Skip to Content
NEN 7510Het auditproces

Het NEN 7510 auditproces

De externe audit is de laatste stap naar je NEN 7510  certificaat. Een onafhankelijke auditor van een geaccrediteerde instantie  beoordeelt of je informatiebeveiligingsmanagementsysteem voldoet aan de norm. Op deze pagina leggen we uit hoe de audit werkt en hoe je je voorbereidt.

De auditcyclus

NEN 7510 certificering volgt een driejaarlijkse cyclus met jaarlijkse audits.

Jaar 1: Initiële certificeringsaudit De eerste, uitgebreide audit die bepaalt of je het certificaat krijgt. Bestaat uit twee fasen.

Jaar 2: Toezichtaudit 1 Een kortere audit die controleert of je nog steeds voldoet en verbeteringen doorvoert.

Jaar 3: Toezichtaudit 2 Vergelijkbaar met jaar 2.

Jaar 4: Hercertificeringsaudit Een uitgebreidere audit die bepaalt of het certificaat wordt verlengd. Daarna begint de cyclus opnieuw.

De initiële certificeringsaudit

Fase 1: Documentatiebeoordeling

De auditor beoordeelt je documentatie voordat hij op locatie komt. Het doel is te bepalen of je systeem op papier voldoende is opgezet om door te kunnen naar fase 2.

De auditor bekijkt het informatiebeveiligingsbeleid, de scope en context, de risicoanalyse en risicobehandeling, de Verklaring van Toepasselijkheid, de belangrijkste procedures en de resultaten van interne audits en directiebeoordeling.

Fase 1 kan vaak remote plaatsvinden. De auditor bestudeert de documenten en stelt vragen via video of telefoon. Dit duurt typisch een halve tot twee dagen.

Na fase 1 krijg je een rapport met bevindingen. Als er grote hiaten zijn, moet je die eerst oplossen voordat je door kunt naar fase 2. Bij kleine punten kun je die parallel aanpakken.

Fase 2: Implementatie-audit

De auditor komt op locatie en controleert of je in de praktijk doet wat je hebt gedocumenteerd. Dit is het hart van de certificeringsaudit.

De auditor werkt met verschillende methodes:

Interviews met medewerkers op verschillende niveaus. Van directie tot uitvoerend personeel. Weten mensen wat het beleid is? Kennen ze hun verantwoordelijkheden? Volgen ze de procedures?

Observaties van de werkelijke situatie. Zijn serverruimtes afgesloten? Worden clean desk regels nageleefd? Is logging ingeschakeld?

Documentbeoordeling van registraties en bewijsmateriaal. Trainingsregistraties, incidentenlogboek, back-uptests, auditverslagen.

Steekproeven om te controleren of maatregelen werken. De auditor pakt willekeurig een paar voorbeelden en graaft dieper.

De duur van fase 2 hangt af van de grootte van je organisatie. Voor een kleine zorgorganisatie is dit 1-2 dagen. Voor een groot ziekenhuis 5-10 dagen of meer. Bij meerdere locaties bezoekt de auditor een selectie.

De auditor is geen vijand. Een goede auditor wil je helpen verbeteren en zoekt naar bewijs dat je systeem werkt. Wees open en eerlijk, ook over zaken die nog beter kunnen.

Wat controleert de auditor?

De auditor controleert alle eisen van NEN 7510. In de praktijk focust hij op een aantal kernpunten.

Directiebetrokkenheid

Is de directie echt betrokken of is dit een papieren exercitie? De auditor spreekt met de directie en kijkt naar bewijs van commitment: beleidsstukken, notulen van directiebeoordelingen, toegewezen resources.

De risicoanalyse

Heb je de risico’s goed in kaart gebracht? Is de methodiek logisch? Heb je zorgspecifieke risico’s meegenomen? Zijn de beoordelingen realistisch? De risicoanalyse is het fundament van je systeem.

De Verklaring van Toepasselijkheid

Kloppen je keuzes? Als je een maatregel niet hebt geselecteerd, is dat goed onderbouwd? Past de selectie bij je risicoanalyse? De auditor controleert de logica achter je keuzes.

Implementatie van maatregelen

Zijn de geselecteerde maatregelen daadwerkelijk geïmplementeerd? Werken ze? De auditor neemt steekproeven: laat eens zien hoe toegangsbeheer werkt, toon de logging, wanneer was de laatste back-uptest?

Awareness en competenties

Weten medewerkers wat er van hen wordt verwacht? Zijn ze getraind? De auditor spreekt met medewerkers en vraagt naar hun kennis en bewustzijn.

Continue verbetering

Werkt de verbetercyclus? Zijn er interne audits gedaan? Zijn bevindingen opgepakt? Is er een directiebeoordeling geweest met concrete beslissingen?

Zorgspecifieke eisen

De auditor let extra op de zorgspecifieke aspecten: logging van toegang tot patiëntgegevens, toegang op basis van behandelrelatie, beveiliging van medische apparatuur, patiëntrechten.

Bevindingen en afwijkingen

Na de audit documenteert de auditor zijn bevindingen. Deze worden gecategoriseerd.

Grote afwijking (major non-conformity)

Een situatie waarin een eis van de norm niet of zeer onvoldoende is ingevuld. Bijvoorbeeld: geen risicoanalyse uitgevoerd, geen directiebeoordeling gedaan, een kritieke maatregel volledig afwezig.

Bij grote afwijkingen krijg je geen certificaat totdat je de afwijking hebt opgelost. Je krijgt tijd om te corrigeren, waarna de auditor terugkomt om te controleren.

