De ISO 27001 en de NEN 7510 lijken heel erg op elkaar, hieronder een toelichting op de verschillen.
De ISO 27001 is de algemene standaard op het gebied van informatiebeveiliging. De belangrijkste eis die de ISO 27001 stelt is het inrichten van een 'managementsysteem'. Met managementsysteem wordt bedoeld een Plan Do Check Act cyclus in de organisatie, dit staat ook bekend als de Deming cirkel. Hiermee moet een organisatie het niveau van informatiebeveiliging continu verbeteren.
De ISO 27001 is het algemene normenkader voor informatiebeveiliging. Omdat in de zorg veel 'bijzondere persoonsgegevens' worden vastgelegd, was er behoefte aan een uitgebreider normenkader, speciaal gericht op de risico's in de zorg. De NEN (www.nen.nl) heeft hierom de ISO 27001 uitgebreid met eisen specifiek voor de zorg. Dit is de NEN 7510.
Hieronder een overzicht van de belangrijkste onderwerpen en eisen die zijn toegevoegd aan de NEN 7510.
Patiëntgegevens
De NEN 7510 eist dat de beveiliging van patiëntgegevens altijd prioriteit krijgt.
Organisatie
De NEN 7510 eist dat een organisatie een zogenaamd 'Management InformatieBeveiligingsForum' (IBMF) instelt. Dit kan je beschouwen als een commissie waar medewerkers vanuit verschillende afdelingen aan deelnemen en waar periodiek over beveiliging wordt gesproken. Voor kleine organisaties komt dat over als overdreven, maar bijvoorbeeld voor een ziekenhuis of een instelling voor gehandicapten, is het duidelijk dat het belangrijk is dat verschillende afdeling regelmatig risico's en maatregelen met elkaar bespreken.
Concreter
In de NEN 7510 zijn veel eisen uit de ISO 27001 explicieter en concreter gemaakt, de NEN 7510 geeft dus minder vrijheid om zelf te kiezen hoe maatregelen eruit zien.