Security Professionals - ipfw add deny all from eindgebruikers to any

NEN 7510 verplicht?

21-01-2010, 11:24 door Anoniem, 39 reacties
is het voldoen aan NEN 7510 wettelijk verplicht? en wanneer val je dan onder die verplichting?

Greetingz,
Jacco
Reacties (39)
21-01-2010, 11:45 door Anoniem
Wat de fuc... is NEN 7510???
21-01-2010, 11:56 door SirDice
Het is geen wet, het is een norm. M.b.v. deze norm kun je meten of je wel of niet aan de wettelijke verplichting voor "passende beveiliging" voldoet.

http://www.nen7510.org/

Om even een voorbeeld te geven, installateurs hanteren de NEN 1010. Daar is geen wettelijke verplichting voor maar een energieleverancier kan wel jouw installatie afkeuren (en dus niet aansluiten) als het niet voldoet aan de norm. Ook zou, als er bijvoorbeeld brand is ontstaan in jouw installatie, de verzekering kunnen weigeren uit te betalen omdat het niet voldeed.
21-01-2010, 13:10 door Anoniem
Voldoen aan NEN7510 is absoluut niet verplicht.
Wel zie je dat steeds meer bedrijven aan deze norm willen voldoen.
21-01-2010, 13:31 door [Account Verwijderd]
[Verwijderd]
21-01-2010, 13:31 door [Account Verwijderd]
[Verwijderd]
21-01-2010, 14:13 door Preddie
ik zal jullie uit de droom helpen ..... ( het is verplicht voor zorginstelling of bedrijven die met medische gegevens werken, vanaf 2010 ja)

Voor de mensen die het niet weten NEN 7510 / NEN 7511-1 / NEN 7511-2 / NEN 7511-3 / NEN 7512 (benoemd als NEN 7510)
is de afgeslankte versie van ISO 27001 / ISO 27002 speciaal toegespitst op de zorg.

Zorg instellingen horen eigenlijk vanaf 2006 conform de NEN 7510 te werken, met het oog op de invoering van de wet op de BSN en het EPD. op dit moment (NU) dus is het niet verplicht maar wordt je geacht conform de richtlijn te werken, doe je dit niet dan heb je een grote kan dat je beboet kan worden door het CPB of zelfs voor de rechter moet verschijnen. Het punt is namelijk zo dat NEN 7510 maatregelen bevat die o.a. de privacy van je patienten moeten waarborgen, wanneer je die maatregelen niet hebt genomen ben je logische wijs onverantwoord bezig met patient gegevens en dit is onacceptabel zowel vanuit het oogpunt van de patient noch het CPB.

Het idee om NEN 7510 te verplicht voor zorginstellingen bleek in 2008 niet haalbaar te zijn (met het idee op de invoering van het BSN), vandaar dat dit is door geschoven naar 2009 met het oog op de invoering van het EPD en sindsdien hoor je er weinig meer over.... en waarom? heel simpel, als we de ziekenhuizen als voorbeeld nemen: er zijn in aug/sep 2009 meerdere ziekenhuizen door nederland onderzocht (71 verschillende) dit is gedaan door M&I Partners. Uit hun onderzoek bleek dat van de 71 ziekenhuizen, geen enkel ziekenhuis de beveiliging op een acceptabel niveau (NEN 7510). Iets wat zorgen baart gezien de wet BSN al in gebruik genomen is en nu ook de ziekenhuizen toegang hebben tot het EPD dat sinds 2010 verplicht is.

Vanaf 2010 is dan ook de NEN 7510 verplicht voor zorginstellingen die met het EPD werken, gezien elke zorginstelling wordt verplicht deel te nemen aan het EPD ben je dus automatisch verplicht conform NEN 7510 te werken en je daarvoor te laten certificeren. De eerste controlle audit vind in het begin van 2010 plaats, ik ben benieuwd wat er gaat gebeuren met al die instellingen die niet door de audit heen komen....... persoonlijk zeg ik: sluiten die toko, sinds 2006 is er een richtlijn opgezet speciaal voor zorginstellingen terwijl daarvoor er allang een code van informatie beveiliging bestond. Als je het dan nog niet hebt ingevoerd ben je lui of gewoon te stom om uberhaupt op een zorginstelling te mogen werken (maarja dat is mijn mening)

