeringseisen wordt voldaan kan de daadwerkelijke certificering plaatsvinden. Wij begeleiden u bij het maken van een keuze uit de certificerende instanties en het aanvragen van de certificeringsofferte.

Het certificeringsproces

Het certificeringsproces verloopt als volgt:

  1. De certificerende instantie plant met u 2 auditmomenten voor respectievelijk de fase 1 en fase 2 beoordeling.
  2. U ontvangt van de certificerende instantie een auditplanning voor fase 1 en fase 2.
  3. Tijdens het fase 1 bezoek wordt het kwaliteitssysteem beoordeeld bij u op kantoor. Als dit positief wordt afgesloten kan het fase 2 bezoek plaatsvinden.
  4. Tijdens het fase 2 bezoek wordt de implementatie getoetst door middel van interviews en een projectbezoek. Aan het eind van deze audit krijgt u het oordeel van de auditor.
  5. U ontvangt binnen circa een week het auditrapport met het oordeel en eventuele acties.
  6. Het rapport van de auditor wordt door de certificerende instantie beoordeeld en binnen enkele weken ontvangt u het officiële certificaat dat 3 jaar geldig is.

Na de eerste certificering vinden er jaarlijks geplande herbeoordelingen plaats bij u op kantoor en worden projecten bezocht. De auditor legt u zelf uit hoe dit in zijn werk gaat.

Certificeringskosten

In onze ondersteuningspakketten is de certificering niet inbegrepen. Op het tabblad “Wie certificeert?” is een overzicht opgenomen van alle erkende certificerende instanties.

Tijdsbesteding

Alle certificerende instanties maken gebruik van vastgestelde normtijden voor de certificeringsaudits. Deze normtijden zijn afhankelijk van aantal medewerkers, vestigingen en complexiteit van het bedrijf. Voor een MKB onderneming tot 10 medewerkers en één vestiging bedraagt de audittijd in het eerste jaar 2,5 dagen en daarna 1 dag per jaar.

Certificeringstarieven

De dagtarieven van certificerende instanties variëren van circa € 1050 – € 1.350 excl. BTW en reiskostenvergoeding. Naast deze tarieven worden vaak nog licentie-, certificaat- en/of administratiekosten in rekening gebracht. Dit varieert per instantie. Om kosten te besparen loont het zeker de moeite om diverse offertes op te vragen. Bij het Compleet pakket verzorgen wij de aanvragen voor u!

Indicatie certificeringskosten

Voorbeeld certificeringskosten voor een MKB bedrijf met 10 medewerkers:

  • € 3.750 in het eerste jaar
  • € 1.250 per jaar voor de vervolgjaren.

De vermelde prijzen zijn richtbedragen en exclusief BTW (er kunnen geen rechten aan worden ontleend)

Chantal NijmeijerUw product adviseur

FAQ

Bekijk alle veelgestelde vragen
Schrijf u in voor onze nieuwsbrief
Cta > Nieuwsbrief
Bezig met versturen
EN 15224 – ISO voor de Zorg ISO 26000 – MVO Management
Er zijn geen aanvragen toegevoegd