richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

Vault restructure

Browse source
This commit is contained in:
Richard Kranendonk 2026-04-23 11:51:51 +02:00
parent d45797d121
commit ff77508bd1
1433 changed files with 415450 additions and 1201 deletions
Download patch file Download diff file Expand all files Collapse all files

56
Corpus/Standards/ISO27x/OST/7510/NEN 7510 vs ISO 27001.md Normal file
View file

@ -0,0 +1,56 @@
---
tags:
- iso27001/2022
- nen7510/2024
---
# NEN 7510-1:2024 vs. ISO 27001:2022
De NEN 7510-1:2024 is gebaseerd op de ISO/IEC 27001:2022 en volgt de geharmoniseerde structuur (Harmonized Structure HS) voor ISO managementsysteemnormen.
De kerntekst van beide normen (hoofdstukken 4 t/m 10, Eisen aan het managementsysteem) is identiek.
De beheersmaatregelen uit Bijlage A van de NEN 7510 zijn rechtstreeks afgeleid uit Bijlage A van de ISO 27001, aangevuld met zorgspecifieke beheersmaatregelen (uit ISO/DIS 27799:2024).
De NEN 7510-2 en de ISO 27002 bevatten implementatierichtlijnen voor de respectievelijke beheersmaatregelen uit de Bijlagen A van beide normen.
## Zorgspecifieke maatregelen in de NEN 7510
Zorgspecifieke beheersmaatregelen zijn voorzien van het voorvoegsel "HLT" (voor HeaLTh). Dit zijn:
- A.5.38 HLT Analyse en specificatie van informatiebeveiligingseisen
- A.5.39 HLT Zorgontvangers op unieke wijze identificeren
- A.5.40 HLT Validatie van getoonde/geprinte gegevens
- A.5.41 HLT Openbaar beschikbare gezondheidsinformatie
- A.5.42 HLT Communicatie in noodsituaties
- A.5.43 HLT Incidenten extern melden
- A.6.9 HLT Managementtraining
- A.8.35 HLT Zero trust-beginselen
Deze maatregelen komen dus *niet* voor in Bijlage A van de ISO 27001.
Daarnaast zijn er zorgspecifieke *aanvullingen* op in de ISO 27001 beschreven beheersmaatregelen:
**A.5 Organisatorische beheersmaatregelen**
- A.5.1 Beleidsregels voor informatiebeveiliging: aanvullend doel om de betrokkenheid van het topmanagement bij informatiebeveiliging te waarborgen en actueel te houden.
- A.5.2 Rollen en verantwoordelijkheden bij informatiebeveiliging: aanvullend doel is het waarborgen van duidelijke richting en sturing, zichtbare ondersteuning vanuit het management, en toereikende technische expertise, voor activiteiten die gepaard gaan met de beveiliging van gezondheidsinformatie.
- A.5.9 Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen: aanvullend doel is het identificeren van de stromen van informatie, en de interfaces van die stromen, om de informatiebeveiliging ervan te behouden en er passende eigenaren aan toe te wijzen.
- A.5.11 Retourneren van bedrijfsmiddelen: aanvullend doel is het beschermen van persoonlijke gezondheidsinformatie, als onderdeel van de procedure voor het wijzigen of beëindigen van een dienstverband, contract of overeenkomst.
- A.5.12 Classificeren van informatie: aanvullend doel is het waarborgen van de juiste classificatie van persoonlijke gezondheidsinformatie onder alle omstandigheden.
- A.5.14 Overdragen van informatie: aanvullend doel is het waarborgen van de beveiliging van informatieoverdracht gedurende de volledige levensduur ervan.
- A.5.15 Toegangsbeveiliging: aanvullend doel is het waarborgen van toegang op basis van vastgestelde rollen.
- A.5.19 Informatiebeveiliging in leveranciersrelaties: aanvullend doel is het beheren en beschermen van de externe toegang van leveranciers tot systemen en gegevens.
**A.6 Mensgerichte beheersmaatregelen**
- A.6.2 Arbeidsovereenkomst: aanvullend doel is het in functiebeschrijvingen vermelden van beveiligingsrollen en verantwoordelijkheden van toepassing op het verwerken van persoonlijke gezondheidsinformatie.
- A.6.6 Vertrouwelijkheids- of geheimhoudingsovereenkomsten: aanvullend doel is het formeel verplichten van alle personeel met toegang tot persoonlijke gezondheidsinformatie deze vertrouwelijk te behandelen.
**A.7 Fysieke beheersmaatregelen**
- A.7.10 Opslagmedia: aanvullend doel is dan persoonlijke gezondheidsinformatie op verwijderbare media het versleuteld wordt opgeslagen.
**A.8 Technologische beheersmaatregelen**
- A.8.5 Beveiligde authenticatie: aanvullend doel is het gebruik van tweefactorauthenticatie voor systemen die persoonlijke gezondheidsinformatie verwerken.
- A.8.13 Back-up van informatie: aanvullend doel is het beschermen van de vertrouwelijkheid van persoonlijke gezondheidsinformatie.

58
Corpus/Standards/ISO27x/OST/7510/NEN7510 Risicos.md Normal file
View file

@ -0,0 +1,58 @@
#nen7510
mogelijk gebaseerd op ISO 27005
1. Ongeautoriseerde toegang tot persoonsgegevens
2. Onjuiste wijzigingen in persoonsgegevens
3. Verlies of diefstal van persoonsgegevens
4. Ontbreken van beschikbaarheid van persoonsgegevens
5. Ongeautoriseerde wijzigingen in medische gegevens
6. Verlies of diefstal van medische gegevens
7. Ontbreken van beschikbaarheid van medische gegevens
8. Verstoring van ICT-systemen
9. Ongeautoriseerde toegang tot ICT-systemen
10. Onjuiste wijzigingen in ICT-systemen
11. Verlies of diefstal van ICT-systemen
12. Ontbreken van beschikbaarheid van ICT-systemen
13. Verstoring van bedrijfsprocessen
14. Ongeautoriseerde toegang tot bedrijfsprocessen
15. Onjuiste wijzigingen in bedrijfsprocessen
16. Verlies of diefstal van bedrijfsprocessen
17. Ontbreken van beschikbaarheid van bedrijfsprocessen
18. Onbevoegd gebruik van bedrijfsmiddelen
19. Misbruik van bedrijfsmiddelen
20. Ongeautoriseerde toegang tot applicaties
21. Onjuiste wijzigingen in applicaties
22. Verlies of diefstal van applicaties
23. Ontbreken van beschikbaarheid van applicaties
24. Ongeautoriseerde toegang tot apparatuur
25. Onjuiste wijzigingen in apparatuur
26. Verlies of diefstal van apparatuur
27. Ontbreken van beschikbaarheid van apparatuur
28. Ongeautoriseerde toegang tot netwerken
29. Onjuiste wijzigingen in netwerken
30. Verlies of diefstal van netwerken
31. Ontbreken van beschikbaarheid van netwerken
32. Ongeautoriseerde toegang tot cloud services
33. Onjuiste wijzigingen in cloud services
34. Verlies of diefstal van cloud services
35. Ontbreken van beschikbaarheid van cloud services
36. Ongeautoriseerde toegang tot mobiele apparaten
37. Onjuiste wijzigingen in mobiele apparaten
38. Verlies of diefstal van mobiele apparaten
39. Ontbreken van beschikbaarheid van mobiele apparaten
40. Ongeautoriseerde toegang tot draagbare media
41. Onjuiste wijzigingen in draagbare media
42. Verlies of diefstal van draagbare media
43. Ontbreken van beschikbaarheid van draagbare media
44. Ongeautoriseerde toegang tot databestanden
45. Onjuiste wijzigingen in databestanden
46. Verlies of diefstal van databestanden
47. Ontbreken van beschikbaarheid van databestanden
48. Ongeautoriseerde toegang tot communicatiekanalen
49. Onjuiste wijzigingen in communicatiekanalen
50. Verlies of diefstal van communicatiekanalen
51. Ontbreken van beschikbaarheid van communicatiekanalen
52. Onbevoegd gebruik van persoonsgegevens
53. Misbruik van persoonsgegevens
54. Ontbreken van logische en fysieke beveiliging

