Verplichte documenten NEN 7510
NEN 7510 schrijft een aantal documenten expliciet voor. Zonder die documenten is certificering niet mogelijk. Op deze pagina ziet u per hoofdstuk welke documenten de norm eist, plus de zorgspecifieke aanvullingen die in de praktijk onmisbaar zijn. De eisen van de norm lichten elk hoofdstuk inhoudelijk toe. Gebruik de NEN 7510-checklist om te controleren of uw documentatie compleet is.
NEN 7510 schrijft bewust geen specifieke formats voor. Het gaat om de inhoud en het bewijs, niet om de vorm. Twee pagina’s met de juiste informatie zijn beter dan een dik handboek dat niemand leest.
Verplichte documenten per normhoofdstuk
De tabel hieronder toont de documenten die NEN 7510-1 expliciet eist. “Gedocumenteerde informatie” is de term die de norm gebruikt. Dat betekent: vastgelegd en beschikbaar, in welk format dan ook.
| Hoofdstuk | Document | Doel |
|---|---|---|
| 4 | Scope van het ISMS | Afbakening: welke delen van uw organisatie vallen onder het systeem |
| 5 | Informatiebeveiligingsbeleid | Intenties en richting van de directie, inclusief commitment aan patiëntgegevensbescherming |
| 6 | Risicobeoordelingsmethodiek | Beschrijving hoe u risico’s identificeert en beoordeelt |
| 6 | Resultaten van de risicobeoordeling | Het risicoregister met kansen, impacts en eigenaren |
| 6 | Risicobehandelingsplan | Per risico: wat doet u ermee (vermijden, verminderen, overdragen, accepteren) |
| 6 | Verklaring van Toepasselijkheid (VvT) | Per maatregel uit NEN 7510-2: geselecteerd of niet, met onderbouwing |
| 6 | Informatiebeveiligingsdoelstellingen | Meetbare doelen per relevante functie of afdeling |
| 7 | Bewijs van competenties | Opleiding, certificaten, ervaring van medewerkers in relevante rollen |
| 9 | Resultaten van monitoring en meting | Metingen die aantonen of het systeem werkt |
| 9 | Interne auditprogramma en -verslagen | Geplande audits en de uitkomsten ervan |
| 9 | Resultaten van de directiebeoordeling | Notulen met input, bespreking en besluiten |
| 10 | Afwijkingen en corrigerende maatregelen | Register van problemen, oorzaken en genomen acties |
Zorgspecifieke documenten
Bovenop de generieke NEN 7510-documenten zijn er in de zorgsector aanvullende documenten die de auditor verwacht. Ze zijn niet altijd letterlijk voorgeschreven in de norm, maar vloeien voort uit de zorgspecifieke eisen.
| Document | Waarom het nodig is | Waar het op slaat |
|---|---|---|
| Autorisatiematrix | Vastleggen wie toegang heeft tot welke systemen en gegevens, op basis van functie en behandelrelatie | Toegangsbeheer (NEN 7510-2, maatregel 8.2) |
| Logbeleid | Beschrijving hoe logging is ingericht, wie de logs beheert, hoe lang ze bewaard worden | NEN 7513 logging |
| Verwerkersovereenkomsten | Afspraken met EPD-leveranciers, hostingpartijen en andere verwerkers over informatiebeveiliging | AVG artikel 28 en NEN 7510-2 hoofdstuk 5 |
| Incidentenregister | Overzicht van beveiligingsincidenten en datalekken, met afhandeling | Incidentenbeheer en AVG-meldplicht |
| Back-up- en herstelprocedure | Beschrijving van back-upbeleid en procedure voor herstel, inclusief testresultaten | Beschikbaarheid van patiëntsystemen |
| Clean desk beleid | Afspraken over het beschermen van fysieke en schermgebonden informatie | Fysieke beveiliging |
| Wachtwoordbeleid | Eisen aan wachtwoorden, beheer van accounts en privileges | Toegangsbeheer |
| Bewustzijnstraining-registratie | Bewijs dat alle medewerkers zijn getraind in informatiebeveiliging | Bewustzijn (NEN 7510-1 hoofdstuk 7) |
De Verklaring van Toepasselijkheid in detail
De Verklaring van Toepasselijkheid (VvT) is het meest kritieke document voor certificering. De auditor begint er altijd mee. Het is het document dat uw keuzes rechtvaardigt.
