Een NEN 7510-surveillance-audit is een jaarlijkse toezichtsaudit die controleert of uw zorgorganisatie nog steeds voldoet aan de informatiebeveiligingseisen van de NEN 7510-norm. Deze audit vindt plaats na uw initiële certificering en is essentieel voor het behouden van uw NEN 7510-certificaat. Tijdens de surveillance-audit beoordeelt de auditor of uw informatiebeveiligingsmanagementsysteem (ISMS) nog steeds effectief functioneert en of eventuele wijzigingen correct zijn geïmplementeerd.
Wat is precies een NEN 7510-surveillance-audit en waarom is deze nodig?
Een surveillance-audit is een verplichte jaarlijkse controle die plaatsvindt tussen uw driejaarlijkse hercertificeringsaudits. Deze toezichtsaudit verschilt van de initiële certificering doordat zij zich richt op specifieke onderdelen van uw ISMS in plaats van op het complete systeem. De auditor controleert of verbeteringen zijn doorgevoerd, wijzigingen correct zijn geïmplementeerd en het systeem blijft voldoen aan de NEN 7510-eisen.
Voor zorginstellingen is het onderhouden van de NEN 7510-certificering wettelijk verplicht onder de Wet kwaliteit, klachten en geschillen zorg (Wkkgz). De surveillance-audit zorgt ervoor dat uw organisatie continu aan deze verplichting voldoet. Bovendien toont zij aan patiënten, ketenpartners en de Inspectie Gezondheidszorg en Jeugd (IGJ) dat informatiebeveiliging structureel is geborgd in uw organisatie.
Regelmatige toezichtsaudits helpen ook bij het vroegtijdig signaleren van knelpunten in uw informatiebeveiliging. Dit voorkomt dat kleine problemen uitgroeien tot grote afwijkingen die uw certificering in gevaar kunnen brengen.
Hoe vaak vindt een surveillance-audit plaats en wat bepaalt de timing?
De standaard auditcyclus voor NEN 7510-surveillance-audits is jaarlijks, met maximaal 12 maanden tussen elke toezichtsaudit. Na uw initiële certificering plant de certificeringsinstelling automatisch de surveillance-audits voor de komende twee jaar, gevolgd door een hercertificeringsaudit in het derde jaar.
De exacte frequentie kan worden beïnvloed door verschillende factoren. Grotere zorgorganisaties met complexe IT-infrastructuren krijgen soms uitgebreidere surveillance-audits. Ook het risiconiveau van uw organisatie speelt een rol: organisaties die veel patiëntgegevens verwerken of recent incidenten hebben gehad, kunnen intensievere toezichtsaudits verwachten.
De planning wordt altijd in overleg met uw organisatie bepaald. De meeste certificeringsinstellingen sturen enkele maanden vooraf een uitnodiging met voorgestelde data. Het is verstandig om surveillance-audits te plannen wanneer uw organisatie niet in een drukke periode zit en sleutelpersonen beschikbaar zijn.
Welke documenten en bewijsstukken worden tijdens de audit onderzocht?
De auditor vraagt om een selectie van documenten die aantonen dat uw ISMS blijft functioneren. Dit omvat beleidsdocumenten zoals uw informatiebeveiligingsbeleid, risicoanalyses en procedures voor toegangsbeheer. Ook operationele documenten, zoals logbestanden, incidentregistraties van het afgelopen jaar en verslagen van interne audits, worden beoordeeld.
Praktische bewijsstukken zijn essentieel voor een succesvolle surveillance-audit. Zorg ervoor dat u trainingsregistraties van medewerkers, wijzigingslogboeken van IT-systemen en documentatie van beveiligingsincidenten overzichtelijk hebt georganiseerd. De auditor wil ook zien hoe u omgaat met leverancierscontracten en verwerkersovereenkomsten.
Een handige tip is om vooraf een map samen te stellen met alle relevante documenten uit de periode sinds de vorige audit. Organiseer deze chronologisch en zorg voor duidelijke labels. Dit bespaart tijd tijdens de audit en toont aan dat u gestructureerd werkt aan informatiebeveiliging in de zorg.
Wat gebeurt er als er afwijkingen worden gevonden tijdens de surveillance-audit?