1585
Corpus/Standards/ISO27x/OST/7510/NEN7510_2024_NL_1.md Normal file
View file

File diff suppressed because it is too large Load diff

127
Corpus/Standards/ISO27x/OST/7510/NEN7510_2024_NL_1_A.md Normal file
View file

@ -0,0 +1,127 @@
---
tags:
- nen7510/2024
---
## Bijlage A Referentie voor zorgspecifieke beheersmaatregelen voor informatiebeveiliging
De in tabel A.1 opgenomen beheersmaatregelen voor informatiebeveiliging zijn rechtstreeks ontleend aan en afgestemd op de beheersmaatregelen in NEN 7510-2:2024, hoofdstukken 5 t/m 8, en moeten worden gebruikt in samenhang met NEN 7510-1, 6.1.3.
Indien de titel van de zorgspecifieke beheersmaatregel HLT bevat, is deze beheersmaatregel niet opgenomen in bijlage A van NEN-EN-ISO/IEC 27001:2023.
Indien de titel van de zorgspecifieke beheersmaatregel niet HLT bevat, is deze beheersmaatregel aanvullend aan de ermee corresponderende beheersmaatregel in bijlage A van NEN-EN-ISO/IEC 27001:2023.
**Tabel A.1 — Zorgspecifieke beheersmaatregelen**
| **A.5** | **Organisatorische beheersmaatregelen** | |
| ---------- | --------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **A.5.1** | **Beleidsregels voor informatiebeveiliging** | **Beheersmaatregel**<br><br>Informatiebeveiligingsbeleid en onderwerpspecifieke beleidsregels moeten worden gedefinieerd, goedgekeurd door het management, gepubliceerd, gecommuniceerd aan en erkend door relevant personeel en relevante belanghebbenden en met geplande tussenpozen en als zich significante wijzigingen voordoen, worden beoordeeld.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Het informatiebeveiligingsbeleid moet de aanpak voor het beheer van informatiebeveiliging beschrijven en te zijn goedgekeurd door het topmanagement, vervolgens ten minste eenmaal per jaar en daarna telkens als er zich een ernstige beveiligingsgebeurtenis voordoet te worden beoordeeld. |
| **A.5.2** | **Rollen en verantwoordelijkheden bij informatiebeveiliging** | **Beheersmaatregel**<br><br>Rollen en verantwoordelijkheden bij informatiebeveiliging moeten worden gedefinieerd en toegewezen overeenkomstig de behoeften van de organisatie.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Er moet ten minste één persoon verantwoordelijk zijn voor informatiebeveiliging. |
| **A.5.3** | **Functiescheiding** | **Beheersmaatregel**<br><br>Conflicterende taken en conflicterende verantwoordelijkheden moeten worden gescheiden. |
| **A.5.4** | **Managementverantwoordelijkheden** | **Beheersmaatregel**<br><br>Het management moet van al het personeel eisen dat ze informatiebeveiliging toepassen overeenkomstig het vastgestelde informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en procedures van de organisatie. |
| **A.5.5** | **Contact met overheidsinstanties** | **Beheersmaatregel**<br><br>De organisatie moet contact met de relevante instanties leggen en onderhouden. |
| **A.5.6** | **Contact met speciale belangengroepen** | **Beheersmaatregel**<br><br>De organisatie moet contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en beroepsverenigingen leggen en onderhouden. |
| **A.5.7** | **Informatie en analyses over dreigingen** | **Beheersmaatregel**<br><br>Informatie met betrekking tot informatiebeveiligingsdreigingen moet worden verzameld en geanalyseerd om informatie over dreigingen te produceren. |
| **A.5.8** | **Informatiebeveiliging in projectmanagement** | **Beheersmaatregel**<br><br>Informatiebeveiliging moet worden geïntegreerd in projectmanagement. |
| **A.5.9** | **Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen** | **Beheersmaatregel**<br><br>Er moet een inventarislijst van informatie en andere gerelateerde bedrijfsmiddelen, met inbegrip van de eigenaren, worden opgesteld en onderhouden.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Alle informatiestromen (zowel binnen als tussen organisaties) en de interfaces daarvan (waaronder integratieplatforms) moeten worden opgenomen in de inventarisatie. |
| **A.5.10** | **Aanvaardbaar gebruik van informatie en andere gerelateerde bedrijfsmiddelen** | **Beheersmaatregel**<br><br>Regels voor het aanvaardbaar gebruik van en procedures voor het omgaan met informatie en andere gerelateerde bedrijfsmiddelen moeten worden geïdentificeerd, gedocumenteerd en geïmplementeerd. |
| **A.5.11** | **Retourneren van bedrijfsmiddelen** | **Beheersmaatregel**<br><br>Personeel en andere belanghebbenden, al naargelang de situatie, moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beëindiging van hun dienstverband, contract of overeenkomst retourneren.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Er moet beleid zijn dat vereist dat personen schriftelijk bevestigen dat alle bedrijfsmiddelen in hun bezit in alle formaten op veilige wijze zijn geretourneerd of verwijderd, indien van toepassing. |
| **A.5.12** | **Classificeren van informatie** | **Beheersmaatregel**<br><br>Informatie moet worden geclassificeerd volgens de informatiebeveiligingsbehoeften van de organisatie, op basis van de eisen voor vertrouwelijkheid, integriteit, beschikbaarheid en relevante eisen van belanghebbenden.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Persoonlijke gezondheidsinformatie behoort uniform als vertrouwelijk te worden geclassificeerd. |
| **A.5.13** | **Labelen van informatie** | **Beheersmaatregel**<br><br>Om informatie te labelen moet een passende reeks procedures worden ontwikkeld en geïmplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie. |
| **A.5.14** | **Overdragen van informatie** | **Beheersmaatregel**<br><br>Er moeten regels, procedures of overeenkomsten voor informatieoverdracht zijn ingesteld voor alle soorten van communicatiefaciliteiten binnen de organisatie en tussen de organisatie en andere partijen.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Vóórdat enige overdracht plaatsvindt, moeten er regels, procedures en overeenkomsten zijn ingesteld. |
| **A.5.15** | **Toegangsbeveiliging** | **Beheersmaatregel**<br><br>Er moeten regels op basis van bedrijfs- en informatiebeveiligingseisen worden vastgesteld en geïmplementeerd om de fysieke en logische toegang tot informatie en andere gerelateerde bedrijfsmiddelen te beheersen.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Er moet beleid voor op rollen gebaseerde toegangsbeveiliging gelden voor de toegang tot persoonlijke gezondheidsinformatie. |
| **A.5.16** | **Identiteitsbeheer** | **Beheersmaatregel**<br><br>De volledige levenscyclus van identiteiten moet worden beheerd.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Gebruikers die toegang willen hebben tot persoonlijke gezondheidsinformatie en andere vertrouwelijke informatie, moeten formeel zijn geregistreerd. |
| **A.5.17** | **Authenticatie-informatie** | **Beheersmaatregel**<br><br>De toewijzing en het beheer van authenticatie-informatie moet worden beheerst door middel van een beheerproces waarvan het adviseren van het personeel over de juiste manier van omgaan met authenticatie-informatie deel uitmaakt. |
| **A.5.18** | **Toegangsrechten** | **Beheersmaatregel**<br><br>Toegangsrechten voor informatie en andere gerelateerde bedrijfsmiddelen moeten worden verstrekt, beoordeeld, aangepast en verwijderd overeenkomstig het onderwerpspecifieke beleid en de regels inzake toegangsbeveiliging van de organisatie. |
| **A.5.19** | **Informatiebeveiliging in leveranciersrelaties** | **Beheersmaatregel**<br><br>Er moeten processen en procedures worden vastgesteld en geïmplementeerd om de informatiebeveiligingsrisico's in verband met het gebruik van producten of diensten van de leverancier te beheersen.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>De risico's in verband met toegang door externe partijen tot systemen of de gegevens die zij bevatten moeten worden beoordeeld en beheersmaatregelen passend bij het geïdentificeerde risico moeten worden geïmplementeerd. |
| **A.5.20** | **Adresseren van informatiebeveiliging in leveranciersovereenkomsten** | **Beheersmaatregel**<br><br>Relevante informatiebeveiligingseisen moeten worden vastgesteld en met elke leverancier op basis van het type leveranciersrelatie worden overeengekomen. |
| **A.5.21** | **Beheren van informatiebeveiliging in de ICT-toeleveringsketen** | **Beheersmaatregel**<br><br>Er moeten processen en procedures worden bepaald en geïmplementeerd om de informatiebeveiligingsrisico's in verband met de toeleveringsketen van ICT-producten en -diensten te beheersen. |
| **A.5.22** | **Monitoren, beoordelen en het beheren van wijzigingen van leveranciersdiensten** | **Beheersmaatregel**<br><br>De organisatie moet de informatiebeveiligingspraktijken en de dienstverlening van leveranciers regelmatig monitoren, beoordelen, evalueren en veranderingen daaraan beheren. |
| **A.5.23** | **Informatiebeveiliging voor het gebruik van clouddiensten** | **Beheersmaatregel**<br><br>Processen voor het aanschaffen, gebruiken, beheren en beëindigen van clouddiensten moeten overeenkomstig de informatiebeveiligingseisen van de organisatie worden opgesteld. |
| **A.5.24** | **Plannen en voorbereiden van het beheer van informatiebeveiligingsincidenten** | **Beheersmaatregel**<br><br>De organisatie moet plannen opstellen voor, en zich voorbereiden op, het beheren van informatiebeveiligingsincidenten door processen, rollen en verantwoordelijkheden voor het beheer van informatiebeveiligingsincidenten te definiëren, vast te stellen en te communiceren. |
| **A.5.25** | **Beoordelen van en besluiten over informatiebeveiligingsgebeurtenissen** | **Beheersmaatregel**<br><br>De organisatie moet informatiebeveiligingsgebeurtenissen beoordelen en beslissen of ze moeten worden gecategoriseerd als informatiebeveiligingsincidenten. |