NEN 7510-2 bevat een uitgebreide lijst van beheersmaatregelen, verdeeld over vier categorieën: organisatorisch, mensgericht, fysiek en technologisch. Per maatregel documenteert u in de VvT:
- Is de maatregel van toepassing op uw organisatie?
- Heeft u hem geïmplementeerd?
- Waarom wel of waarom niet?
Heeft u een maatregel niet geselecteerd, dan moet u dat kunnen uitleggen. “Niet relevant voor onze scope” is een geldige reden, mits onderbouwd. “Nog niet gekomen” is dat niet.
Een VvT die niet aansluit op uw risicoanalyse is een veelgemaakte fout. Als uw risicoanalyse aangeeft dat ransomware een groot risico is, maar u geen back-upmaatregel hebt geselecteerd in de VvT, heeft de auditor een probleem met uw logica.
De autorisatiematrix: zorgspecifiek en complex
De autorisatiematrix is een document dat u in veel sectoren tegenkomt, maar in de zorg is hij bijzonder complex. Het toegangsbeheer in de zorg draait niet alleen om functies, maar ook om behandelrelaties.
Een verpleegkundige op de cardiologie heeft toegang tot de dossiers van haar patiënten op die afdeling. Niet tot alle patiëntdossiers in het ziekenhuis. Niet tot dossiers van patiënten die ze eerder behandelde maar waarvoor de relatie inmiddels is afgerond.
Uw autorisatiematrix moet dit ondersteunen. Ze beschrijft:
- Welke rollen of functies er zijn
- Tot welke systemen en datasets elke rol toegang heeft
- Op welk niveau (lezen, wijzigen, exporteren)
- Hoe toegang wordt aangevraagd, goedgekeurd en ingetrokken
- Hoe behandelrelaties worden bepaald en vastgelegd
In kleine praktijken kan dit simpeler zijn dan in ziekenhuizen. Maar ook een huisartsenpraktijk heeft een autorisatiematrix nodig: wie heeft toegang tot het HIS, wie niet, en wat mag iedereen daarin?
Hoeveel documentatie is genoeg?
Dit is de vraag die certificeringstrajecten bezighoudt. Het antwoord: genoeg om aan te tonen dat u weet wat u doet en dat u het doet.
De norm schrijft geen specifiek format, geen minimale paginatelling en geen maximale complexiteit voor. Wat hij vraagt is werkbare, actuele documentatie die aansluit op uw praktijk.
Gevaar 1: te weinig documentatie. Als de auditor vraagt hoe u toegangsbeheer regelt en u kunt het niet tonen, is dat een afwijking.
Gevaar 2: te veel documentatie. Twintig pagina’s beleid die niemand kent en die al jaren niet zijn bijgewerkt, overtuigen de auditor niet. Hij vraagt dan: “Werkt u hier ook echt mee?” Als het antwoord “nee” is, is dat een afwijking.
Beheer van documentatie
Verplichte documenten moeten worden beheerd. Dat betekent: voorzien van versienummer en datum, goedgekeurd door de juiste persoon, beschikbaar voor wie het nodig heeft, en beschermd tegen onbedoelde wijziging.
In de praktijk regelen de meeste organisaties dit met een simpel documentregister: een lijst met alle relevante documenten, hun versienummer, datum van laatste review, eigenaar en locatie.
Meer lezen
- Eisen van NEN 7510 - Wat vraagt de norm inhoudelijk per hoofdstuk
- NEN 7510-checklist - Gebruik de checklist als voorbereiding op uw audit
- Interne audit NEN 7510 - Hoe controleert u of uw documentatie klopt
- NEN 7510 bij NEN - De officiële norm met alle details