Wanneer je precies onder de verplichting valt is een moeilijk punt, een arbodienst huisvest geen gegeven omtrent medicatie maar wel andere gegevens over de gezondheid van iemand en moet om die reden NEN 7510 gecertificeerd zijn om die gegevens te mogen huisvest. Daarnaast is het verstandig om niet te vergeten dat het CBP ook een eigen richtlijn heeft lopen, deze is echter al zwaar verouderd (2001) en incompleet maar zij controleren op hun eigen richtlijn (heel krom ja), 1 troost wanneer je NEN 7510 gecertificeerd bent heb je al 90% van het door het CBP opgestelde document AV23 doorgevoerd. Belangrijk is wel dat je eerst een risicoklasse vast stelt zoals dat in het AV23 is beschreven. Op basis hiervan kan worden bepaalt welke beveiligingsniveau er gehanteerd kan worden en welke richtlijnen er gevolgt moeten worden.

Een ander belangrijk punt voor de NEN 7510 is dat je NIET ALLES hoeft door te voeren. Beveiliging is ook risico bewust zijn zo kun je er expliciet voor hebben gekozen om bepaalde beveiligingsmaatregelen niet te nemen, dit omdat de kosten niet op wegen tegen de risico's. Dit is een keuze die je mag maken, mits zoals verplicht is gesteld een Risico analyse hebt uitgevoerd en beschrijft, documenteerd en beagrumenteerd waarom je bepaale maatregelen niet hebt getroffen en dus bewust risicodragend bent.

Ik hoop dat jullie wat hebben aan dat gespam van mij .... (sorry voor de spelfouten maar ik heb ff weinig tijd :( )
21-01-2010, 14:17 door Preddie
Door Sjaan:
Door Anoniem: Voldoen aan NEN7510 is absoluut niet verplicht.
Wel zie je dat steeds meer bedrijven aan deze norm willen voldoen.

Bedrijven ?

Ja bedrijven ook .... een arbodienst is ook een bedrijf maar huisvest wel medische gegevens van jou. Je wilt toch dat je privacy ook daar geborgd blijft ... het zijn/blijven immers jou gegevens die je toekent onder de verantwoordelijkheid van iemand anders.
21-01-2010, 14:20 door [Account Verwijderd]
[Verwijderd]
21-01-2010, 14:27 door Preddie
Door Sjaan:
Door Predjuh:
Door Sjaan:
Door Anoniem: Voldoen aan NEN7510 is absoluut niet verplicht.
Wel zie je dat steeds meer bedrijven aan deze norm willen voldoen.

Bedrijven ?

Ja bedrijven ook .... een arbodienst is ook een bedrijf maar huisvest wel medische gegevens van jou. Je wilt toch dat je privacy ook daar geborgd blijft ...

Aha !
Bedankt voor je uitvoerige uitleg om 14.13.
Sjaan

Sja ik zit er zelf midden in, het zou een beetje egocentrisch om even de tijd te nemen om mijn collega's te informeren. Een echt onweerlegbaar antwoord op deze vraag is moeilijk te krijgen, vooral omdat er zoveel onduidelijkheid is tussen de verschillende instanties.
21-01-2010, 16:52 door Anoniem
"sinds 2006 is er een richtlijn opgezet speciaal voor zorginstellingen".

Niet helemaal - was al zeker twee jaar (toen zat ik er middenin...) eerder dus twee jaar erger.
21-01-2010, 20:55 door Preddie
Door Anoniem: "sinds 2006 is er een richtlijn opgezet speciaal voor zorginstellingen".

Niet helemaal - was al zeker twee jaar (toen zat ik er middenin...) eerder dus twee jaar erger.

dat klopt, de norm is oorspronkelijk uit 2004 en het gedeelte 7511 is uit 2005, maar vanaf 2006 wordt er min of meer van een zorginstelling verwacht dat deze werken conform deze norm.
22-01-2010, 09:28 door cjkos
Je valt onder die norm als je in de gezondheidszorg werkt.