| **A.5.26** | **Reageren op informatiebeveiligingsincidenten** | **Beheersmaatregel**<br><br>Op informatiebeveiligingsincidenten moet worden gereageerd in overeenstemming met de gedocumenteerde procedures. |
| **A.5.27** | **Leren van informatiebeveiligingsincidenten** | **Beheersmaatregel**<br><br>Kennis die is opgedaan met informatiebeveiligingsincidenten moet worden gebruikt om de beheersmaatregelen voor informatiebeveiliging te versterken en te verbeteren. |
| **A.5.28** | **Verzamelen van bewijsmateriaal** | **Beheersmaatregel**<br><br>De organisatie moet procedures vaststellen en implementeren voor het identificeren, verzamelen, verkrijgen en bewaren van bewijs met betrekking tot informatiebeveiligingsgebeurtenissen. |
| **A.5.29** | **Informatiebeveiliging tijdens een verstoring** | **Beheersmaatregel**<br><br>De organisatie moet plannen maken voor het op het passende niveau waarborgen van de informatiebeveiliging tijdens een verstoring. |
| **A.5.30** | **ICT-gereedheid voor bedrijfscontinuïteit** | **Beheersmaatregel**<br><br>De ICT-gereedheid moet worden gepland, geïmplementeerd, onderhouden en getest op basis van bedrijfscontinuïteitsdoelstellingen en ICT-continuïteitseisen. |
| **A.5.31** | **Wettelijke, statutaire, regelgevende en contractuele eisen** | **Beheersmaatregel**<br><br>Wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging en de aanpak van de organisatie om aan deze eisen te voldoen, moeten worden geïdentificeerd, gedocumenteerd en actueel gehouden. |
| **A.5.32** | **Intellectuele-eigendomsrechten** | **Beheersmaatregel**<br><br>De organisatie moet passende procedures implementeren om intellectuele-eigendomsrechten te beschermen. |
| **A.5.33** | **Beschermen van registraties** | **Beheersmaatregel**<br><br>Registraties moeten worden beschermd tegen verlies, vernietiging, vervalsing, toegang door onbevoegden en ongeoorloofde vrijgave. |
| **A.5.34** | **Privacy en bescherming van persoonsgegevens** | **Beheersmaatregel**<br><br>De organisatie moet de eisen met betrekking tot het behoud van privacy en de bescherming van persoonsgegevens volgens de toepasselijke wet- en regelgeving en contractuele eisen identificeren en eraan voldoen. |
| **A.5.35** | **Onafhankelijke beoordeling van informatiebeveiliging** | **Beheersmaatregel**<br><br> De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan, met inbegrip van mensen, processen en technologieën, moeten onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, worden beoordeeld. |
| **A.5.36** | **Naleving van beleid, regels en normen voor informatiebeveiliging** | **Beheersmaatregel**<br><br> De naleving van het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid, regels en de normen van de organisatie moet regelmatig worden beoordeeld. |
| **A.5.37** | **Gedocumenteerde bedieningsprocedures** | **Beheersmaatregel**<br><br> Bedieningsprocedures voor informatieverwerkende faciliteiten moeten worden gedocumenteerd en beschikbaar worden gesteld aan het personeel dat ze nodig heeft. |
| **A.5.38** | **HLT Analyse en specificatie van informatiebeveiligingseisen** | **Zorgspecifieke beheersmaatregel**<br><br>De informatiebeveiligingsgerelateerde eisen moeten worden opgenomen in de eisen voor nieuwe informatiesystemen of verbeteringen aan bestaande informatiesystemen. |
| **A.5.39** | **HLT Zorgontvangers op unieke wijze identificeren** | **Zorgspecifieke beheersmaatregel**<br><br>Beleid en processen moeten waarborgen dat elke zorgontvanger op unieke wijze binnen het systeem kan worden geïdentificeerd en moeten in staat te zijn dubbele of meervoudige registraties samen te voegen als er dubbele of meervoudige registraties zijn voor een en dezelfde zorgontvanger. |
| **A.5.40** | **HLT Validatie van getoonde/geprinte gegevens** | **Zorgspecifieke beheersmaatregel**<br><br>Als er gegevens worden getoond en/of geprint door gezondheidsinformatiesystemen moeten deze gegevens ook informatie omvatten waarmee de zorgontvanger waarop de gegevens betrekking heeft wordt geïdentificeerd. |
| **A.5.41** | **HLT Openbaar beschikbare gezondheidsinformatie** | **Zorgspecifieke beheersmaatregel**<br><br>Openbaar beschikbare gezondheidsinformatie moet worden beschermd, bewaard en beheerd gedurende de volledige levenscyclus. |
| **A.5.42** | **HLT Communicatie in noodsituaties** | **Zorgspecifieke beheersmaatregel**<br><br> Noodcommunicatiekanalen binnen een zorgorganisatie die in werking treden wanneer er een storing is in de continuïteit van de ICT van de organisatie moet worden gepland, geïmplementeerd, onderhouden en beproefd. |
| **A.5.43** | **HLT Incidenten extern melden** | **Zorgspecifieke beheersmaatregel**<br><br> Informatiebeveiligingsincidenten moeten volgens juridische of contractuele verplichtingen of verplichtingen uit hoofde van wet- en regelgeving worden gemeld. |
| **A.6** | **Mensgerichte beheersmaatregelen** | |
| --------- | --------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **A.6.1** | **Screening** | **Beheersmaatregel**<br><br> De achtergrond van alle kandidaten voor een dienstverband moet worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden worden herhaald. Hierbij moet rekening worden gehouden met de toepasselijke wet- en regelgeving en ethische overwegingen, en deze controle moet in verhouding staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risicos. |
| **A.6.2** | **Arbeidsovereenkomst** | **Beheersmaatregel**<br><br> In arbeidsovereenkomsten moet worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>In functiebeschrijvingen moeten de beveiligingsrollen en verantwoordelijkheden worden vermeld die van toepassing zijn op het verwerken van persoonlijke gezondheidsinformatie. |
| **A.6.3** | **Bewustwording van, opleiding en training in informatiebeveiliging** | **Beheersmaatregel**<br><br> Personeel van de organisatie en relevante belanghebbenden moeten een passende bewustwording van, opleiding en training in informatiebeveiliging en regelmatige updates over het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie, krijgen. |
| **A.6.4** | **Disciplinaire procedure** | **Beheersmaatregel**<br><br> Er moet een formele en gecommuniceerde disciplinaire procedure zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid. |
| **A.6.5** | **Verantwoordelijkheden na beëindiging of wijziging van het dienstverband** | **Beheersmaatregel**<br><br> Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband, moeten worden gedefinieerd, gehandhaafd en gecommuniceerd aan relevant personeel en andere belanghebbenden. |
| **A.6.6** | **Vertrouwelijkheids- of geheimhoudingsovereenkomsten** | **Beheersmaatregel**<br><br> Vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie inzake de bescherming van informatie weerspiegelen, moeten worden geïdentificeerd, gedocumenterd, regelmatig worden beoordeeld en ondertekend door personeel en andere relevante belanghebbenden.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Alle personeel dat bevoegd is tot toegang tot persoonlijke gezondheidsinformatie moet er formeel toe worden verplicht die informatie vertrouwelijk te behandelen. |
| **A.6.7** | **Werken op afstand** | **Beheersmaatregel**<br><br> Wanneer personeel op afstand werkt, moeten er beveiligingsmaatregelen worden geïmplementeerd om informatie te beschermen die buiten het gebouw en/of terrein van de organisatie wordt ingezien, verwerkt of opgeslagen. |
| **A.6.8** | **Melden van informatiebeveiligingsgebeurtenissen** | **Beheersmaatregel**<br><br> De organisatie moet voorzien in een mechanisme waarmee personeel waargenomen of vermoede informatiebeveiligings- gebeurtenissen tijdig via passende kanalen kan melden. |
| **A.6.9** | **HLT Managementtraining** | **Zorgspecifieke beheersmaatregel** Het management van de organisatie moet passende training krijgen, naarmate relevant is voor hun rollen en verantwoordelijkheden met betrekking tot informatiebeveiliging en hoe het wordt beheerd. |
| **A.7** | **Fysieke beheersmaatregelen** | |
| ------- | -------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| A.7.1 | Fysieke beveiligingszones | **Beheersmaatregel**<br><br> Zones die informatie en andere gerelateerde bedrijfsmiddelen bevatten, moeten worden beschermd door beveiligingszones te definiëren en te gebruiken. |
| A.7.2 | Fysieke toegangsbeveiliging | **Beheersmaatregel**<br><br> Beveiligde zones moeten worden beschermd door passende toegangsbeveiligingsmaatregelen en toegangspunten. |
| A.7.3 | Beveiligen van kantoren, ruimten en faciliteiten | **Beheersmaatregel**<br><br> Voor kantoren, ruimten en faciliteiten moet fysieke beveiliging worden ontworpen en geïmplementeerd. |
| A.7.4 | Monitoren van de fysieke beveiliging | **Beheersmaatregel**<br><br> Het gebouw en terrein moet voortdurend worden gemonitord op onbevoegde fysieke toegang. |
| A.7.5 | Beschermen tegen fysieke en omgevingsdreigingen | **Beheersmaatregel**<br><br> Er moet bescherming tegen fysieke en omgevingsdreigingen, zoals natuurrampen en andere opzettelijke of onopzettelijke fysieke dreigingen voor de infrastructuur, worden ontworpen en geïmplementeerd. |
| A.7.6 | Werken in beveiligde zones | **Beheersmaatregel**<br><br> Voor het werken in beveiligde zones moeten beveiligingsmaatregelen worden ontwikkeld en geïmplementeerd. |
| A.7.7 | Clear desk en clear screen | **Beheersmaatregel**<br><br> Er moeten clear desk-regels voor papieren documenten en verwijderbare opslagmedia en clear screen-regels voor informatieverwerkende faciliteiten worden gedefinieerd en op passende wijze worden afgedwongen. |
| A.7.8 | Plaatsen en beschermen van apparatuur | **Beheersmaatregel**<br><br> Apparatuur moet veilig worden geplaatst en beschermd. |
| A.7.9 | Beveiligen van bedrijfsmiddelen buiten het terrein | **Beheersmaatregel**<br><br> Bedrijfsmiddelen buiten het gebouw en/of terrein moeten worden beschermd. |