Afwijkingen tijdens surveillance-audits worden geclassificeerd als kleine afwijkingen (minor non-conformities) of grote afwijkingen (major non-conformities). Kleine afwijkingen zijn beperkte tekortkomingen die geen direct risico vormen, zoals ontbrekende handtekeningen op documenten. Grote afwijkingen betreffen structurele problemen die de effectiviteit van uw ISMS aantasten.
Voor kleine afwijkingen krijgt u doorgaans 90 dagen om herstelmaatregelen te implementeren en bewijs aan te leveren. De auditor beoordeelt uw corrigerende maatregelen op basis van de ingediende documentatie. Grote afwijkingen vereisen snellere actie, vaak binnen 30 tot 60 dagen, en kunnen een vervolgaudit noodzakelijk maken.
Ernstige tekortkomingen kunnen leiden tot opschorting van uw certificaat. Dit gebeurt gelukkig zelden bij surveillance-audits, omdat problemen meestal vroegtijdig worden gesignaleerd. De meeste afwijkingen zijn goed op te lossen door adequate corrigerende maatregelen en het aantonen van verbeteringen in uw systeem.
Hoe bereidt u uw organisatie optimaal voor op een surveillance-audit?
Een goede voorbereiding op de surveillance-audit begint met een interne audit enkele maanden vooraf. Controleer zelf of alle processen nog volgens de vastgestelde procedures verlopen en of de documentatie up-to-date is. Zorg ervoor dat medewerkers die bij de audit betrokken zijn op de hoogte zijn van hun rol en de actuele procedures kennen.
Maak een checklist voor de auditdag met alle benodigde documenten, contactgegevens van sleutelpersonen en een overzicht van wijzigingen sinds de vorige audit. Plan voldoende tijd in voor de audit zelf en zorg dat de auditor toegang heeft tot alle relevante systemen en locaties.
Training van betrokken medewerkers is cruciaal voor een soepel verloop. Zij moeten kunnen uitleggen hoe processen in de praktijk werken en waar relevante documentatie te vinden is. Een ontspannen en open houding tijdens de audit werkt meestal het beste: de auditor is er om u te helpen uw informatiebeveiliging te verbeteren.
Een checklist voor de surveillance-audit helpt om niets te vergeten. Noteer welke incidenten er zijn geweest, welke verbeteringen zijn doorgevoerd en welke uitdagingen uw organisatie heeft ervaren. Deze informatie toont aan dat u actief bezig bent met de continue verbetering van uw informatiebeveiliging.
Heeft u vragen over het surveillance-auditproces of wilt u meer weten over onze certificeringsdiensten? Neem gerust contact met ons op voor persoonlijk advies over uw NEN 7510-certificering en toezichtsaudits.
Veelgestelde vragen
Wat kost een NEN 7510-surveillance-audit gemiddeld voor zorgorganisaties?
De kosten voor een surveillance-audit variëren tussen €2.500 en €7.500, afhankelijk van de grootte van uw organisatie en complexiteit van uw IT-systemen. Kleinere praktijken betalen meestal minder dan grote ziekenhuizen of zorggroepen.
Hoe lang duurt een surveillance-audit en hoeveel tijd moet ik vrijmaken?
Een surveillance-audit duurt doorgaans 1 tot 2 dagen, afhankelijk van de grootte van uw organisatie. Plan minimaal een halve dag extra in voor voorbereiding en nazorg, zodat u voldoende tijd heeft voor documentatie en eventuele vragen.
Wanneer moet ik beginnen met de voorbereiding op mijn surveillance-audit?
Begin minimaal 6 tot 8 weken voor de geplande auditdatum met de voorbereiding. Dit geeft u voldoende tijd om documenten te verzamelen, een interne controle uit te voeren en eventuele tekortkomingen aan te pakken.
Wat gebeurt er als mijn organisatie grote wijzigingen heeft doorgevoerd sinds de vorige audit?
Grote wijzigingen zoals nieuwe IT-systemen of organisatieveranderingen moeten vooraf worden gemeld aan de certificeringsinstelling. De auditor besteedt dan extra aandacht aan hoe deze wijzigingen zijn geïmplementeerd binnen uw informatiebeveiligingsmanagementsysteem.