De NEN en ISO zijn keurmerken voor bepaalde genormaliseerde handelingen.
De NEN gaat meer over veiligheid. In sommige sectoren mag de NEN dan niet verplicht zijn, een installateur die geen NEN keurmerk heeft kan daardoor minder klanten hebben. Je kan het daarom enigszins vergelijken met een vakdiploma.

Het mag dus wettelijk niet verplicht zijn, met het oog op de concurrentie en eisen van je klanten ben je het eigenlijk indirect toch.
Ook om redenen die hierboven al genoemd zijn.
22-01-2010, 10:18 door Preddie
Door cjkos: Je valt onder die norm als je in de gezondheidszorg werkt.

De NEN en ISO zijn keurmerken voor bepaalde genormaliseerde handelingen.
De NEN gaat meer over veiligheid. In sommige sectoren mag de NEN dan niet verplicht zijn, een installateur die geen NEN keurmerk heeft kan daardoor minder klanten hebben. Je kan het daarom enigszins vergelijken met een vakdiploma.

Het mag dus wettelijk niet verplicht zijn, met het oog op de concurrentie en eisen van je klanten ben je het eigenlijk indirect toch.
Ook om redenen die hierboven al genoemd zijn.

Dit is ook vaak de reden dat bedrijven kiezen om volgens een bepaalde norming te werken. Het zijn vaak de grotere klanten die vragen om een keurmerk, omdat zij "groot" zijn kunnen zij logische wijs meer eisen stellen aan hun samenwerkende partijen.
22-01-2010, 16:52 door Anoniem
Bedankt allemaal voor jullie reacties; Predjuh in het bijzonder voor zijn uitgebreide antwoord

Greetingz,
Jacco
23-01-2010, 19:57 door Anoniem
Het NEN (NEderlands Normalisatieinstituut) maakt dus standaarden. Als er moet worden samengewerkt met derden kunnen die eisen dat je aan bepaalde standaarden voldoet.

Kijk, om het maar even naar de NEN-1010 en electriciteit te gooien, ik verzin een hele leuke stekker en monteer deze op mijn apparaat. Jij koopt mijn apparaat, maar je kan het niet gebruiken, omdat ik een andere stekker erop heb gezet dan de stekker die in nederland de standaard is, met gevolg dat hij niet in je stopcontact past. Het is niet tegen de wet dat ik mijn eigen stekker aan mijn apparaat schroef, alleen, de klant heb er geen ene ******* an!
24-01-2010, 11:37 door root
De NEN7510 suckt aan alle kanten en hadden ze nooit moeten uitvinden. Zorginstellingen moeten gewoon voldoen aan de ISO27000 serie. Wie gaat er nou vertrouwen op een uitgeklede versie en verouderde versie van een beveiligingsnorm?

NEN 7510, weg ermee.
24-01-2010, 22:02 door Preddie
Door root: De NEN7510 suckt aan alle kanten en hadden ze nooit moeten uitvinden. Zorginstellingen moeten gewoon voldoen aan de ISO27000 serie. Wie gaat er nou vertrouwen op een uitgeklede versie en verouderde versie van een beveiligingsnorm?

NEN 7510, weg ermee.

ik ben het deels met je eens .... helaas denk ik dat jij niet weet waar je over praat. ISO27001 en NEN7510 lijken wellicht op elkaar behalve dat er binnen de NORM een aantal verschillen moet je van de ISO27001 alles invoeren om het certificaat te behalen en bij de NEN7510 hoef je niet alles door te voeren maar wel te beschrijven waarom je iets wel of niet invoert. Dit maakt het ook mogelijk om voor kleine instellingen te voldoen aan de NEN7510, het nadeel is dat je bij een gecertificeerd bedrijf niet bij voorbaat kan zeggen welke beveiligingsmaatregelen ingevoerd zijn en welke niet. Een boel onduidelijkheid.

buiten dit is de NEN7510 ongeveer net zo oud als ISO27001. Echter is de ISO27001 gevormd uit een reeds bestaan internationale norm ISO/IEC 17799 ofte wel de Code van Informatiebeveiliging. ISO27001 is wat dat betreft meer door ontwikkeld maar voor organisaties van 25 mensen onmogelijk om in te voeren (vooral kijkend naar de kosten die het met zich mee brengt)
02-02-2010, 11:22 door root
> helaas denk ik dat jij niet weet waar je over praat. ISO27001 en NEN7510 lijken wellicht op elkaar ...