| A.7.10 | Opslagmedia | **Beheersmaatregel**<br><br> Opslagmedia moeten worden beheerd gedurende hun volledige levenscyclus van aanschaf, gebruik, transport en verwijdering overeenkomstig het classificatieschema en de hanteringseisen van de organisatie. **Zorgspecifieke beheersmaatregel** Alle persoonlijke gezondheidsinformatie die op verwijderbare media wordt opgeslagen moet worden versleuteld. |
| A.7.11 | Nutsvoorzieningen | **Beheersmaatregel**<br><br>Informatieverwerkende faciliteiten moeten worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door storingen in nutsvoorzieningen. |
| A.7.12 | Beveiligen van bekabeling | **Beheersmaatregel**<br><br> Voedingskabels en kabels voor het versturen van gegevens of die informatiediensten ondersteunen, moeten worden beschermd tegen onderschepping, interferentie of beschadiging. |
| A.7.13 | Onderhoud van apparatuur | **Beheersmaatregel**<br><br>Apparatuur moet op de juiste wijze worden onderhouden om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te garanderen. |
| A.7.14 | Veilig verwijderen of hergebruiken van apparatuur | **Beheersmaatregel**<br><br>Onderdelen van de apparatuur die opslagmedia bevatten, moeten worden gecontroleerd om te waarborgen dat gevoelige gegevens en gelicentieerde software zijn verwijderd of veilig zijn overschreven voordat ze worden verwijderd of hergebruikt. |
| A.8 | **Technologische beheersmaatregelen** | |
| ------ | ------------------------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| A.8.1 | 'User endpoint devices' | **Beheersmaatregel**<br><br> Informatie die is opgeslagen op, wordt verwerkt door of toegankelijk is via 'user endpoint devices' moet worden beschermd. |
| A.8.2 | Speciale toegangsrechten | **Beheersmaatregel**<br><br> Het toewijzen en het gebruik van speciale toegangsrechten moet worden beperkt en beheerd. |
| A.8.3 | Beperking toegang tot informatie | **Beheersmaatregel**<br><br> De toegang tot informatie en andere gerelateerde bedrijfsmiddelen moet worden beperkt overeenkomstig het vastgestelde onderwerpspecifieke beleid inzake toegangsbeveiliging. |
| A.8.4 | Toegangsbeveiliging op broncode | **Beheersmaatregel**<br><br> Lees- en schrijftoegang tot broncode, ontwikkelinstrumenten en softwarebibliotheken moet op passende wijze worden beheerd. |
| A.8.5 | Beveiligde authenticatie | **Beheersmaatregel**<br><br> Er moeten beveiligde authenticatietechnologieën en -procedures worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke beleid inzake toegangsbeveiliging.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Er moet ten minste tweefactorauthenticatie worden gebruikt voor systemen die persoonlijke gezondheidsinformatie verwerken. |
| A.8.6 | Capaciteitsbeheer | **Beheersmaatregel**<br><br>Het gebruik van middelen moet worden gemonitord en aangepast overeenkomstig de huidige en verwachte capaciteitseisen. |
| A.8.7 | Bescherming tegen malware | **Beheersmaatregel**<br><br> Bescherming tegen malware moet worden geïmplementeerd en ondersteund door een passend gebruikersbewustzijn. |
| A.8.8 | Beheer van technische kwetsbaarheden | **Beheersmaatregel**<br><br>Er moet informatie worden verkregen over technische kwetsbaarheden van in gebruik zijnde informatiesystemen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden moet worden geëvalueerd en er moeten passende maatregelen worden getroffen. |
| A.8.9 | Configuratiebeheer | **Beheersmaatregel**<br><br> Configuraties, met inbegrip van beveiligingsconfiguraties, van hardware, software, diensten en netwerken moeten worden vastgesteld, gedocumenteerd, geïmplementeerd, gemonitord en beoordeeld. |
| A.8.10 | Wissen van informatie | **Beheersmaatregel**<br><br> In informatiesystemen, apparaten of andere opslagmedia opgeslagen informatie moet worden gewist als deze niet langer vereist is. |
| A.8.11 | Maskeren van gegevens | **Beheersmaatregel**<br><br>Gegevens moeten worden gemaskeerd overeenkomstig het onderwerpspecifieke beleid inzake toegangsbeveiliging en andere gerelateerde onderwerpspecifieke beleidsregels, en bedrijfseisen van de organisatie, rekening houdend met de toepasselijke wetgeving. |
| A.8.12 | Voorkomen van gegevenslekken (data leakage prevention) | **Beheersmaatregel**<br><br> Maatregelen om gegevenslekken te voorkomen moeten worden toegepast in systemen, netwerken en andere apparaten waarop of waarmee gevoelige informatie wordt verwerkt, opgeslagen of getransporteerd. |
| A.8.13 | Back-up van informatie | **Beheersmaatregel**<br><br> Back-ups van informatie, software en systemen moeten worden bewaard en regelmatig worden getest overeenkomstig het overeengekomen onderwerpspecifieke beleid inzake back-ups.<br><br>**Zorgspecifieke beheersmaatregel (aanvullend)**<br><br>Back-ups van persoonlijke gezondheidsinformatie moeten worden versleuteld. |
| A.8.14 | Redundantie van informatieverwerkende faciliteiten | **Beheersmaatregel**<br><br> Informatieverwerkende faciliteiten moeten met voldoende redundantie worden geïmplementeerd om aan beschikbaarheidseisen te voldoen. |
| A.8.15 | Logging | **Beheersmaatregel**<br><br> Er moeten logbestanden waarin activiteiten, uitzonderingen, fouten en andere relevante gebeurtenissen worden geregistreerd, worden geproduceerd, opgeslagen, beschermd en geanalyseerd. |
| A.8.16 | Monitoren van activiteiten | **Beheersmaatregel**<br><br> Netwerken, systemen en toepassingen moeten worden gemonitord op afwijkend gedrag en er moeten passende maatregelen worden getroffen om potentiële informatiebeveiligingsincidenten te evalueren. |
| A.8.17 | Kloksynchronisatie | **Beheersmaatregel**<br><br> De klokken van informatieverwerkende systemen die door de organisatie worden gebruikt, moeten worden gesynchroniseerd met goedgekeurde tijdbronnen. |
| A.8.18 | Gebruik van speciale systeemhulpmiddelen | **Beheersmaatregel**<br><br> Het gebruik van systeemhulpmiddelen die in staat kunnen zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, moet worden beperkt en nauwkeurig worden gecontroleerd. |
| A.8.19 | Installeren van software op operationele systemen | **Beheersmaatregel**<br><br> Er moeten procedures en maatregelen worden geïmplementeerd om het installeren van software op operationele systemen op veilige wijze te beheren. |
| A.8.20 | Beveiliging netwerkcomponenten | **Beheersmaatregel**<br><br> Netwerken en netwerkapparaten moeten worden beveiligd, beheerd en beheerst om informatie in systemen en toepassingen te beschermen. |
| A.8.21 | Beveiliging van netwerkdiensten | **Beheersmaatregel**<br><br> Beveiligingsmechanismen, dienstverleningsniveaus en dienstverleningseisen voor alle netwerkdiensten moeten worden geïdentificeerd, geïmplementeerd en gemonitord. |
| A.8.22 | Netwerksegmentatie | **Beheersmaatregel**<br><br> Groepen informatiediensten, gebruikers en informatiesystemen moeten in de netwerken van de organisatie worden gesegmenteerd. |
| A.8.23 | Toepassen van webfilters | **Beheersmaatregel**<br><br> De toegang tot externe websites moet worden beheerd om de blootstelling aan kwaadaardige inhoud te beperken. |
| A.8.24 | Gebruik van cryptografie | **Beheersmaatregel**<br><br>Regels voor het doeltreffende gebruik van cryptografie, met inbegrip van het beheer van cryptografische sleutels, moeten worden gedefinieerd en geïmplementeerd. |
| A.8.25 | Beveiligen tijdens de ontwikkelcyclus | **Beheersmaatregel**<br><br>Voor het veilig ontwikkelen van software en systemen moeten regels worden vastgesteld en toegepast. |
| A.8.26 | Toepassingsbeveiligingseisen | **Beheersmaatregel**<br><br>Er moeten eisen aan de informatiebeveiliging worden geïdentificeerd, gespecificeerd en goedgekeurd bij het ontwikkelen of aanschaffen van toepassingen. |
| A.8.27 | Veilige systeemarchitectuur en technische uitgangspunten | **Beheersmaatregel**<br><br> Uitgangspunten voor het ontwerpen van beveiligde systemen moeten worden vastgesteld, gedocumenteerd, onderhouden en toegepast voor alle activiteiten betreffende het ontwikkelen van informatiesystemen. |
| A.8.28 | Veilig coderen | **Beheersmaatregel**<br><br> Er moeten principes voor veilig coderen worden toegepast op softwareontwikkeling. |
| A.8.29 | Testen van de beveiliging tijdens ontwikkeling en acceptatie | **Beheersmaatregel**<br><br> Processen voor het testen van de beveiliging moeten worden gedefinieerd en geïmplementeerd in de ontwikkelcyclus. |
| A.8.30 | Uitbestede systeemontwikkeling | **Beheersmaatregel**<br><br> De organisatie moet de activiteiten in verband met uitbestede systeemontwikkeling sturen, bewaken en beoordelen. |
| A.8.31 | Scheiding van ontwikkel-, test- en productieomgevingen | **Beheersmaatregel**<br><br> Ontwikkel-, test- en productieomgevingen moeten worden gescheiden en beveiligd. |
| A.8.32 | Wijzigingsbeheer | **Beheersmaatregel**<br><br> Wijzigingen in informatieverwerkende faciliteiten en informatiesystemen moeten onderworpen zijn aan procedures voor wijzigingsbeheer. |
| A.8.33 | Testgegevens | **Beheersmaatregel**<br><br> Testgegevens moeten op passende wijze worden geselecteerd, beschermd en beheerd. |
| A.8.34 | Bescherming van informatiesystemen tijdens audits | **Beheersmaatregel**<br><br>Audittests en andere auditactiviteiten waarbij operationele systemen worden beoordeeld, moeten worden gepland en overeengekomen tussen de tester en het verantwoordelijke management. |
| A.8.35 | HLT Zero trust-beginselen | **Zorgspecifieke beheersmaatregel**<br><br>Aan een netwerksegment toegewezen groepen informatiediensten, gebruikers en informatiesystemen moeten zo klein mogelijk worden gehouden en mogen slechts toegang tot een ander netwerksegment hebben nadat beide betrokken segmenten elkaar hebben geauthentiseerd. |

