Interne audit NEN 7510: aanpak in de zorgcontext
De interne audit is een verplicht onderdeel van NEN 7510 en uw laatste check voordat de externe auditor van een geaccrediteerde certificerende instantie langskomt. In de zorgcontext is de interne audit ook een kans om te toetsen of uw maatregelen werkelijk passen bij de dagelijkse zorgpraktijk. Voer eerst het stappenplan uit zodat uw ISMS staat, dan plant u de interne audit.
De norm eist dat de interne audit wordt uitgevoerd door iemand die onafhankelijk is van de geauditeerde processen. U kunt niet uw eigen werk auditen. In kleine organisaties vraagt dit om een creatieve maar legitieme oplossing.
Waarom is de interne audit verplicht?
NEN 7510-1 (hoofdstuk 9.2) schrijft voor dat uw organisatie op geplande tijdstippen interne audits uitvoert. Het doel is tweeledig: controleren of het ISMS voldoet aan de eisen van de norm, en controleren of het effectief is geïmplementeerd.
Voor de externe auditor is het interne auditverslag cruciaal bewijs. Het toont dat u uw eigen systeem serieus neemt en dat u weet waar verbeterpunten zitten. Ontbreekt het interne auditverslag, of is het recent, dan is dat in de externe audit direct zichtbaar.
Wie mag de interne audit uitvoeren?
De norm stelt drie eisen aan de interne auditor: kennis van NEN 7510, auditvaardigheden, en onafhankelijkheid van de geauditeerde processen.
Die combinatie is in kleine zorgorganisaties niet altijd makkelijk te vinden. Praktische oplossingen:
Interne kruisaudit: afdelingen of teams auditen elkaar. Een medewerker van de ICT-afdeling audit de processen op de polikliniek, een zorgcoördinator audits de ICT-processen. Werkt goed bij grotere organisaties met meerdere afdelingen.
Externe interne auditor: een onafhankelijke adviseur voert de interne audit uit. Paradoxaal klinkt het, maar dit is een gangbare en geaccepteerde constructie. De externe partij is intern in de zin van “u betaalt hem en hij werkt voor u”, maar onafhankelijk in de zin van “hij heeft geen belang bij de uitkomst”. Vraag iemand met zorgervaring.
Samenwerkende organisaties: twee kleine zorgpraktijken die elkaars interne audit uitvoeren. Wederzijds voordeel, lage kosten.
Drie kleine afwijkingen op hetzelfde onderdeel kunnen samen een grote afwijking worden. Laat u niet verrassen: zorg dat de interne audit diepgaand genoeg is om patronen te ontdekken, niet alleen losse punten.
Voorbereiding van de interne audit NEN 7510
Een goede interne audit begint ruim voor de auditdag. Plan de voorbereiding zorgvuldig.
Stel een auditprogramma op
Bepaal welke onderdelen van het ISMS u dit jaar auditt. U hoeft niet alles in één audit te doen, maar over een driejaarsperiode moet elk onderdeel minstens één keer zijn geaudit.
Leg de planning vast in een auditprogramma: welk onderdeel, wanneer, door wie geaudit.
Beoordeel de documentatie vooraf
De auditor bekijkt de documenten vóór de gesprekken. Zijn beleid, risicoanalyse, procedures en de verplichte documenten actueel en beschikbaar? Is de Verklaring van Toepasselijkheid volledig? Zijn bevindingen van de vorige audit afgehandeld?
Voer de audit uit
Combineer documentbeoordeling, gesprekken met medewerkers en observaties van de werkelijke situatie. Werken medewerkers echt zoals de procedures beschrijven? Is de logging ingeschakeld? Zijn de serverruimtes afgesloten?
Documenteer bevindingen
Leg elke bevinding vast. Maak onderscheid tussen conformiteiten (goed), kleine afwijkingen (niet ernstig, maar aanpak vereist), grote afwijkingen (ernstig, aanpak dringend vereist) en verbeterpunten.
Pak bevindingen aan
De interne audit is waardeloos als u niets doet met de bevindingen. Maak een actielijst met eigenaren en deadlines. Los grote afwijkingen op vóór de externe audit.
Wat controleert u bij een interne NEN 7510-audit in de zorg?