Ik denk ook niet dat jij weet waarover je praat. Het is namelijk de ISO27002 die lijkt op de NEN7510.

:P
02-02-2010, 14:16 door Preddie
Door root: > helaas denk ik dat jij niet weet waar je over praat. ISO27001 en NEN7510 lijken wellicht op elkaar ...
Ik denk ook niet dat jij weet waarover je praat. Het is namelijk de ISO27002 die lijkt op de NEN7510.
:P

Dat is afhankelijk hoe jij "het lijken op" interpeteert in jou referentie kader. En fijn dat je je mening ook beargumenteert

even de citaten die je zonder beargumentatie plaatst:

"De NEN7510 suckt aan alle kanten en hadden ze nooit moeten uitvinden", waarom niet leg uit ?
"Zorginstellingen moeten gewoon voldoen aan de ISO27000 serie." wat is hier dan zou goed aan volgen jou ?(ten opzichte van NEN7510)
"Wie gaat er nou vertrouwen op een uitgeklede versie en verouderde versie van een beveiligingsnorm?" wat is uitgekleed en verouderd? Je suggereert dat je net zo goed iemand kunt vertrouwen zonder beveiligingsnorm? leg uit en beargumenteer?

Tot nu toe is alles wat je gezegd hebt op geen enkele manier onderbouwt zonder onderbouwen valt er weinig waarde te hechten aan jou reacties. ik stel voor daarom je reacties te onderbouwen met feiten.....

ISO27001 lijkt het meest op NEN7510 omdat het hier richtlijnen betreft en geen harde toetsbare regelgeving, ISO27002 is het toetsbare gedeelte van de ISO27001 (best code of practice) als je een vergelijking wilt stellen tussen ISO27002 dan denk ik dat 7511-1 het meest in de buurt komt, omdat hierin de minimaal in te voeren maatregelen staan beschreven al is de document titel wat verwarrend (toetsbaar voorschrift voor complexe organisaties).

om even terug te komen op je citaat:
"Zorginstellingen moeten gewoon voldoen aan de ISO27000 serie"

Heb je enig idee hoeveel bedrijven in Nederland een ISO27001 certificaat hebben? Het zijn er zoveel dat het gelijk het antwoord op de vraag geeft, hoe makkelijk het is om 27001 certificaat te verdienen. De kosten zijn daarbij het grootste probleem.

Mijn taak is om bedrijven/organisaties te helpen om NEN7510/ISO27001/ISO27002 (zo ver mogelijk) te implementeren en te controleren, helaas krijg ik ondanks de successen die ik bij verschillende instellingen geboekt heb, van jou te horen dat ik niet weet waar ik over praat. Als je het niet erg vind hang ik niet veel waarde aan jou mening ?
02-02-2010, 15:57 door root
Jesus, maak je niet zo druk man. Ik ga echt niet een kwartier hier zitten besteden aan onderbouwingen. Ik heb zowel de NEN7510 als de ISO27002 helemaal gelezen en mijn conclusie is dat de NEN7510 gewoon kut is. Een slap aftreksel wat ze nooit hadden moeten maken. Dat is mijn mening. Punt uit, en nou ophouden. Als je het er niet mee eens bent, dan druk je gewoon op 'thumb down' :)
02-02-2010, 16:20 door Preddie
Door root: Jesus, maak je niet zo druk man. Ik ga echt niet een kwartier hier zitten besteden aan onderbouwingen. Ik heb zowel de NEN7510 als de ISO27002 helemaal gelezen en mijn conclusie is dat de NEN7510 gewoon kut is. Een slap aftreksel wat ze nooit hadden moeten maken. Dat is mijn mening. Punt uit, en nou ophouden.