623
Corpus/Standards/ISO27x/OST/7510/NEN7510_2024_NL_1_B.md Normal file
View file

@ -0,0 +1,623 @@
# Bijlage B
(informatief)
## Vergelijking van NEN 7510-1:2024 (dit document) met NEN 7510-1:2017+A1:2020
Het doel van deze bijlage is om achterwaartse compatibiliteit met NEN 7510-1:2017+A1:2020 te bieden aan organisaties die momenteel die norm gebruiken en nu naar de editie van 2024 willen overstappen.
Tabel B.1 laat zien hoe de eisen in hoofdstukken 4 t/m 10 van NEN 7510-1:2017+A1:2020 corresponderen met de eisen in NEN 7510-1:2024.
**Tabel B.1 — Vergelijking tussen 7510-1:2017+A1:2020 en NEN 7510-1:2024**
<table
<colgroup
<col style="width: 8%" /
<col style="width: 24%" /
<col style="width: 8%" /
<col style="width: 24%" /
<col style="width: 35%" /
</colgroup
<thead
<tr
<th colspan="2"<blockquote
<p<strongNEN 7510-1:2017+A1:2020</strong</p
</blockquote</th
<th colspan="2"<blockquote
<p<strongNEN 7510-1:2024</strong</p
</blockquote</th
<th<blockquote
<p<strongAanpassing</strong</p
</blockquote</th
</tr
</thead
<tbody
<tr
<td<blockquote
<p4.1</p
</blockquote</td
<td<blockquote
<pInzicht in de organisatie en haar context</p
</blockquote</td
<td<blockquote
<p4.1</p
</blockquote</td
<td<blockquote
<pInzicht in de organisatie en haar context</p
</blockquote</td
<td<blockquote
<pToevoeging: De organisatie moet vaststellen of klimaatverandering een relevant belangrijk punt (issue) is.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p4.2</p
</blockquote</td
<td<blockquote
<pInzicht in de behoeften en verwachtingen van belanghebbenden</p
</blockquote</td
<td<blockquote
<p4.2</p
</blockquote</td
<td<blockquote
<pInzicht in de behoeften en verwachtingen van belanghebbenden</p
</blockquote</td
<td<blockquote
<pVerwijderd bij b): voor informatiebeveiliging.</p
<pToevoeging: c) welke van deze eisen zullen worden geadresseerd in het managementsysteem voor informatiebeveiliging.</p
<pToevoeging: OPMERKING 2 Belangrijke belanghebbenden kunnen eisen hebben met betrekking tot klimaatverandering.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p4.3</p
</blockquote</td
<td<blockquote
<pHet toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen</p
</blockquote</td
<td<blockquote
<p4.3</p
</blockquote</td
<td<blockquote
<pHet toepassingsgebied van het managementsysteem voor informatiebeveiliging vaststellen</p
</blockquote</td
<td style="text-align: left;"<blockquote
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p4.4</p
</blockquote</td
<td<blockquote
<pManagementsysteem voor informatiebeveiliging</p
</blockquote</td
<td<blockquote
<p4.4</p
</blockquote</td
<td<blockquote
<pManagementsysteem voor informatiebeveiliging</p
</blockquote</td
<td<blockquote
<pToevoeging: met inbegrip van de benodigde processen en hun interacties.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p5.1</p
</blockquote</td
<td<blockquote
<pLeiderschap en betrokkenheid</p
</blockquote</td
<td<blockquote
<p5.1 a)</p
</blockquote</td
<td<blockquote
<pLeiderschap en betrokkenheid</p
</blockquote</td
<td<blockquote
<pVervanging in eerste zin: directie door topmanagement.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p5.1 h)</p
</blockquote</td
<td<blockquote
<pLeiderschap en betrokkenheid</p
</blockquote</td
<td<blockquote
<p5.1 h)</p
</blockquote</td
<td<blockquote
<pLeiderschap en betrokkenheid</p
</blockquote</td
<td<blockquote
<pVervanging: managementfuncties door managementrollen.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p5.2</p
</blockquote</td
<td<blockquote
<pBeleid</p
</blockquote</td
<td<blockquote
<p5.2</p
</blockquote</td
<td<blockquote
<pBeleid</p
</blockquote</td
<td<blockquote
<pVervanging in eerste zin: directie door topmanagement.</p
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
</tbody
</table
<table
<colgroup
<col style="width: 8%" /
<col style="width: 24%" /
<col style="width: 8%" /
<col style="width: 24%" /
<col style="width: 35%" /
</colgroup
<thead
<tr
<th colspan="2"<blockquote
<p<strongNEN 7510-1:2017+A1:2020</strong</p
</blockquote</th
<th colspan="2"<blockquote
<p<strongNEN 7510-1:2024</strong</p
</blockquote</th
<th<blockquote
<p<strongAanpassing</strong</p
</blockquote</th
</tr
</thead
<tbody
<tr
<td<blockquote
<p5.3</p
</blockquote</td
<td<blockquote
<pRollen, verantwoordelijkheden en bevoegdheden binnen de organisatie</p
</blockquote</td
<td<blockquote
<p5.3</p
</blockquote</td
<td<blockquote
<pRollen, verantwoordelijkheden en bevoegdheden binnen de organisatie</p
</blockquote</td
<td<blockquote
<pVervanging in eerste zin: directie door topmanagement en toegevoegd: binnen de organisatie.</p
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p6.1.1 a)</p
</blockquote</td
<td<blockquote
<pActies om risicos te beperken en kansen te benutten Algemeen</p
</blockquote</td
<td<blockquote
<p6.1.1 a)</p
</blockquote</td
<td<blockquote
<pActies om risicos te beperken en kansen te benutten Algemeen</p
</blockquote</td
<td<blockquote
<pVervanging: te bewerkstelligen door te waarborgen.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p6.1.1 d)</p
</blockquote</td
<td<blockquote
<pActies om risicos te beperken en kansen te benutten Algemeen</p
</blockquote</td
<td<blockquote
<p6.1.1 d)</p
</blockquote</td
<td<blockquote
<pMaatregelen om risicos te beperken en kansen te benutten Algemeen</p
</blockquote</td
<td<blockquote
<pVervanging: plannen om deze risicos te beperken en kansen te benutten door acties plannen om deze risicos en kansen op te pakken.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p6.1.2</p
</blockquote</td
<td<blockquote
<pRisicobeoordeling van informatiebeveiliging</p
</blockquote</td
<td<blockquote
<p6.1.2</p
</blockquote</td
<td<blockquote
<pRisicobeoordeling van informatiebeveiliging</p
</blockquote</td
<td<blockquote
<pVervanging in eerste zin: proces door procedure.</p
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p6.1.3</p
</blockquote</td
<td<blockquote
<pBehandeling van informatiebeveiligings- risicos</p
</blockquote</td
<td<blockquote
<p6.1.3</p
</blockquote</td
<td<blockquote
<pBehandeling van informatiebeveiligings- risicos</p
</blockquote</td
<td<blockquote
<pVervanging bij punt d): benodigde beheersmaatregelen door noodzakelijke beheersmaatregelen.</p
<pVerder behoudens tekstuele aan- passingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p6.2</p
</blockquote</td
<td<blockquote
<pInformatiebeveiligings- doelstellingen en de planning om ze te bereiken</p
</blockquote</td
<td<blockquote
<p6.2</p
</blockquote</td
<td<blockquote
<pInformatiebeveiligings- doelstellingen en de planning om ze te bereiken</p
</blockquote</td
<td<blockquote
<pToevoeging in eerste zin: en op relevante niveaus.</p
<pToevoeging: d) worden gemonitord.</p
