De twee belangrijkste normen voor informatiebeveiliging, NEN-EN-ISO/IEC 27001 en NEN 7510-1 hebben een nieuwe versie gekregen. Belangrijk om te weten voor alle consultants, klanten en andere stakeholders van deze normen. Het gaat om een beperkte wijziging, zoals de NEN dit op 21 Februari heeft gemeld op hun website.

Belangrijk om te weten, want de beide normen zijn nu beide in de ‘2020-versie’ beschikbaar, waarbij de 2017 versie zonder de 2020 aanvulling van de ISO27001:2017 en NEN7510-1:2017 per direct zijn vervallen.

Eigenlijk moet je deze publicaties lezen als;

NEN 7510-1:2017, inclusief de eerste aanpassing [A1] op de oorspronkelijke versie uit 2017, welke in het jaar 2020 is doorgevoerd. Voor de ISO27001 zou je kunnen lezen; ISO27001 uit 2017, met de elfde aanpassing die is doorgevoerd in 2020.

De belangrijkste wijziging in beide normen is dat ze nu veel beter zijn aangesloten aan de HLS stuctuur. De bekende generieke gele-teksten zijn in beide normen nu verwerkt. De normversie NEN 7510-1:2017 moet vooralsnog nog wel worden gebruikt tot nader bericht dat de RvA NEN 7510:2017+A1:2020 heeft geaccepteerd.

Naast de hierboven genoemde wijziging werd er ook een vertaalfout hersteld in zowel de ISO27001 als de NEn7510; Bijlage A – A18.2.2 ‘Naleving van beveiligingsbeleid en ‑normen’:

In de 2017-versie stond bij deze beheersmaatregel: De Directie moet regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.

In de 2020-versie staat bij deze beheersmaatregel: Leidinggevenden moeten regelmatig de naleving van de informatieverwerking en -procedures binnen hun verantwoordelijkheidsgebied beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.

Het woord ‘Directie’ is dus vervangen door ‘Leidinggevenden’. Deze wijziging heeft plaatsgevonden op basis van de correcte vertaling van de huidige Engelse tekst van NEN-EN-ISO/IEC 27001:2013. In deze tekst is in 18.2.2 het woord ‘Managers’ gebruikt. De juiste vertaling daarvan is ‘Leidinggevenden’. Het gaat hier dus niet om een inhoudelijke wijzigingen van de normeisen.

Impact op de praktijk op A.18.2.2: Het zijn dat het toepassen van de correcte vertaling in de Nederlandse praktijk tot aanpassingen leidt: Of de directie de naleving en -procedures moet beoordelen of dat leidinggevenden dit moeten doen, kan in sommige gevallen enig verschil maken (bijv. in het aantal gesprekken gedurende een audit). DigiTrust zal deze wijziging meenemen tijdens haar audits.

NEN7510-1 wijziging op beheersmaatregel A.14.2.9 Systeemacceptatietests:

Beheersmaatregel: Voor nieuwe informatiesystemen, upgrades en nieuwe versies moeten programma’s voor het uitvoeren van acceptatietests en gerelateerde criteria worden vastgesteld.

ZORGSPECIFIEKE BEHEERSMAATREGEL; Organisaties die persoonlijke gezondheidsinformatie verwerken, moeten acceptatiecriteria vaststellen voor geplande nieuwe informatiesystemen, upgrades en nieuwe versies. Voorafgaand aan acceptatie moeten ze geschikte tests van het systeem uitvoeren.

[A1>Klinische gebruikers moeten worden betrokken bij het testen van klinisch relevante systeemelementen.<A1]

De oorzaak van deze aanpassing was dat deze regel ergens was ‘verdwenen’ in de NEN7510-1:2017. Deze zin werd wél vermeld in de ISO7510-2:2017.

In de praktijk betekend dit aanbieders van zorggerelateerde informatiesystemen bij upgrades en nieuwe versies, klinische gebruikers moeten worden betrokken bij het testen van de relevante klinische elementen.