Jammer van je lage niveau van taal gebruik (jesus lijkt mij een persoon die hier buiten staat, en ik vraag me altijd af waarom mensen terug vallen) Ik ben wel de laatste die me druk zou maken, vind het alleen niet zo fijn al mensen zeggen dat ze ergens verstand van hebben en dan vervolgens niks meer als onzin gaan lopen verkondigen.

Gezien het feit dat jij nog niet eens de moeite neemt om je eigen mening te onderbouwen/beargumenteren lijkt het me sterk dat je voor de "lol" document zoals de NEN7510/ISO27000 serie door gaat lezen. Nogal saaie stof om constant te lezen (De instelling dient vastgesteld te hebben, dient gedocumenteerd te hebben. dient zus, dient zo, dient minimaal. Daarnaast is het lezen heel wat anders als in de praktijk brengen.

Er is een verschil tussen een mening hebben en zo maar wat schreeuwen, het verschil is dat je een mening kan en zal moeten onderbouwen om van een mening te kunnen spreken. In dit geval spreek je dus over "zomaar wat schreeuwen". Maar ik zal er over ophouden want in het begin dacht ik nog een discussie te hebben met iemand die er ook verstand van heeft. Helaas blijkt het tegenovergestelde waar te zijn.....

MIJN MENING, is daarom dat je in het vervolg beter je mond kunt houden OMDAT je zonder beargumentering geen waarde toevoegd aan de inhoudelijk discussie van dit topic.
02-02-2010, 16:31 door root
Ik hou mijn mond...
02-02-2010, 19:50 door [Account Verwijderd]
[Verwijderd]
03-02-2010, 10:49 door Preddie
Beste sjaan,

Momenteel zijn er nog geen instanties die een officieel NEN 7510 certificaat uitgeven echter is het al wel mogelijk je te laten auditen maar in dat geval krijgt je een NEN 7510 compliance vermelding, afhankelijk van de instanties die de audit uitvoert kun je ook een ISO 27001 certificaat krijgen met een vermelding dat het conform NEN 7510 is (dus niet een echt ISO 27001 certificaat).
Dat is ook een punt waar ik zelf van baal, je MOET aan een bepaalde norm voldoen alleen is er nog geen enkele partij die een "officieel" certificaat kan uitgeven.

Een audit zou je bijv. aan kunnen vragen bij Lloyds Register Quality Assurance. Op dit moment zijn er drie organisaties in nederland die een "NEN 7510 certificaat" hebben (athans conform de norm werken). Uit me hoofd vandaag is dat Triversum in Alkmaar (jeugd psychiatrie) en de Huisartsenpost in Nijmegen. De derde partij ontschiet mij zo even.

Het IGZ zorgt voor de controle op handhaving van de NEN 7510 onduidelijk is nog wanneer en hoe ze dit doen, wel is bekende dat elke instelling verplicht een externe audit moet laten doen. Het CBP richt zich met name op persoonsgegevens en omgang daarmee, zo moeten partijen die persoonsgegevens verwerken in welke vorm dan ook, zich aanmelden bij het CBP. Hierbij moet worden aangegeven welke gegevens worden verwerkt en welk doel deze hebben.

Het hele probleem zit hem ook in de onduidelijkheid, want wanneer men conform de NEN 7510 werkt wil nog niet zeggen dat men voldoet aan de eisen die het CBP stelt (zie studies van het CBP o.a. AV23/AV26/AV27) Een duidelijk voorbeeld van hoe partijen langs elkaar heen kunnen werken. Nog een onduidelijk punt is dat organisaties moeten voldoen aan de norm om het EPD te mogen gebruiken, anderzijds wordt het EPD verplicht en is het database al behoorlijk gevuld en zijn er ook al meer als 50 000 UZI passen uitgegeven (zover als ik weer, verbeter me als ik het hier fout heb). Ondanks dit is er nog geen enkel ziekenhuis dat voldoet aan de norm, terwijl deze al wel toegang hebben tot het EPD.

