WIXLIB

WhitepaperBIO en NEN 7510 binnendezelfde organisatieDoor Beer Franken Januari 2022

BIO en NEN 7510 binnendezelfde organisatieWhitepaper, door Beer Franken1Overheidsorganen2 zijn verplicht om te voldoen aan de Baseline Informatiebeveiliging Overheid (de BIO).Ook moeten ze steeds vaker voldoen aan NEN 7510, de norm voor informatiebeveiliging in de zorg. Wat betekent dit voor de inrichting van informatiebeveiliging in een overheidsorgaan wanneer naleving van beidenormen (de BIO en NEN 7510) verplicht is? Dit whitepaper is een kennismaking met de grondslagen van deBIO en NEN 75103 en komt met conclusies voor gelijktijdige naleving van beide normen.Toepasselijkheid van de BIO en NEN 7510De BIO vormt het basisniveau voor de informatie beveiliging in de Rijksoverheid, provincies, water schappen, gemeenten en zelfstandige bestuursorga nen. Daarmee is één baseline informatiebeveiligingvoor alle overheidslagen ontstaan. Hoewel er (nog)geen wettelijke verplichting voor de BIO geldt, is erwel een bindende afspraak vastgelegd voorde overheden.4NEN 7510 vormt het kader voor de informatiebeveili ging voor uiteenlopende partijen in het zorgdomein.5Daarnaast zijn krachtens artikel 7.2.2, tweede lid,Besluit Jeugdwet, instanties en functionarissenfeitelijk gebonden aan het naleven van NEN 7510.6Bovendien blijkt in de praktijk dat naleving vanNEN 7510 vaak als eis wordt opgelegd aan leve ranciers van zorg specifieke ICT-diensten. Dit komtdoordat de samenwerkende brancheorganisatiesin de zorg in haar model-verwerkersovereenkomstbedingen dat een verwerker aantoonbaar inovereenstemming met NEN 7510 (of NEN-EN-ISO/IEC 27001) werkt.7Samengevat is NEN 7510 van toepassing op alleaanbieders van gezondheidszorg die zorg (geheelof gedeeltelijk) leveren vanuit de WGBO, (haartoe leveranciers/verwerkers), zorgverzekeraars enop alle organisaties en functionarissen die een rolvervullen in de jeugdzorg. Dit laatste betekent dater veel organisaties zijn, die naast de BIO ook metNEN 7510 te maken hebben; bijvoorbeeld – maarnadrukkelijk niet uitsluitend – gemeenten metbetrekking tot de uitvoering van jeugdzorg entoepassing van de Wet verplichte GGZ.2NB: In veel gevallen is ook naleving van NEN 7512 en NEN 7513van toepassing. Omdat beide normen een nadere uitwerkingzijn van onderdelen van NEN 7510, wordt er in dit whitepaperverder niet op ingegaan.Samenstel van normenDe BIO is gebaseerd op NEN-EN-ISO/IEC 27001 enNEN-EN-ISO/IEC 27002, alsmede op een aantal aanvullendeoverheidsmaatregelen. NEN 7510 is ook gebaseerd opNEN-EN-ISO/IEC 27001 en NEN-EN-ISO/IEC 27002, alsmedeop NEN-EN-ISO 27799. NEN-EN-ISO 27799 bevat aanvullingenop en aanscherpingen van de beheersmaatregelen uitNEN-EN-ISO/IEC 27002 specifiek voor de zorgsector.OverheidsmaatregelenISO 27002ISO 27001BIONEN 7510ISO 27799Afbeelding 1 – Oorsprong van BIO & NEN 7510Informatiebeveiligingsnormen, zoals NEN-EN-ISO/IEC 27001en NEN-EN-ISO/IEC 27002, de BIO en NEN 7510, kennen beidetwee hoofdcomponenten: een managementsysteem (ISMS:information security management system) en een catalogusaan beheersmaatregelen. Het ISMS dient om van informa tiebeveiliging een beheerst proces te maken en te houden.Een van de hoofdbestanddelen hierin is het uitvoeren van eenrisicoanalyse. Op basis van de risicoanalyse wordt bepaaldwelke beheersmaatregelen moeten worden getroffen. Daarbijworden op zijn minst alle beheersmaatregelen uit de catalogusin ogenschouw genomen. Vaak worden – vanwege specifiekerisico’s – additionele beheersmaatregelen geïmplementeerd.