<pVerder behoudens tekstuele aan- passingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p6.3</p
</blockquote</td
<td</td
<td<blockquote
<p6.3</p
</blockquote</td
<td<blockquote
<pPlanning van wijzigingen</p
</blockquote</td
<td<blockquote
<pToevoeging: Wanneer de organisatie besluit dat er een noodzaak is voor wijzigingen in het managementsysteem voor informatiebeveiliging, moeten de wijzigingen worden uitgevoerd volgens een geplande werkwijze.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p7.1</p
</blockquote</td
<td<blockquote
<pMiddelen</p
</blockquote</td
<td<blockquote
<p7.1</p
</blockquote</td
<td<blockquote
<pMiddelen</p
</blockquote</td
<td<blockquote
<pGeen aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p7.2</p
</blockquote</td
<td<blockquote
<pCompetentie</p
</blockquote</td
<td<blockquote
<p7.2</p
</blockquote</td
<td<blockquote
<pCompetentie</p
</blockquote</td
<td style="text-align: left;"<blockquote
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p7.3</p
</blockquote</td
<td<blockquote
<pBewustzijn</p
</blockquote</td
<td<blockquote
<p7.3</p
</blockquote</td
<td<blockquote
<pBewustzijn</p
</blockquote</td
<td<blockquote
<pGeen aanpassing.</p
</blockquote</td
</tr
</tbody
</table
<table
<colgroup
<col style="width: 8%" /
<col style="width: 24%" /
<col style="width: 8%" /
<col style="width: 24%" /
<col style="width: 35%" /
</colgroup
<thead
<tr
<th colspan="2"<blockquote
<p<strongNEN 7510-1:2017+A1:2020</strong</p
</blockquote</th
<th colspan="2"<blockquote
<p<strongNEN 7510-1:2024</strong</p
</blockquote</th
<th<blockquote
<p<strongAanpassing</strong</p
</blockquote</th
</tr
</thead
<tbody
<tr
<td<blockquote
<p7.4</p
</blockquote</td
<td<blockquote
<pCommunicatie</p
</blockquote</td
<td<blockquote
<p7.4</p
</blockquote</td
<td<blockquote
<pCommunicatie</p
</blockquote</td
<td<blockquote
<pVervanging: d) wie moet communiceren en e) volgens welke processen de communicatie moet plaatsvinden door d) hoe te communiceren.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p7.5.1</p
</blockquote</td
<td<blockquote
<pGedocumenteerde informatie Algemeen</p
</blockquote</td
<td<blockquote
<p7.5.1</p
</blockquote</td
<td<blockquote
<pGedocumenteerde informatie Algemeen</p
</blockquote</td
<td<blockquote
<pGeen aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p7.5.2</p
</blockquote</td
<td<blockquote
<pCreëren en actualiseren</p
</blockquote</td
<td<blockquote
<p7.5.2</p
</blockquote</td
<td<blockquote
<pCreëren en actualiseren</p
</blockquote</td
<td<blockquote
<pGeen aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p7.5.3</p
</blockquote</td
<td<blockquote
<pBeheersing van gedocumenteerde informatie</p
</blockquote</td
<td<blockquote
<p7.5.3</p
</blockquote</td
<td<blockquote
<pBeheersing van gedocumenteerde informatie</p
</blockquote</td
<td style="text-align: left;"<blockquote
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p8.1</p
</blockquote</td
<td<blockquote
<pOperationele planning en beheersing</p
</blockquote</td
<td<blockquote
<p8.1</p
</blockquote</td
<td<blockquote
<pOperationele planning en beheersing</p
</blockquote</td
<td<blockquote
<pAanvulling in eerste zin:</p
<pdoor:</p
</blockquote
<ul
<li<pcriteria vast te stellen voor de processen;</p</li
<li<pprocesbeheersing te implementeren in overeenstemming met de criteria.</p</li
</ul
<blockquote
<pVervanging in laatste zin: De organisatie moet bewerkstelligen dat uitbestede processen worden vastgesteld en beheerst. door De organisatie moet bewerkstelligen dat door externen geleverde processen, producten of diensten die relevant zijn voor het managementsysteem voor informatiebeveiliging, worden beheerst.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p8.2</p
</blockquote</td
<td<blockquote
<pRisicobeoordeling van informatiebeveiliging</p
</blockquote</td
<td<blockquote
<p8.2</p
</blockquote</td
<td<blockquote
<pRisicobeoordeling van informatiebeveiliging</p
</blockquote</td
<td style="text-align: left;"<blockquote
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p8.3</p
</blockquote</td
<td<blockquote
<pInformatiebeveiligings- risicos behandelen</p
</blockquote</td
<td<blockquote
<p8.3</p
</blockquote</td
<td<blockquote
<pInformatiebeveiligings- risicos behandelen</p
</blockquote</td
<td style="text-align: left;"<blockquote
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p9.1</p
</blockquote</td
<td<blockquote
<pMonitoren, meten, analyseren en evalueren</p
</blockquote</td
<td<blockquote
<p9.1</p
</blockquote</td
<td<blockquote
<pMonitoren, meten, analyseren en evalueren</p
</blockquote</td
<td style="text-align: left;"<blockquote
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p9.2</p
</blockquote</td
<td<blockquote
<pInterne audit</p
</blockquote</td
<td<blockquote
<p9.2</p
</blockquote</td
<td<blockquote
<pInterne audit</p
</blockquote</td
<td<blockquote
<pToevoeging: subkoppen 9.2.1 Algemeen en 9.2.2 Intern auditprogramma.</p
<pVerder behoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
</tbody
</table
<table
<colgroup
<col style="width: 8%" /
<col style="width: 24%" /
<col style="width: 8%" /
<col style="width: 24%" /
<col style="width: 35%" /
</colgroup
<thead
<tr
<th colspan="2"<blockquote
<p<strongNEN 7510-1:2017+A1:2020</strong</p
</blockquote</th
<th colspan="2"<blockquote
<p<strongNEN 7510-1:2024</strong</p
</blockquote</th
<th<blockquote
<p<strongAanpassing</strong</p
</blockquote</th
</tr
</thead
<tbody
<tr
<td<blockquote
<p9.3</p
</blockquote</td
<td<blockquote
<pDirectiebeoordeling</p
</blockquote</td
<td<blockquote
<p9.3</p
</blockquote</td
<td<blockquote
<pManagement review</p
</blockquote</td
<td<blockquote
<pToevoeging: subkoppen 9.3.1 Algemeen, 9.3.2 Input voor management review en 9.3.3 Resultaten van de management review.</p
<pVervanging: directie door topmanagement.</p
<pToevoeging: c) wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het managementsysteem voor informatiebeveiliging.</p
<pVerder behoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p10.1</p
</blockquote</td
<td<blockquote
<pAfwijkingen en corrigerende maatregelen</p
</blockquote</td
<td<blockquote
<p10.2</p
</blockquote</td
<td<blockquote
<pAfwijkingen en corrigerende maatregelen</p
</blockquote</td
<td style="text-align: left;"<blockquote
<pBehoudens tekstuele aanpassingen in het kader van leesbaarheid geen inhoudelijke aanpassing.</p
</blockquote</td
</tr
<tr
<td<blockquote
<p10.2</p
</blockquote</td
<td<blockquote
<pContinue verbetering</p
</blockquote</td
<td<blockquote
<p10.1</p
</blockquote</td
<td<blockquote
<pContinue verbetering</p
</blockquote</td
<td<blockquote
<pGeen aanpassing.</p
</blockquote</td
</tr
</tbody
</table

