De normen voor informatiebeveiliging zijn opgenomen in de ISO/NEN 27001 en 27002. ISO staat daarbij voor de internationaal erkende norm, NEN is de Nederlandse variant (de Nederlandse Norm). Hiervoor is het gelijknamige instituut verantwoordelijk.
Voor wat betreft de zorgsector zijn deze normen uitgewerkt in NEN 7510:2017 en in aanvulling daarop de nu vernieuwde NEN 7512:2015 en NEN 7513:2018. Privacy-toezichthouder AP ziet deze normen als een beveiligingsstandaard die organisaties binnen de zorgsector moeten toepassen.
Drie wijzigingen in norm
De gereviseerde norm NEN 7512:2022 heeft vier wijzigingen ten opzichte van van NEN 7512:2015.
- NEN 7512:2022 vervangt NEN 7512:2015. In de nieuwe versie is meer aandacht voor risicobeheersing. Daarnaast zijn beheersmaatregelen verder en duidelijker uiteengezet.
- De nieuwe norm is in twee opzichten een aanvulling op de beheersmaatregelen die NEN 7510 aan organisaties in de zorg voorschrijft voor hun informatiebeveiliging. NEN 7512:2022 besteedt aandacht aan de zekerheden die partijen elkaar moeten bieden als voorwaarde voor onderlinge gegevensuitwisseling. Daarvoor definieert de norm vijf niveaus voor de eisen voor beschikbaarheid, integriteit en vertrouwelijkheid.
- Daarnaast levert NEN 7512:2022 een nadere invulling voor een aantal van de beheersmaatregelen van NEN 7510. Daarbij wordt ervan uitgegaan dat de beheersmaatregelen in NEN 7512 zijn voorzien van het normatieve ‘moeten’ voor het maken van afspraken tussen communicatiepartijen, terwijl bij gerelateerde beheersmaatregelen binnen de eigen organisatie in NEN 7510 ‘behoren te’ staat. De risicoafweging die leidt tot de juiste risicoklasse, is volgens NEN een essentieel element voor het maken van afspraken tussen de partijen. De beheersmaatregelen betreffende de afspraken zelf zijn altijd vereist, ongeacht de aard en omvang van de communicatiepartijen.
- NEN 7512:2022 heeft betrekking op de van gegevens en gaat niet in op de vraag of deze uitwisseling noodzakelijk is. Wel voorziet de norm in eisen die het mogelijk maken om dergelijke inhoudelijke aspecten van de gegevensuitwisseling te verifiëren, zoals logging.