Deze aanpak (maatregelenselectie op basis van eenrisicoanalyse) levert antwoord op de vraag ‘doen wede goede dingen?’ToepassingsgebiedVoordat aan een risicoanalyse wordt uitgevoerd,wordt het toepassingsgebied van een NEN 7510implementatie gedefinieerd: welk deel van deorganisatie wordt inbegrepen in de implementatie(en welk deel – nog – niet). Enkele voorbeelden: eenUMC stelt vast dat het wetenschappelijk onderzoekniet is inbegrepen of een ziekenhuis besluit in eersteaanleg prikposten uit te sluiten. Dit geeft de moge lijkheid om gaandeweg ‘te groeien in’ het ISMS.Tegen NEN 7510 wordt onder accreditatie gecerti ficeerd. Dit betekent dat de Raad van Accreditatietoezicht houdt op de certificerende instellingen.Hierbij geldt dat zorgaanbieders altijd de pri mairezorgverleningsprocessen moeten includeren inhet toepassingsgebied.8De BIO kent dit niet, zij is van begin af aan vantoepassing op het gehele overheidsorgaan.RisicoanalyseIn de BIO-methodiek is de risicoanalyse aluitgevoerd, onder de aanname dat risico’s vooroverheidsorganen onderling vergelijkbaar zijn. De BIO werktmet basisbeveiligingsniveaus (BBN’s) om risicomanagement‘hanteerbaar en efficiënt te houden’ (§ 2.1). De BIO geeftoverigens aan (in voetnoot 25) dat de BBN-systematiek geenvolwaardige vervanger is van een uitgebreide risicoanalyse methodiek. Uit de BBN-toets (pagina 25) en bijlage 2 (pagina66–68) van de huidige versie van de BIO (v1.0.4) zijn de risico’saf leiden waarmee de BIO werkt:– Het risico op politieke schade aan een bestuurder (be stuurder moet verantwoording afleggen aan de (gekozen)controlerende organen, bijvoorbeeld naar aanleiding vanverantwoordingsvragen).– Het risico op diplomatieke schade (te herstellen doorambtelijke opschaling).– Het risico op financiële gevolgen (niet meer op tevangen binnen de begroting; geen accountantsverklaringafgegeven).– Het risico op verlies van publiek respect (klachten van bur gers of significant verlies van motivatie van medewerkers).– Het risico op bindende aanwijzing van de Autoriteit Per soonsgegevens (in verband met schending van de privacy).– Het risico op directe imagoschade (bijvoorbeeld doornegatieve publiciteit).Als een of meer van dergelijke risico’s van toepassing zijn,dan geldt BBN2, zo niet dan geldt BBN1. BBN3 is een soort3

buitencategorie die verband houdt met beschermingtegen statelijke actoren, een concrete eis van eeninformatieleverancier of aansluiting op een infra structuur die BBN3 vereist (denk aan NATO).NEN 7510 stelt dat elke zorgaanbieder, of organisa tie die persoonlijke gezondheidsinformatie verwerkt,een eigen risicoanalyse moet uitvoeren. Risico’skunnen verschillen per zorgaanbieder/organisatie.Een huisartsenpraktijk en een academisch zieken huis zullen deels andere risico’s identificeren endaarom andere beheersmaatregelen treffen,dan wel anders implementeren.NEN-EN-ISO/IEC 27001 en NEN 7510-1 gevenin § 6.1.2 aan dat de risico’s moeten wordenbeschouwd die voortvloeien uit mogelijk verlies vanvertrouwelijkheid, integriteit en/of beschikbaarheidvan informatie. Zo zal een zorgaanbieder mogelijk inbeschouwing nemen:– Risico’s voor patiënten, zoals:– verwonding