Kleine afwijking (minor non-conformity)

Een situatie waarin een eis gedeeltelijk of incidenteel niet wordt nageleefd. Bijvoorbeeld: één document niet actueel, één medewerker niet getraind, één maatregel niet volledig werkend.

Bij kleine afwijkingen kun je het certificaat wel krijgen, maar je moet binnen een afgesproken termijn (typisch 90 dagen) de afwijking oplossen en bewijs leveren.

Verbeterpunten (opportunity for improvement)

Observaties waar de auditor verbeterpotentieel ziet, maar die geen formele afwijking zijn. Je bent niet verplicht deze op te pakken, maar het zijn waardevolle suggesties.

Drie of meer kleine afwijkingen in hetzelfde onderdeel kunnen samen een grote afwijking vormen. Ook een patroon van kleine afwijkingen kan duiden op een systemisch probleem.

Voorbereiding op de audit

Checklist voorafgaand aan de audit

Controleer voordat de auditor komt of het informatiebeveiligingsbeleid actueel en goedgekeurd is, de risicoanalyse recent is uitgevoerd en gedocumenteerd, de Verklaring van Toepasselijkheid compleet en onderbouwd is, interne audits zijn uitgevoerd en afwijkingen zijn behandeld, een directiebeoordeling is gehouden met notulen, alle vereiste documenten beschikbaar en actueel zijn, trainingsregistraties op orde zijn, en incidenten zijn geregistreerd en afgehandeld.

Medewerkers voorbereiden

Informeer medewerkers dat er een audit komt. Leg uit wat het doel is en dat de auditor mogelijk vragen stelt. Medewerkers hoeven niet alles te weten, maar moeten wel op de hoogte zijn van het beleid en hun eigen verantwoordelijkheden.

Geen paniek: de auditor begrijpt dat niet iedereen alles paraat heeft. Eerlijkheid en een basiskennis van het eigen werk is voldoende.

Praktische voorbereiding

Reserveer een ruimte voor de auditor. Zorg dat relevante medewerkers beschikbaar zijn voor interviews. Bereid de documentatie voor zodat je snel kunt laten zien wat de auditor vraagt.

Wijs iemand aan als begeleider van de auditor. Deze persoon is het aanspreekpunt, regelt de planning en zorgt dat de auditor krijgt wat hij nodig heeft.

Tijdens de audit

De openingsvergadering

De audit begint met een openingsvergadering. De auditor stelt zich voor, legt de aanpak uit en bevestigt de planning. Jij presenteert kort je organisatie en je ISMS.

De auditdagen

De auditor werkt zijn programma af. Dit wisselt tussen interviews, observaties en documentbeoordeling. Probeer niet te sturen of te verbergen. Wees behulpzaam en open.

Als de auditor iets vraagt dat je niet direct kunt tonen, geef dat eerlijk aan. Beter “dat moet ik even opzoeken” dan een fout antwoord.

De sluitingsvergadering

Aan het eind presenteert de auditor zijn voorlopige bevindingen. Je krijgt de kans om vragen te stellen en eventueel aanvullend bewijs te leveren. Het officiële rapport volgt later schriftelijk.

Na de audit

Het auditrapport

Binnen enkele weken ontvang je het officiële auditrapport met alle bevindingen. Controleer of dit overeenkomt met wat in de sluitingsvergadering is besproken.

Afwijkingen oplossen

Voor elke afwijking maak je een actieplan. Je analyseert de oorzaak, bepaalt de corrigerende maatregel en implementeert deze. Je levert bewijs aan de auditor.

Certificaatbesluit

De certificerende instantie beoordeelt het auditrapport en je reactie op afwijkingen. Bij een positief oordeel ontvang je het certificaat. Dit duurt typisch enkele weken na het oplossen van eventuele afwijkingen.

Toezichtaudits

Na de initiële certificering volgen jaarlijks toezichtaudits. Deze zijn korter en minder uitgebreid dan de initiële audit.

De toezichtaudit controleert of je systeem nog steeds werkt en verbetert, je afwijkingen uit vorige audits hebt opgelost, je de verbetercyclus doorloopt met nieuwe interne audits en directiebeoordelingen, en er geen nieuwe grote problemen zijn ontstaan.

De auditor selecteert een deel van de norm om te controleren. Over de driejaarsperiode wordt alles minstens één keer bekeken.

Hercertificeringsaudit

Na drie jaar volgt de hercertificeringsaudit. Deze is uitgebreider dan de toezichtaudit maar compacter dan de initiële audit. De auditor bekijkt het hele systeem opnieuw en beoordeelt of het certificaat kan worden verlengd.

Plan de hercertificering ruim op tijd. Als het huidige certificaat verloopt voordat de hercertificering is afgerond, vervalt je certificering.

Certificerende instanties voor NEN 7510

Kies een certificerende instantie die geaccrediteerd is door de Raad voor Accreditatie (RvA) voor NEN 7510:

  • Kiwa  - Veel ervaring in de zorg
  • DNV  - Internationale achtergrond
  • TÜV  - Breed portfolio
  • DEKRA  - RvA-geaccrediteerd
  • LRQA  - Voorheen Lloyd’s

Vraag offertes en vergelijk niet alleen op prijs. De ervaring van de auditor in de zorgsector maakt verschil.

Volgende stap

Lees de veelgestelde vragen over NEN 7510, of bekijk het stappenplan voor de route naar certificering.

Kosten en tijdlijnEisen van de norm