164
Corpus/Standards/ISO27x/OST/7510/NEN7510_2024_NL_1_C.md Normal file
View file

@ -0,0 +1,164 @@
# Bijlage C
(informatief)
## Nederlandse en Europese wet- en regelgeving
#### Algemeen
Vanuit de wet- en regelgeving wordt verwezen naar NEN 7510-1 en NEN 7510-2. Het aantal regels neemt toe en de regels worden internationaler van aard. In een aantal gevallen volgt uit de wet- en regelgeving een verplichting om aan de NEN 7510-reeks te voldoen. Hieronder volgt een niet- limitatieve opsomming van de belangrijkste wet- en regelgeving met een relatie naar deze normen, waarbij onderscheid wordt gemaakt naar bestaande en toekomstige wet- en regelgeving.
#### Relatie met Nederlandse wet- en regelgeving en afsprakenstelsels
##### <img src="media/image6.png" style="width:0.35197in;height:0.11536in" /Verwijzingen naar NEN 7510-1 en NEN 7510-2
###### Besluit elektronische gegevensverwerking door zorgaanbieders (Begz)
Vanuit dit besluit wordt dwingend verwezen naar de NEN 7510-reeks, NEN 7512 en NEN 7513. In art. 3 van dit besluit worden verplichtingen opgelegd aan zowel de zorgaanbieder als de verantwoordelijke voor het elektronisch uitwisselingssysteem. In art. 3, lid 4 van dit besluit is bovendien vermeld dat een rechtspersoon, niet zijnde een zorgaanbieder, die een elektronisch uitwisselings-systeem beheert en in stand houdt minimaal eenmaal per vijf jaar een onafhankelijke beoordeling moet laten uitvoeren op de naleving van de vereisten uit de NEN 7510-reeks en
NEN 7512.
De Nota van toelichting bij dit besluit vermeldt de verplichting om te voldoen aan NEN 7510 en NEN 7512 in het kader van de verwerking van het Burgerservicenummer. Dit betekent dat wanneer
een (zorg)instelling de in NEN 7510-2, NEN 7512 en NEN 7513 aangegeven beheersmaatregelen heeft getroffen, ervan uit mag worden gegaan dat deze passende technische en organisatorische maatregelen heeft getroffen, als bedoeld in art. 32 van de AVG.
###### Besluit Jeugdwet
Dit besluit beschrijft de voorwaarden voor zorgverleners die betrokken zijn bij de jeugdzorg. Vanuit art. 7.2.2, lid 2 worden deze zorgverleners (de betrokken instantie of functionaris) verwezen naar de NEN 7510-reeks.
###### [Regeling justitiële keteninformatisering Jeugdwet]
Deze [regeling][Regeling justitiële keteninformatisering Jeugdwet] beschrijft regels en voorschriften voor de informatievoorziening binnen de jeugdzorg. In deze regeling is opgenomen dat een gecertificeerde instelling voor jeugdbescherming of jeugdreclassering een toets op de naleving van de NEN 7510-reeks moet laten uitvoeren op de bedrijfsprocessen en informatiesystemen.
###### Regeling publieke gezondheid
Deze regeling beschrijft regels en voorschriften voor publieke gezondheid, denk aan gezondheidsuitbraken zoals Covid-19. Deze regeling is een nadere uitwerking van de Wet publieke gezondheid. Vanuit art. 5 wordt voor de gegevensverwerking voor meldingen in het kader van publieke gezondheid verwezen naar de NEN 7510-reeks.
###### [Regeling zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten]
Deze [regeling][Regeling zorg en dwang psychogeriatrische en verstandelijk gehandicapte cliënten] beschrijft de informatievoorziening die samenhangt met het verlenen van onvrijwillige zorg aan psychogeriatrische en verstandelijk gehandicapte cliënten. Vanuit art. 8 wordt verwezen naar de NEN 7510-reeks en NEN 7512.
###### MedMij Afsprakenstelsel
Binnen het MedMij Afsprakenstelsel zorgen de Dienstverlener Persoon (DVP) en de Dienstverlener Aanbieder (DVA) voor de gegevensuitwisseling tussen personen en verschillende soorten aanbieders. Een voorbeeld hiervan is de gegevensuitwisseling tussen een natuurlijke persoon, via zijn of haar persoonlijke gezondheidsomgeving (PGO), en een zorgaanbieder. Het MedMij Afsprakenstelsel stelt eisen aan de gegevensuitwisselingen en de DVPs en DVAs die deze uitwisselingen mogelijk maken.
Een van deze eisen is het verkrijgen en onderhouden van een NEN 7510-certificering.
###### Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)
Deze wet (ook bekend als de Wet cliëntenrechten bij elektronische verwerking van gegevens) schept aanvullende randvoorwaarden voor het eventuele gebruik van een elektronisch uitwisselingssysteem door zorgaanbieders en wijzigt een aantal andere wetten [4]). In art. 10 staat dat bij ministeriële regeling kan worden bepaald aan welke beveiligingseisen de gegevensverwerking moet voldoen. Vanuit de op art. 10 gebaseerde Regeling gebruik burgerservicenummer in de zorg (art. 2) wordt voor de gegevensverwerking verwezen naar de NEN 7510-reeks.
###### Wet kwaliteit, klachten en geschillen zorg (Wkkgz)
Deze wet verplicht de zorginstelling tot het verlenen van goede zorg die veilig, doeltreffend, doelmatig en cliëntgericht is (art. 2) en te zorgen voor systematische bewaking, beheersing en verbetering van de kwaliteit van de zorg (art. 7). Vanuit artikelen 7c en 7d van de uitvoeringsregeling van deze wet wordt voor het toepassen van deze regeling voor de beveiligingsmaatregelen verwezen naar de
NEN 7510-reeks.
##### <img src="media/image7.png" style="width:0.34947in;height:0.11532in" /Algemene wetten en regels
###### Algemene verordening gegevensbescherming (AVG)
De belangrijkste regels voor de omgang met persoonsgegevens in Nederland zijn vastgelegd in de [Algemene verordening gegevensbescherming (AVG).] De AVG verplicht organisaties te zorgen voor een adequate beveiliging van persoonsgegevens. In art. 32 van de AVG is vastgesteld dat de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen (...) [5]). Vanuit art. 32 in de AVG wordt verwezen naar bestaande (Nederlandse en internationale) normen voor informatiebeveiliging. Voor zorgaanbieders en andere organisaties die persoonlijke gezondheidsinformatie verwerken, betreft het:
— NEN 7510-1 en NEN 7510-2;
- NEN 7512: de beveiliging van gegevensuitwisseling tussen partijen die niet in hetzelfde beveiligingsdomein zitten;
- NEN 7513: acties die worden uitgevoerd op de persoonlijke gezondheidsinformatie waarop het toegangsbeveiligingsbeleid voor het domein waar de persoonlijke gezondheidsinformatie zich bevindt, van toepassing is. Met andere woorden: waarop het ISMS van NEN 7510-1 van toepassing is: Als een zorginstelling de in deze normen aangegeven maatregelen heeft getroffen, wordt daarmee vastgesteld dat de instelling voldoet aan de genoemde wettelijke bepaling. [6])
4) <span id="_bookmark47" class="anchor"</spanDe wet wijzigt en/of vult aan: de Wet gebruik BSN in de zorg, de Wbp, de WGBO, de Wet gebruik burgerservicenummer in de zorg (Wbsn-z), de Wet marktordening gezondheidszorg (Wmg) en de Zorgverzekeringswet (Zvw).
5) <span id="_bookmark48" class="anchor"</span() rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.
6) <span id="_bookmark49" class="anchor"</spanKamerstuk 33 509, nr. 7: Nota naar aanleiding van het verslag bij Wijziging van de Wet cliëntenrechten zorg, de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens).
###### Wet op de geneeskundige behandelovereenkomst (WGBO)
De WGBO (BW-boek 7, afdeling 5, art. 446-468), over rechten en plichten voor zowel hulpverlener als cliënt, is van toepassing op het verwerken van gegevens door de zorginstelling die de hulpverlener in het kader van de behandeling van de cliënt heeft verkregen. Die wet verplicht hem de noodzakelijke gegevens vast te leggen in zijn dossier over de cliënt. Via de AVG is een zorginstelling ook verplicht de gegevens van haar cliënten in het dossier adequaat te beschermen. Die verplichting kan worden ingevuld door NEN 7510-1 en NEN 7510-2 als uitgangspunt te hanteren.
###### Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)
De Wet BIG is van toepassing op het bevorderen en bewaken van de kwaliteit in de gezondheidszorg door de onderverdeling van beroepen in drie groepen, waarvan art. 3-beroepen in het BIG-register staan en onder het complete tuchtrecht vallen.
###### Wet cliëntenrechten zorg (Wcz)
Deze wet is een samenvoeging van regels over de rechten van cliënten en de bijbehorende verplichtingen voor zorgaanbieders, zoals recht op goede zorg, keuze-informatie, informatie, toestemming, dossiervorming, bescherming van de persoonlijke levenssfeer, effectieve en laagdrempelige klachten- en geschillenregeling, medezeggenschap, goed bestuur en toezicht en maatschappelijke verantwoording. Goede zorgverlening vraagt van de zorginstelling dat zij bijhoudt wat er met de cliënt is besproken en welke behandeling er is gegeven. De Wcz geeft de cliënt dan ook het recht op een dossier en verplicht de zorginstelling dus om dit aan te leggen. De cliënt heeft recht op inzage en op een afschrift van zijn dossier. Deze bepalingen zijn met enige wijzigingen overgenomen uit de WGBO. In de WGBO is ook de bescherming van de persoonlijke levenssfeer (privacy) geregeld. Dit is overgenomen in de Wcz. Onder bescherming van de persoonlijke levenssfeer vallen de geheimhoudingsplicht van de zorginstelling en haar medewerkers en het recht van de cliënt op privacy tijdens de zorgverlening.
