ISO 27001 en NEN 7510: wat zijn de verschillen?
4 min. leestijd
Organisaties die werken met gevoelige informatie krijgen vroeg of laat te maken met normen voor informatiebeveiliging. In Nederland worden daarbij vaak twee standaarden genoemd: ISO 27001 en NEN 7510.
Beide normen hebben hetzelfde doel: het beschermen van informatie en het beheersen van risico’s rondom gegevensverwerking. Toch zijn er duidelijke verschillen. Zo heeft de ene norm een internationale scope, terwijl de andere specifiek gericht is op de zorgsector.
In dit artikel leggen we uit wat ISO 27001 en NEN 7510 inhouden, wat de belangrijkste verschillen zijn en wanneer organisaties ervoor kiezen om beide normen te combineren.
Wat is ISO 27001?
ISO 27001 is een internationale norm voor informatiebeveiliging. De norm is ontwikkeld door de International Organization for Standardization (ISO) en wordt wereldwijd toegepast door organisaties in verschillende sectoren. De norm beschrijft hoe een organisatie een Information Security Management System (ISMS) kan inrichten. Een ISMS is een managementsysteem waarmee een organisatie informatiebeveiliging structureel organiseert en blijft verbeteren.
Een managementsysteem voor informatiebeveiliging bestaat onder andere uit:
- beleid en doelstellingen voor informatiebeveiliging
- processen en procedures
- beveiligingsmaatregelen
- controles en evaluaties van het systeem
De norm werkt volgens een risicogebaseerde aanpak. Dat betekent dat een organisatie eerst de risico’s voor informatie bepaalt en vervolgens maatregelen neemt om deze risico’s te beheersen. ISO 27001 kan worden toegepast in vrijwel iedere sector, van technologiebedrijven tot financiële instellingen en overheidsorganisaties.
Wilt u meer weten over het traject richting certificering? Lees dan ook meer over ISO 27001 certificering.
Wat is NEN 7510?
NEN 7510 is een Nederlandse norm voor informatiebeveiliging in de zorg. De norm is ontwikkeld door het Nederlands Normalisatie Instituut (NEN). Net als ISO 27001 richt NEN 7510 zich op het beschermen van informatie. In dit geval gaat het specifiek om persoonlijke gezondheidsinformatie, zoals patiëntgegevens en medische dossiers.
De norm bestaat uit twee onderdelen.
- NEN 7510-1
Dit deel beschrijft het managementsysteem voor informatiebeveiliging. De structuur is grotendeels gebaseerd op ISO 27001. - NEN 7510-2
Deel twee bevat aanvullende maatregelen die specifiek gericht zijn op organisaties in de zorgsector.
Hierdoor sluit NEN 7510 beter aan op de risico’s en wettelijke verplichtingen rondom medische gegevens.
Wilt u meer weten over het traject richting certificering? Lees dan ook meer over NEN 7510 certificering.
ISO 27001 vs NEN 7510: de belangrijkste verschillen
Hoewel beide normen veel overeenkomsten hebben, zijn er enkele duidelijke verschillen.
| Onderwerp | ISO 27001 | NEN 7510 |
|---|---|---|
| Type norm | Internationale norm voor informatiebeveiliging | Nederlandse norm voor informatiebeveiliging in de zorg |
| Ontwikkeld door | International Organization for Standardization (ISO) | Nederlands Normalisatie Instituut (NEN) |
| Doelgroep | Organisaties in alle sectoren | Zorginstellingen en organisaties die persoonlijke gezondheidsinformatie verwerken |
| Focus van de norm | Bescherming van alle soorten waardevolle informatie | Bescherming van persoonlijke gezondheidsinformatie |
| Managementsysteem | Information Security Management System (ISMS) | Managementsysteem voor informatiebeveiliging gebaseerd op ISO 27001 |
| Structuur | Bevat eisen voor het managementsysteem en een set beveiligingsmaatregelen | Bestaat uit NEN 7510-1 (managementsysteem) en NEN 7510-2 (zorgspecifieke maatregelen) |
| Toepassing | Wereldwijd toepasbaar | Gericht op de Nederlandse zorgsector |
| Certificering | ISO 27001 certificering door een certificerende instelling | NEN 7510 certificering door een certificerende instelling |
| Combinatie | Kan gecombineerd worden met andere managementsysteemnormen | Wordt vaak gecombineerd met ISO 27001 |
Overeenkomsten tussen ISO 27001 en NEN 7510
Ondanks de verschillen delen beide normen een groot deel van hun structuur.
Beide normen:
- gebruiken een managementsysteem voor informatiebeveiliging
- zijn gebaseerd op risicomanagement
- werken volgens de PDCA-cyclus (Plan-Do-Check-Act)
- vereisen interne audits en een directiebeoordeling
- kunnen worden gecertificeerd door een onafhankelijke certificerende instelling
Door deze overeenkomsten is het voor organisaties vaak mogelijk om beide normen binnen één managementsysteem toe te passen.
Wanneer kiezen organisaties voor ISO 27001 of NEN 7510?
De keuze tussen beide normen hangt vaak samen met de sector waarin een organisatie actief is.
Organisaties buiten de zorg
Voor organisaties buiten de zorgsector is ISO 27001 meestal de meest logische keuze. De norm is internationaal toepasbaar en richt zich op alle soorten bedrijfsinformatie.
Zorginstellingen
Zorginstellingen kiezen vaak voor NEN 7510, omdat deze norm specifiek is ontwikkeld voor het beschermen van persoonlijke gezondheidsinformatie.
Leveranciers in de zorgketen
Organisaties die diensten leveren aan zorginstellingen (bijvoorbeeld softwareleveranciers of IT-dienstverleners) krijgen regelmatig te maken met beide normen. In zulke gevallen kan een combinatie van ISO 27001 en NEN 7510 passend zijn.
ISO 27001 en NEN 7510 combineren
Omdat NEN 7510 grotendeels gebaseerd is op ISO 27001, kunnen organisaties beide normen vaak goed combineren. Wanneer een organisatie al een ISO 27001 managementsysteem heeft ingericht, zijn veel onderdelen van NEN 7510 al aanwezig. In dat geval kan de organisatie uitbreiden met NEN 7510. Deze wordt dan toegevoegd via een aanvullende audit waarbij de zorgspecifieke eisen worden beoordeeld.
Het combineren van normen kan voordelen hebben:
- één geïntegreerd managementsysteem
- minder dubbele documentatie en processen
- efficiëntere audits
- lagere kosten dan twee afzonderlijke trajecten
In de praktijk kiezen daarom veel organisaties voor een geïntegreerde aanpak.
Meer weten over ISO 27001 en NEN 7510 certificering?
Wilt u bespreken welke aanpak voor uw organisatie het meest logisch is? Neem gerust contact op met Brand Compliance.
Geen kennisartikelen missen?
Vul uw gegevens in en u ontvangt regelmatig een update met onze nieuwste artikelen.
