Maatregelen NEN 7510: technische en organisatorische maatregelen
Wat zijn de maatregelen van NEN 7510 en wat is het verschil tussen technische en organisatorische maatregelen? Technische maatregelen zijn dingen die je instelt in systemen, zoals encryptie en toegangsbeheer. Organisatorische maatregelen zijn afspraken, beleid en gedrag, zoals een incidentenprocedure of een bewustzijnstraining. Je hebt allebei nodig. De maatregelen staan in NEN 7510-2, gepubliceerd door NEN en opgebouwd uit ISO 27002.
Wat is het verschil tussen technisch en organisatorisch?
Het onderscheid is simpel als je naar de praktijk kijkt. Een technische maatregel werkt via apparatuur of software. Een organisatorische maatregel werkt via mensen, afspraken en processen.
Encryptie van een laptop is technisch: je zet het aan in het systeem. Een clean desk beleid is organisatorisch: je spreekt af dat niemand patiëntdossiers op het bureau laat liggen. Vaak versterken ze elkaar. Toegangsbeheer (technisch) heeft alleen zin als je ook afspreekt wie waarvoor geautoriseerd wordt (organisatorisch).
NEN 7510-2:2024 deelt alle maatregelen in vier categorieën in: organisatorisch, mensgericht, fysiek en technologisch. Deze indeling komt rechtstreeks uit ISO 27002:2022.
De vier categorieën maatregelen van NEN 7510-2
Sinds NEN 7510-2:2024 zijn de maatregelen niet meer verdeeld over veertien hoofdstukken, maar over vier categorieën. Dat sluit aan op ISO 27002:2022. Twee categorieën zijn vooral organisatorisch van aard, één is fysiek en één is technologisch. Hieronder zie je per categorie wat het type is en een voorbeeld uit de zorg.
| Categorie | Type | Voorbeeld in de zorgpraktijk |
|---|---|---|
| Organisatorisch | Organisatorisch | Beleid en incidentenprocedure voor het EPD |
| Mensgericht | Organisatorisch | Bewustzijnstraining over phishing voor baliemedewerkers |
| Fysiek | Deels technisch, deels organisatorisch | Serverruimte met toegangspas en clean desk beleid |
| Technologisch | Technisch | Encryptie van patiëntgegevens en logging van dossiertoegang |
Voorbeelden van technische maatregelen NEN 7510
Technische maatregelen vallen vooral onder de categorie technologisch in NEN 7510-2. Je stelt ze in, ze werken automatisch, en een medewerker kan ze niet zomaar omzeilen. Voor de zorg zijn dit de belangrijkste.
| Maatregel | Type | Voorbeeld in de zorgpraktijk |
|---|---|---|
| Toegangsbeheer | Technisch | Alleen de behandelaar ziet het dossier, op basis van behandelrelatie |
| Encryptie | Technisch | Patiëntgegevens versleuteld op laptops en in back-ups |
| Logging | Technisch | Vastleggen wie wanneer een dossier opende, zie NEN 7513 |
| Malwareprotectie | Technisch | Virusscanner en e-mailfilter op alle werkplekken |
| Netwerksegmentatie | Technisch | Medische apparatuur afgescheiden van het kantoornetwerk |
| Back-up en herstel | Technisch | Dagelijkse back-up van het EPD, periodiek getest |
Logging verdient extra aandacht in de zorg. Het is een technische maatregel die NEN 7513 verder uitwerkt: wie keek wanneer in welk dossier?
Voorbeelden van organisatorische maatregelen NEN 7510
Organisatorische maatregelen vallen onder de categorieën organisatorisch en mensgericht. Ze gaan over afspraken, beleid en gedrag. Zonder deze maatregelen werken technische maatregelen vaak niet, omdat mensen ze omzeilen of niet kennen.
| Maatregel | Type | Voorbeeld in de zorgpraktijk |
|---|---|---|
| Informatiebeveiligingsbeleid | Organisatorisch | Vastgesteld beleid dat de directie ondertekent |
| Incidentenprocedure | Organisatorisch | Stappen die je volgt bij een datalek of ransomware |
| Leveranciersbeheer | Organisatorisch | EPD-leverancier beoordelen op informatiebeveiliging |
| Functiescheiding | Organisatorisch | Wie autoriseert mag niet zelf de logs beheren |
| Bewustzijnstraining | Mensgericht | Medewerkers leren phishing herkennen |
| Vertrouwelijkheidsverklaring | Mensgericht | Nieuwe medewerkers tekenen geheimhouding |
De link met de risicoanalyse en de Verklaring van Toepasselijkheid
Je kiest niet alle maatregelen, maar de maatregelen die passen bij je risico’s. Dat bepaal je in de risicoanalyse. Een huisartsenpraktijk kiest andere maatregelen dan een ziekenhuis met netwerkgekoppelde medische apparatuur.
Welke maatregelen je wel en niet kiest, leg je vast in de Verklaring van Toepasselijkheid (VvT). Per maatregel uit NEN 7510-2 noteer je of je hem toepast en waarom. De auditor controleert of die keuzes logisch zijn gegeven je risico’s. Lees meer over alle eisen van NEN 7510 of bekijk het stappenplan.
Meer lezen
- Eisen van NEN 7510 - Alle normhoofdstukken en de Verklaring van Toepasselijkheid
- Risicoanalyse voor NEN 7510 - Hoe je bepaalt welke maatregelen je nodig hebt
- NEN 7513 logging - De belangrijkste technische maatregel in de zorg
- ISO 27002 Annex A - De basis waarop NEN 7510-2 is gebouwd