###### Wet digitale overheid
Deze wet regelt dat Nederlandse burgers en bedrijven veilig en betrouwbaar kunnen inloggen bij publieke organisaties. Daarmee wordt bedoeld dat burgers elektronische identificatiemiddelen (eID) krijgen met een substantiële of hoge mate van betrouwbaarheid. Deze identificatiemiddelen geven publieke dienstverleners meer zekerheid over iemands identiteit. De wet stelt daarnaast open standaarden verplicht. Hiermee implementeert Nederland de Europese richtlijn over toegankelijkheid van overheidswebsites en apps (e-IDAS). Zorgverleners, indicatieorganen of zorgverzekeraars die op basis van de Wabvpz burgerservicenummers (bsns) verwerken zijn zogenaamde aangewezen organisaties en vallen ook onder deze wet.
###### Wet elektronische gegevensuitwisseling in de zorg (Wegiz)
Deze wet beschrijft de regels en voorschriften voor gegevensuitwisseling in de zorg. Deze wet is een kaderwet en zal in de toekomst tot meerdere algemene maatregelen van bestuur (Amvbs) leiden. Het programma [<uEGIZ</u] beoogt op basis van de kaderwet normen voor gegevensuitwisselingen te bepalen. Deze zijn zowel generiek als inhoudelijk per soort gegevensuitwisseling. De generieke normen voor gegevensuitwisseling hebben onder andere betrekking op informatiebeveiliging, zoals voor authenticatie en voor toestemming.
###### Wet langdurige zorg (Wlz)
Deze wet beschrijft de regels en voorschriften voor het verlenen van langdurige zorg, soms levenslang 24 uur per dag. Dit omvat onder andere indicatiestelling, regels voor de verzekering van de verleende zorg en het recht op zorg. NEN 7510 wordt in deze wet niet expliciet genoemd, maar de wet bevat wel voorschriften voor gegevensbescherming voor de verschillende betrokkenen, waaronder het CIZ, het Zorginstituut en het CAK.
**NTA 7516 [7])**
Binnen de zorg vindt naast gestructureerde uitwisseling van persoonlijke gezondheidsinformatie ook ad-hoc-communicatie plaats, bijvoorbeeld via e-mail. NTA 7516 beschrijft in techniekneutrale termen de eisen waaraan e-mail, met daarin patiënt- of cliëntgegevens, zou moeten voldoen om veilig te zijn. Het gaat daarbij enerzijds om de waarden die geborgd moeten worden, zoals de mate van beschikbaarheid, integriteit en vertrouwelijkheid, en anderzijds om gebruiksvriendelijkheid. Dit laatste is een belangrijk uitgangspunt om ervoor te zorgen dat oplossingen voor veilige e-mail daadwerkelijk gebruikt gaan worden. NTA 7516 is hiermee een uitwerking van de beheersmaatregelen uit de NEN 7510-reeks die gaan over ad-hoc-gegevensuitwisseling.
#### Relatie met (toekomstige) Europese wet- en regelgeving
Naast bestaande wet- en regelgeving is er ook toekomstige wet- en regelgeving die een relatie heeft of kan krijgen met informatiebeveiliging in de zorg. Zonder uitputtend te zijn wordt de volgende wet- en regelgeving genoemd.
###### Network and Information Security Directive (NIS2-richtlijn)
Dit is de opvolger van de NIS-richtlijn. Deze richtlijn is vastgesteld door de Europese Unie (EU) en bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2-richtlijn vergroot de reikwijdte van de NIS-richtlijn door meer sectoren, waaronder de zorgsector, te omvatten. Ook stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. Deze nieuwe richtlijn wordt omgezet in Nederlandse wetgeving (titel: Cyberbeveiligingswet).
###### Medical Device Regulation (MDR) en In Vitro Diagnostic Regulation (IVDR)
Sinds 2021 en 2022 gelden er nieuwe Europese regels voor medische hulpmiddelen. Doel van de nieuwe regels is de patiëntveiligheid te vergroten en er ook voor te zorgen dat innovatieve medische hulpmiddelen beschikbaar blijven voor patiënten. De Europese verordening voor medische hulpmiddelen (Medical Device Regulation, MDR) is van toepassing sinds 26 mei 2021. De MDR vervangt de eerdere Europese Richtlijnen voor medische hulpmiddelen (93/42/EEG) en voor actieve implanteerbare medische hulpmiddelen (90/385/EEG). Sinds 26 mei 2022 is de Europese verordening voor medische hulpmiddelen voor in-vitro diagnostiek (IVDR) van toepassing. De IVDR vervangt de eerdere EU-Richtlijn voor medische hulpmiddelen voor in-vitro diagnostiek (98/79/EG). NEN 7510-1 en NEN 7510-2 beschrijven beheersmaatregelen voor informatiebeveiliging. Medische hulpmiddelen zijn steeds meer verbonden met de IT-infrastructuur en/of zijn als programmatuur in zichzelf ook een medisch hulpmiddel. Dit betekent dat er dus een samenhang is tussen de MDR/IVDR en de NEN 7510-reeks.
###### Artificial Intelligence Act (AI Act)
Deze wet beschrijft de regels en voorschriften voor de ontwikkeling, inzet en het gebruik van AI. Ook binnen de zorg en het gezondheidsonderzoek wordt AI steeds meer ingezet. Eisen voor informatiebeveiliging zijn hier een onderdeel van.
###### Critical Entities Resilience Directive (CER)
Deze richtlijn gaat in op zogenaamde kritieke entiteiten. Deze entiteiten verlenen essentiële diensten die van cruciaal belang zijn voor vitale maatschappelijke functies, economische activiteiten, de volksgezondheid, de openbare veiligheid en het milieu. Zij moeten kunnen omgaan met hybride aanvallen, natuurrampen, terroristische dreigingen en gezondheidscrises, en zij moeten in staat zijn deze te voorkomen, zich ertegen te beschermen, erop te reageren en ervan te herstellen. Deze nieuwe richtlijn wordt omgezet in Nederlandse wetgeving (titel: Wet Weerbaarheid kritieke entiteiten).
7) <span id="_bookmark50" class="anchor"</spanNTA 7516:2019 wordt herzien en naar verwachting in 2025 gepubliceerd als een NEN-norm.
###### Cyber Resilience Act (CRA)
Deze wet beoogt te beschrijven welke eisen moeten worden gesteld aan producten om deze veilig op de markt te kunnen brengen en te kunnen gebruiken. Dit wordt ook relevant voor apparatuur en producten die binnen de zorg worden gebruikt. Zorgaanbieders kunnen dit meenemen wanneer eisen worden gesteld bij de verwerving van nieuwe middelen.
###### Data Act
Deze wet beoogt een gelijk speelveld te creëren voor partijen binnen de markt waarbij steeds meer gebruik wordt gemaakt van gegevens. Ook binnen de sector gezondheidszorg zal dit van belang zijn en worden.
###### Data Governance Act (DGA)
Deze wet streeft ernaar gegevens binnen Europa beter toegankelijk te maken. Dit is relevant voor onderzoek binnen de zorg en ook voor de zorg zelf omdat deze hergebruik van data faciliteert, bijvoorbeeld voor kwaliteitsverbetering, beleid en innovatie.
###### European Health Data Space (EHDS)
Binnen de EU wordt een verordening voor de Europese ruimte voor gezondheidsgegevens opgesteld. Deze verordening beoogt voor te schrijven hoe binnen Europa snel en gemakkelijk gezondheids- gegevens uitgewisseld kunnen worden en burgers toegang kan worden gegeven tot hun gezondheids- gegevens. Het voorstel bestaat uit drie delen: primair datagebruik, secundair datagebruik en regulering van de Zorg-ICT-markt. Voorschriften voor beveiliging, toestemming, uitwisseling, secundair gebruik van gegevens vormen hier een onderdeel van.
**65**
# Bibliografie
NEN-EN-ISO/IEC 27000, *Information technology Security techniques Information security management systems Overview and vocabulary*
NEN-EN-ISO/IEC 27001, *Informatiebeveiliging, cybersecurity en bescherming van de privacy - Managementsysteem voor informatiebeveiliging - Eisen*
NEN-EN-ISO/IEC 27002*, Informatiebeveiliging, cybersecurity en bescherming van de privacy - Beheersmaatregelen voor informatiebeveiliging*
NEN-ISO/IEC 27003, *Information technology Security techniques Information security management systems Guidance*
NEN-ISO/IEC 27004, *Information technology Security techniques Information security management Monitoring, measurement, analysis and evaluation*
NEN-EN-ISO/IEC 27005, *Information security, cybersecurity and privacy protection Guidance on managing information security risks*
NEN-EN-ISO 27799, *Health informatics - Information security management in health using ISO/IEC 27002*
IEC/CD TS 81001-2-2:2024, *Health software and health IT systems safety, effectiveness and security Part 2-2: Guidance for the implementation, disclosure and communication of security needs, risks and controls*
NEN-ISO 31000, *Risicomanagement - Richtlijnen*
ISO/IEC *Directives, Part 1, Consolidated ISO Supplement Procedures specific to ISO*, 2012

0
Corpus/Standards/ISO27x/OST/7510/NEN7510_2024_NL_1_fixed.md Normal file
View file

22315
Corpus/Standards/ISO27x/OST/7510/NEN7510_2024_NL_2.md Normal file
View file

File diff suppressed because it is too large Load diff