Welke certificering kies ik?

Binnen de informatiebeveiliging werken we voornamelijk met twee normen, namelijk de ISO27001 en de NEN7510. Beide normen hebben een duidelijke overeenkomst. Zo zijn ze beide bedoeld om organisaties te helpen bij het opzetten van een managementsysteem voor informatie. Omdat dit nogal een lastige term is om te onthouden hebben we het gemakshalve afgekort naar ISMS. Het ISMS helpt organisaties bij het implementeren van maatregelen, zowel organisatorisch als technisch, die passen bij uw activiteiten. Daarnaast dient het ook als maatregel om de risico’s waar u dagelijks mee te maken krijgt in te perken tot een acceptabel niveau.

Goed, overeenkomsten genoeg tussen de beide normen dus waarom zouden we niet gewoon één norm hanteren? Geen gekke vraag, maar toch zijn er belangrijke verschillen. De ISO27001 is bedoeld voor nagenoeg alle organisaties, groot of klein en ongeacht de sector waarin zij zich bewegen. De NEN7510 lijkt hier heel erg op maar is speciaal bedoeld voor alle Nederlandse zorginstellingen en hun toeleveranciers.

Komt mijn bedrijf in aanmerking voor de NEN7510?

Duidelijk verhaal, alles met zorg krijgt NEN7510 en de rest gaat voor ISO. Helaas, zo zwart-wit is het niet en dat is waarom sommige bedrijven opzien tegen de certificering. Voor zorginstellingen is het inderdaad een duidelijk verhaal, NEN7510. Maar dan heb je ook nog de toeleveranciers. Door de raad van Accreditatie is er een protocol opgesteld waarin twee clusters zijn vastgesteld voor certificatie van managementsystemen in de zorg.

1. Z-cluster: Zorginstellingen.
2. B-cluster: Beheerders van persoonlijke gezondheidsinformatie, anders dan zorginstellingen.

En deze B-cluster is waar het tricky wordt. Beheerders van persoonlijke gezondheidsinformatie moeten aantoonbaar een interface hebben met een zorginstelling. Hebben ze geen interface, dan mag er geen certificaat worden uitgegeven.

Wanneer beheer ik persoonlijke gegevens?

Wat is dan een interface? Deze wordt als volgt gedefinieerd:

“Het beheren van persoonlijke gezondheidsinformatie waarbij deze informatie wordt gebruikt door een zorginstelling”

Dit betekent dat zelfs wanneer er sprake is van enkel het opslaan van persoonlijke gegevens er al sprake kan zijn van een interface, want dit valt onder beheren. Voor ‘beheren’ wordt namelijk in deze context de definitie ‘verwerken’ uit de AVG gehanteerd. Maar of dit dan ook daadwerkelijk het geval is, hangt weer af van of je te maken hebt met persoonlijke gezondheidsinformatie. Dit is eigenlijk alle informatie over een persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van of de verlening van zorgdiensten aan, de persoon in kwestie. Zoals, maar niet uitsluitend, de volgende voorbeelden.

• Informatie over de registratie van de persoon voor de verlening van zorgdiensten;
• Informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
• Een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
• Alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
• Informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof;
• Identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.

Tot slot, om het wat duidelijker te maken hebben we hieronder een drietal voorwaarden benoemd. Kan je deze alle drie afvinken? Dan past een NEN7510 goed bij jouw organisatie.

1. Er is sprake van een aantoonbare interface met een zorginstelling zoals we hierboven hebben beschreven.
2. De scope moet duidelijk maken welke activiteiten, producten en diensten betrekking hebben op het beheer van persoonlijke gezondheidsinformatie en welke zijn uitbesteed.
3. In de verklaring van toepasselijkheid moet aangegeven worden welke beheersmaatregelen van toepassing zijn op de uitbestede activiteiten, producten en diensten welke betrekking hebben op het beheer van persoonlijke gezondheidsinformatie.

Waar ligt de verantwoordelijkheid?

Voor het gemak gaan we er van uit dat het nu duidelijk is voor welke certificering je moet gaan. Dan komen we bij een volgend, veelvoorkomend, struikelblok. Namelijk het beleggen van de verantwoordelijkheid. Ondanks dat beide normen stellen dat het niet noodzakelijk is om een Security Officer aan te stellen (CISO), dient er wel iemand verantwoordelijk te zijn. Zo wordt er binnen de ISO27001 gesteld dat de directie bepaalde bevoegdheden en verantwoordelijkheden dient toe te wijzen. De NEN7510 gaat daar een stapje verder in en eist dat er wel minimaal één persoon de eindverantwoordelijke dient te zijn. Dit zijn eisen maar zeker geen harde eisen. Dit betekent namelijk dat je lukraak iemand binnen de organisatie kan aanwijzen als eindverantwoordelijke. Maar of dat nou zo handig is?

Wanneer je de normen met enige aandacht doorneemt kom je al snel tot de conclusie dat je dit niet bij Janny van de receptie kunt beleggen en dat ook Thomas van de IT-afdeling dit niet gaat kunnen behappen. Niks ten nadele van deze harde werkers, maar de eisen zijn niet mals. Wilt u weten welke taken de eindverantwoordelijke moet uitvoeren? Neem dan contact met ons op en we sturen het u graag toe.

Het mysterie van de Security Officer

Het is duidelijk dat er verantwoordelijkheid belegd moet worden, maar bij wie? En bovenal, waar moet deze persoon aan voldoen? Dit zijn veel gestelde vragen en vaak blijft men het antwoord schuldig. De reden hiervoor heeft alles te maken met de onduidelijkheid omtrent het takenpakket van de Security Officer. Zo worden er vaak ‘vage’ vacatureteksten opgesteld waarin een ‘ervaringsdeskundige op het gebied van informatiebeveiliging’ wordt gezocht. Op basis van de hierop volgende interviews wordt vervolgens de persoon gekozen die het best lijkt te passen. Maar op deze wijze wordt de juiste kandidaat natuurlijk nooit gevonden.

Wat wij daarom aanraden is om kritisch te kijken naar het takenpakket. Wat moet onze beoogde CISO allemaal kunnen omdat wij dat niet in huis hebben? En welke taken kunnen we intern beleggen? Het is belangrijk om niet te vergeten dat de Security Officer niet alles zelf hoeft te doen. Zolang het maar gedaan wordt mag het ook elders in de organisatie worden uitbesteed.

Hoe ziet het profiel van een Security Officer eruit?

Zodra je een definitief takenpakket voor de CISO hebt opgesteld kan je beginnen met het opstellen van het profiel. Hierbij kijk je onder andere naar:

• Welke competenties zijn vereist;
• Welke opleiding is benodigd;
• Welke bevoegdheden zijn er nodig;
• Hoeveel uren zijn benodigd;

Nu heb je een goed beeld van de persoon die je zoekt en kan je ook een betere en vooral duidelijkere functieomschrijving plaatsen. Grote kans dat je de persoon vindt die je zocht en nu is er al veel onduidelijkheid weggenomen. Samenvattend kunnen we stellen dat het goed is om eerst te achterhalen voor welke norm je moet gaan en vervolgens pas op zoek gaat naar de beste CISO voor jouw situatie. Dus de eerste vraag die beantwoord dient te worden is ‘voor welke certificering kies ik?’ en vervolgens pas op zoek te gaan naar de juiste persoon om de functie in te vullen.

Heeft u dit artikel gelezen en toch nog vragen over ISO27001, NEN7510 of de rol van de Security Officer? Of bent u benieuwd naar hoe de experts van Beschermheren u hierbij kunnen helpen? Neem dan vandaag nog contact op en we vertellen u er graag meer over.