Hieronder de kernpunten per hoofdstuk, specifiek uitgewerkt voor de zorgcontext. Gebruik dit als leidraad bij de voorbereiding.
Hoofdstuk 4-5: context en leiderschap
- Is de scope van het ISMS duidelijk gedocumenteerd en logisch afgebakend?
- Heeft de directie het informatiebeveiligingsbeleid vastgesteld en gecommuniceerd?
- Zijn rollen en verantwoordelijkheden helder toegewezen?
- Zijn er notulen van de directiebeoordeling met concrete besluiten?
Hoofdstuk 6: planning en risicoanalyse
- Is de risicoanalyse uitgevoerd en actueel?
- Zijn zorgspecifieke risico’s meegenomen: patiëntdossiers, medische apparatuur, ketenuitwisseling?
- Is de Verklaring van Toepasselijkheid compleet en aansluitend op de risicoanalyse?
Hoofdstuk 7-8: ondersteuning en uitvoering
- Zijn alle medewerkers aantoonbaar getraind in informatiebeveiliging?
- Zijn beheersmaatregelen daadwerkelijk geïmplementeerd?
- Zijn er getekende verwerkersovereenkomsten met EPD-leverancier, hostingpartij en IT-beheerder?
Zorgspecifieke controles
Dit zijn de punten die een externe auditor bij NEN 7510 altijd controleert en waar interne audits in de zorg extra aandacht aan moeten besteden.
| Controle | Hoe u dit toetst |
|---|---|
| Logging conform NEN 7513 | Vraag een lograpport op uit het EPD/ECD; controleer of het de vereiste velden bevat |
| Toegang op basis van behandelrelatie | Neem willekeurig drie medewerkers en controleer waarom zij de toegang hebben die ze hebben |
| Patiëntverzoek inzage logs | Test of u een patiëntinzageverzoek kunt honoreren; lukt het, hoe snel? |
| Beveiliging medische apparatuur | Controleer of netwerkapparatuur in de inventarisatie staat en is meegenomen in de risicoanalyse |
| Incidentenregister actueel | Zijn recente incidenten (ook kleine) geregistreerd? Zijn ze afgehandeld? |
| Clean desk | Loop op een willekeurig moment door de praktijk: liggen er patiëntgegevens zichtbaar? |
Het interne auditverslag
Leg de bevindingen vast in een auditverslag. Dit hoeft geen bureaucratisch document te zijn, maar moet wel de volgende elementen bevatten:
- Datum en scope van de audit
- Wie heeft geaudit (naam en onafhankelijkheidsverklaring)
- Auditcriteria (NEN 7510 en uw eigen procedures)
- Samenvatting van bevindingen per categorie
- Afwijkingen met categorie (klein of groot) en aanbevolen actie
- Verbeterpunten
- Handtekening auditee en auditor
Bewaar het verslag. De externe auditor wil het zien, samen met bewijs dat u de bevindingen hebt aangepakt.
Frequentie van de interne audit
NEN 7510 eist “periodieke” interne audits. In de meeste organisaties betekent dit minimaal één keer per jaar. In uw auditprogramma plant u dit van tevoren en volgt u het ook daadwerkelijk.
Bij nieuwe risico’s of grote wijzigingen in uw organisatie (nieuw EPD-systeem, fusie, nieuwe locatie) is een extra interne audit verstandig, ook buiten het reguliere schema.
Relatie met de externe audit
De interne audit is niet hetzelfde als de externe audit. U controleert zelf of u aan de norm voldoet; de externe auditor van de certificerende instantie controleert dat onafhankelijk. Beiden zijn nodig.
Een goed intern auditprogramma maakt de externe audit soepeler. Bevindingen die u intern hebt gevonden en opgepakt, zijn voor de externe auditor bewijs dat uw verbetercyclus werkt. Lees meer over het externe auditproces bij NEN 7510 voor wat de certificerende instantie in detail controleert.
Meer lezen
- Audit NEN 7510 - Het externe certificeringsproces stap voor stap
- NEN 7510-checklist - Gebruik als voorbereiding op de interne of externe audit
- Verplichte documenten NEN 7510 - Welke documenten moet u kunnen tonen?
- IGJ over interne audits NEN 7510 - Vragen en antwoorden van de inspectie