Naast dit alles aan regels en normen zijn er nog een aantal partijen in het spel, zo moet je rekening houden met de wet WGBO en de richtlijnen opgesteld door het KNMG. Al deze verschillende partijen maken het geheel niet overzichterlijker.

hier een link naar wat achtergrond informatie: http://www.zbc.nu/main.asp?ChapterID=4855
03-02-2010, 18:12 door [Account Verwijderd]
[Verwijderd]
05-02-2010, 17:00 door Anoniem
Om even een aantal antwoorden te geven op vragen, die ik ook had. Ik heb een mailtje naar de NEN gestuurd over NEN 7510 en ISO 27002. Ik kreeg het volgende antwoord:
"NEN 7510 is speciaal voor de zorg geschreven. Omdat het is toegespitst op deze doelgroep, is het makkelijker te implementeren. NEN 7510 is gebaseerd op de oude versie (17799) van de nu geheten 27002. Zoals u al zegt, is ISO 27002 als basis gebruikt en als u volledig op de hoogte bent van alle ins en outs van deze norm, dan heeft u ook voldoende kennis van NEN 7510. De vragen die u over NEN 7510 krijgt, kunt u dus goed beantwoorden door uw kennis van ISO 27002. De nieuwe gereviseerde NEN 7510 zal gebaseerd zijn op de nieuwe ISO 27002."

Meer over deze problematiek kun je lezen op http://www.zbc.nu/main.asp?ChapterID=4862. Dus NEN 7510 blijft actueel, de invoering is voor zorginstellingen verplicht maar de norm bepaal je zelf op basis van een risico beoordeling onder het motto: 'pas toe of leg uit'.

Wiebe Zijlstra
26-02-2010, 09:39 door Anoniem
Predjuh, een leuke uitleg van de stand van zaken op dit moment.

NEN7510 is inderdaad momenteel niet certificeerbaar zoals bijvoorbeeld de ISO/IEC27001:2005. Op beide gebieden zijn er momenteel ontwikkelingen. Naar mijn weten is de NEN7510 is momenteel in revisie om het meer een certificeerbare norm te maken zoals 27001. Het probleem momenteel met NEN7510 is dat het geen managementsysteem is maar meer maatregelen op onderkende risico's. Niet alle risico's zijn relevant binnen verschillende organisaties, maar als je maatregelen uitsluit ben je niet meer in lijn met de NEN7510. Een risico benadering geeft hierbij uitkomst omdat je dan (onderbouwt) kan uitsluiten. Daarnaast is een Plan-Do-Check_Act cyclus met management evaluatie nodig om het systeem up-to-date te houden. Ook deze mist binnen de huidige NEN7510. Misschien dat de ISO 27999 en ISO 27789 uitkomst bieden.

Met een derde partij verklaring kun je naar de buitenwereld (o.a. IGZ) aantonen dat een onafhankelijke partij heeft getoetst of de organisatie voldoet aan de eisen binnen de NEN7510 (c.q. NEN7511-1, -2, -3) zoals vereist door IGZ.. Om eisen te kunnen uitsluiten dient een risicobenadering te worden gebruikt in lijn met ISO 27001. In ieder geval is dit de manier hoe Lloyd's en wijzelf werken.
02-04-2010, 16:24 door [Account Verwijderd]
[Verwijderd]
02-04-2010, 16:36 door Preddie
Door Scoro: Goeie uitleg van een aantal dingen die ik ook niet wist over NEN7510.

Ik zoek eigenlijk ook naar een forum / infopunt over NEN7510 voor meer gebruikers ervaring over de invoering van NEN7510.
Het officiele NEN7510.org forum is zelfs zowat leeg.

Want ik ben nu bij NEN 7510 paragraaf 8.1.1 Functies en verantwoordelijkheden en zoek hierbij een voorbeeld van een functieomschrijving. Maar hierover is weinig tot niks te vinden over.

Iemand een idee / link?



NEN7510 beschrijving van de norm:

De beveiligingseisen die bij de aanname zijn besproken, moeten worden opgenomen in de functieomschrijvingen. De leiding moet bepalen welk toezicht nodig is voor nieuwe en onervaren personeel dat geautoriseerd is voor toegang tot gevoelige systemen.

