Wat is een Statement of Applicability voor NEN 7510?

Een Statement of Applicability (SoA) voor NEN 7510 is een document dat precies beschrijft welke beveiligingsmaatregelen jouw zorgorganisatie toepast en waarom. Het vormt de basis van je NEN 7510-certificering door aan te tonen hoe je de informatiebeveiliging in de zorg hebt georganiseerd. Dit document is verplicht voor certificering en speelt een centrale rol tijdens audits.

Wat is een Statement of Applicability precies?

Een Statement of Applicability is een overzichtsdocument dat alle beveiligingsmaatregelen uit bijlage A van NEN 7510 doorloopt en per maatregel aangeeft of deze van toepassing is op jouw organisatie. Voor elke maatregel geef je een duidelijke motivatie waarom je deze wel of niet implementeert.

Het SoA functioneert als een brug tussen je risicoanalyse en je daadwerkelijke beveiligingsmaatregelen. Het toont auditoren en toezichthouders in één oogopslag hoe je de informatiebeveiliging in de zorg hebt georganiseerd. Dit document is essentieel omdat het de scope van je informatiebeveiligingsmanagementsysteem (ISMS) duidelijk afbakent.

Voor zorginstellingen is het SoA bijzonder waardevol, omdat het laat zien hoe je omgaat met patiëntgegevens en medische informatie. Het document helpt ook bij het aantonen van compliance aan de Inspectie Gezondheidszorg en Jeugd (IGJ).

Waarom is een Statement of Applicability verplicht voor NEN 7510?

NEN 7510 vereist een Statement of Applicability omdat het de transparantie en traceerbaarheid van je beveiligingskeuzes waarborgt. Zonder dit document kunnen auditoren niet beoordelen of je alle relevante risico’s hebt afgedekt en of je maatregelen proportioneel zijn.

De norm stelt dat organisaties moeten kunnen verantwoorden welke maatregelen zij hebben gekozen en waarom bepaalde maatregelen niet van toepassing zijn. Dit is cruciaal in de zorgsector, waar de normen voor informatiebeveiliging streng zijn vanwege de gevoeligheid van patiëntgegevens.

Het SoA speelt ook een belangrijke rol bij het behouden van je certificaat. Bij hercertificering en surveillance-audits gebruiken auditoren dit document om te controleren of je beveiligingsmaatregelen nog actueel en effectief zijn. Zonder een actueel SoA kan je certificering in gevaar komen.

Welke informatie moet er in een Statement of Applicability staan?

Een compleet Statement of Applicability bevat alle 114 beveiligingsmaatregelen uit bijlage A van NEN 7510, met voor elke maatregel een duidelijke status (van toepassing/niet van toepassing) en een onderbouwde motivatie voor deze keuze.

De kernonderdelen van een SoA zijn:

• Alle maatregelen uit de 14 hoofdstukken van bijlage A
• Voor elke maatregel: toepasbaar ja/nee
• Heldere motivatie, gebaseerd op je risicoanalyse
• Verwijzing naar implementatiedocumenten
• Verantwoordelijke personen of afdelingen

Bij “niet van toepassing” moet je kunnen aantonen dat de maatregel echt niet relevant is voor jouw organisatie. Bij “van toepassing” verwijs je naar procedures, werkinstructies of technische implementaties die de maatregel ondersteunen.

Hoe stel je een effectief Statement of Applicability op?

Begin met je risicoanalyse als basis en doorloop systematisch alle 114 maatregelen uit bijlage A van NEN 7510. Voor elke maatregel bepaal je of deze relevant is voor jouw organisatie en documenteer je dit met een heldere motivatie.

Het opstelproces volgt deze stappen:

1. Analyseer je risicoanalyse en identificeer relevante bedreigingen
2. Doorloop alle maatregelen uit bijlage A systematisch
3. Bepaal per maatregel de toepasbaarheid op basis van je risico’s
4. Documenteer heldere motivaties voor elke keuze
5. Verwijs naar concrete implementaties en procedures
6. Laat het document reviewen door verschillende stakeholders

Zorg ervoor dat je motivaties specifiek zijn voor jouw organisatie. Algemene uitspraken zoals “niet relevant” zijn onvoldoende. Leg uit waarom een maatregel wel of niet past bij jouw aanpak van informatiebeveiliging in de zorg.

Wat zijn veelgemaakte fouten bij het opstellen van een Statement of Applicability?

De meest voorkomende fout is het geven van oppervlakkige motivaties zonder duidelijke koppeling aan de risicoanalyse. Veel organisaties schrijven “niet van toepassing” zonder uit te leggen waarom, wat tijdens een NEN 7510-audit tot problemen leidt.

Andere veelgemaakte fouten zijn:

• Ontbrekende verwijzingen naar implementatiedocumenten
• Inconsistenties tussen het SoA en de werkelijke praktijk
• Onvoldoende betrokkenheid van verschillende afdelingen
• Geen regelmatige updates van het document
• Te algemene formuleringen zonder organisatiespecifieke context

Deze fouten kunnen leiden tot bevindingen tijdens je audit en het certificeringsproces vertragen. Een goed opgesteld SoA toont aan dat je informatiebeveiliging in de zorg serieus neemt en professioneel hebt georganiseerd.

Voor beveiliging in de zorgsector is een kwalitatief hoogwaardig Statement of Applicability onmisbaar. Het document vormt de ruggengraat van je compliance in de zorgverlening en toont aan dat je alle relevante aspecten van informatiebeveiliging hebt overwogen. Bij vragen over het opstellen van een effectief SoA of ondersteuning bij je NEN 7510-certificering kun je altijd contact met ons opnemen voor professionele begeleiding.

Related Articles

• Wat zijn de meest voorkomende bevindingen van de IGJ?
• Wat is de relatie tussen NEN 7510 en Wabvpz?
• Hoe ga je om met grensoverschrijdende datatransfers?
• Wat is een readiness assessment voor NEN 7510?
• Wat zijn de eerste stappen naar NEN 7510 certificering?