De werkzaamheden van individuele personeelsleden moeten periodiek worden onderworpen aan beoordelings- en goedkeuringsprocedures door een lid van het hoger kader. Deze evaluatie moet ook de informatiebeveiliging omvatten.


NEN7511-1 beschrijving van de norm:

a) De rollen, verantwoordelijkheden en beveiligingseisen moeten inde functieomschrijving zijn geregistreerd.
b) De werkzaamheden van individuele personeelsleden op het vlak van informatiebeveiliging moeten periodiek worden beoordeeld en goedgekeurd door een leidinggevende.
c) De leiding moet vaststellen welk toezicht nodig is voor nieuw en onervaren personeel dat is geautoriseerd voor toegang tot gevoelige systemen.


Ik zou de beschrijving van de NEN7511-1 volgen, daarbij de dus de rollen, rechten en verantwoordelijkheden van het personeel beschrijven. En zorgen dat dit middels een proces periodiek wordt gecontroleerd. dit leg je bijv. vast in 1 van je beleids documenten. Tot slot kan punt C per functie afwijken dus hou daar goed rekening mee.
22-04-2010, 12:51 door [Account Verwijderd]
[Verwijderd]
22-04-2010, 19:34 door [Account Verwijderd]
[Verwijderd]
23-04-2010, 03:29 door [Account Verwijderd]
Goede uitleg , was nog niet bekend met NEN, ofschoon mijn vrouw in de GezondheidsZorg werkt, en een hele belangrijke nobody is in Bronovo_IJmuiden, zou ik graag wat meer info willen vernemen...
Grtjs
Peet1
15-06-2010, 13:45 door Preddie
Door owiknowi: Predjuh: Bedankt voor al je moeite, ben ik ook weer bij.

Zou je geen "NEN, ISO, etc, normen voor dummies" kunnen uitbrengen?

Na aanleiding van jou reactie ben ik eens aan het denken gegaan en we zijn momenteel bezig met het opzetten van een portal waar je dit soort informatie dus moet gaan vinden.

Mochten er mensen ideeën hebben over de informatie die terug te vinden zou moeten zijn op een dergelijke portal, dan hoor ik dat graag natuurlijk.

In eerste instantie wil ik beginnen met NEN 7510 (7511-1, 7511-2, 7512), NEN-ISO/IEC 27001 ( en 27002) mogelijk ook BS 27799.
07-09-2010, 12:16 door Anoniem
Door SirDice:
Om even een voorbeeld te geven, installateurs hanteren de NEN 1010. Daar is geen wettelijke verplichting voor..... voldeed.[/quote]
Wel dus en die het het bouwbesluit die stelt dat elektrische installaties bij nieuwbouw en renovatie aan de NEN 2010 moeten voldoen. Dit gebeurt vaker dat er in andere wetgeving een norm als basis wordt gesteld. Normen op zich zijn dus niet verplicht maar kunnen dus wel verplicht worden gesteld...
25-10-2010, 21:12 door Anoniem
Fijn dat er mensen zijn die de moeite nemen om anderen goed te informeren (Predjuh en anderen).

Ik ben hier ook mee bezig en zag dat het werkplan 2010 van IGZ (die dus zou moeten toetsen of instellingen hun IT-beheer conform deze norm hebben ingericht) zelfs niets meer over de hele NEN 7510 noemt, terwijl er in het werkplan van 2009 nog wel iets (en dan nog heel weinig) over stond. Het werkplan 2010 is te vinden via

http://www.igz.nl/zoeken/document.aspx?doc=Werkplan_2010
26-10-2010, 09:29 door Preddie
Door Anoniem: Fijn dat er mensen zijn die de moeite nemen om anderen goed te informeren (Predjuh en anderen).

Ik ben hier ook mee bezig en zag dat het werkplan 2010 van IGZ (die dus zou moeten toetsen of instellingen hun IT-beheer conform deze norm hebben ingericht) zelfs niets meer over de hele NEN 7510 noemt, terwijl er in het werkplan van 2009 nog wel iets (en dan nog heel weinig) over stond. Het werkplan 2010 is te vinden via

http://www.igz.nl/zoeken/document.aspx?doc=Werkplan_2010

Yep ik ken het document. De NEN 7510 raakt steeds meer weggezakt door dat de norm niet geaccrediteerd is. Ik kan daarom zorginstellingen niks anders adviseren om NEN 7510 naast je neer te leggen en de ISO 27001 gescoped in te implementeren. Waarbij in bij de staat van toepasselijk wordt beschreven dat het uitgangspunt de NEN 7510 is maar je op ISO 27001 gecertificeerd bent. Die laatste (ISO) is namelijk internationaal erkend en bied dus meer werk ruimte.
15-06-2011, 10:29 door Anoniem
Bedankt voor de informatie over NEN 7510, heel hulpzaam voor mijn traject om dit te implementeren.

Ik heb een vraag over de concept NEN 7510:2010, Hoofdstuk 10.4.2 "Mobile code"

Kan iemand mij daar wat mee over vertellen, hoe ik dat moet opvatten en in welke mate?

Groet Jorrit
16-11-2011, 10:52 door Anoniem
Yo Jorrit,
inmiddels is 7510:2011 uit. Zie 2.28
mobile code
interpreteerbare of uitvoerbare programmatuur die (door serversystemen) via een netwerk aan
desktopcomputer c.q. computerterminal wordt overgedragen
OPMERKING 1 Meestal is dit onderdeel van overgedragen informatie zonder dat de gebruiker bewust of expliciet
deze programmatuur installeert of activeert.
OPMERKING 2 Gewoonlijk is deze mobile code platformonafhankelijk en kan deze onderdeel zijn van o.a. e-mail,
webpagina’s of documenten. Voorbeelden zijn JavaScript, VBScript, Java applets, ActiveX, Flash, Shockwave en
macro’s binnen documenten.
Duidelijk toch?
Groet,
Huib
20-07-2012, 18:55 door Anoniem
Er is een wettelijke verplichting tot het beveiligen van persoonsgegevens (art. 13 WBP). Iedere organisatie die persoonsgegevens verzamelt en beheert, is daaraan gehouden. Informatiebeveiliging in de zorg betreft zowel het toezichtdomein van het College bescherming persoonsgegevens (CBP) als de Inspectie voor de Gezondheidszorg (IGZ). Om die reden onderzoeken de toezichthouders gezamenlijk op grond van het samenwerkingsprotocol tussen het CBP en de IGZ. Voor het onderzoek maken zij gebruik van de NEN 7510. IGZ heeft dit thema inmiddels behoorlijk op de korrel en toetst al enkele jaren de mate waarin ziekenhuizen aan zich hier aan houden, zie ook: http://www.igz.nl/actueel/nieuws/informatiebeveiligingziekenhuizenvoldoetnietaandenorm.aspx. Dit toezicht gaat zich steeds meer toeleggen op andere (zorg)sectoren. Inspectie Generaal Gerrit van der Wal van IGZ zegt hierover in zijn toespraak over informatie-uitwisseling in de zorg op 29-12-2011: "We wijzen instellingen indringend en bij herhaling op de noodzaak om de zogeheten NEN 7510, de norm voor informatiebeveiliging, toe te passen."

NEN7510 is het uitgangspunt om te komen tot een goede inventarisatie van de beschikbare en te beveiligen persoonsgegevens en de veiligheidsrisico's zodat weloverwogen besluiten kunnen worden genomen om deze risico's verantwoord te beheersen. Het domein informatiebeveiliging is een onderdeel van het kwaliteitsdomein, maar het mag duidelijk zijn dat het binnen ISO9001 geen hoofdthema is. De overlap kun je vinden door kwaliteitsinstrumenten in te zetten voor NEN7510. Bruikbare kwaliteitsinstrumenten zijn de risicoinventarisatie, documentbeheer, beheersing van registraties, corrigerende maatregelen, interne audits, systeemevaluatie, PDCA/beleid/beleidsdoelstellingen, etc.

Succes met de implementatie!

Groet, Hein Dekker
Certificatie in de Zorg
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.