waarvan herstel op kortetermijn mag worden verwacht; psychologischongemak;– verwonding waarvan herstel op korte termijnniet mag worden verwacht; aanzienlijkpsychologisch trauma;– ernstige verwonding of ernstige invaliditeitwaarvan herstel op korte termijn mag wordenverwacht; ernstig psychologisch trauma;– permanente, levens veranderende invaliditeiten elke andere conditie waarvan de prognosehetzelfde luidt;– ernstige verwonding of ernstige invaliditeitwaarvan herstel op korte termijn niet magworden verwacht;– overlijden.– Risico’s voor betrokkenen (in de zin van de AVG),zoals:– informatie wordt onthuld waarmee financiëleen/of identiteitsfraude kan worden gepleegd;– informatie wordt onthuld die, wanneer gecom bineerd met informatie uit openbare bronnen,kan leiden tot een inbreuk op de rechten ofvrijheden van betrokkene(n);– informatie wordt onthuld die, wanneer ge combineerd met informatie uit niet-openbarebronnen, kan leiden tot een inbreuk op de4rechten of vrijheden van betrokkene(n);– informatie wordt onthuld die kan leiden tot een inbreukop de rechten of vrijheden van betrokkene(n).– Risico’s voor de organisatie, zoals:– verlies van middelen/bezittingen; merkbare aantastingvan missie, reputatie of belangen;– kostbaar verlies van middelen/bezittingen; schenden,beschadigen of belemmeren van missie, reputatieof belangen;– zeer kostbaar verlies van middelen/ bezittingen; ernstigschenden, beschadigen of belemmeren van missie,reputatie of belangen;– faillissement, sluiting van significant onderdeel ofdaarmee vergelijkbaar.– Risico’s voor de maatschappij: (zeer) beperkte of (zeer)omvangrijke maatschappelijke impact.Het behoeft geen betoog dat dit een andere benadering is dande BIO-risico’s met betrekking tot politieke schade, diploma tieke schade, financiële gevolgen die niet binnen de begrotingkunnen worden opgevangen, verlies van publiek respect, eenaanwijzing van de AP of imagoschade.Maatregelenselectie op basis van risicoanalyseEen risicoanalyse moet uiteindelijk leiden tot de juiste keuzevoor en implementatie van beheersmaatregelen. Minimaal debeheersmaatregelen in de betreffende catalogus moeten inogenschouw worden genomen.– De catalogus voor de BIO is NEN-EN-ISO/IEC 27002, aange vuld met overheidsmaatregelen. De overheidsmaatregelenbinnen BIO zijn herkenbaar aan de afwijkende kleur in BIO(referentie: v1.0.4).– De catalogus voor NEN 7510 is NEN-EN-ISO/IEC 27002,aangevuld met NEN-EN-ISO 27799. Deze zijn samenge bracht in NEN 7510-2. Hierbij zijn de aanvullende beheers maatregelen te herkennen aan de kopjes ‘Zorgspecifiekebeheersmaatregel’.Na de omschrijving van het toepassingsgebied en een op eenrisicoanalyse gebaseerde selectie van relevante beheersmaat regelen (doen we de goede dingen?), spelen zogenoemdeimplementatierichtlijnen in de betreffende catalogus een rol(doen we de dingen goed?). NEN 7510 en NEN-EN-ISO/IEC27002 geven beide in hoofdstuk 4 aan een implementatie richtlijn meer gedetailleerde informatie om de implementatievan de beheersmaatregel te ondersteunen en om te voldoenaan de doelstelling van de beheersmaatregel. Ze geven aanwat in de meeste gevallen de best practice is. Maar men isnog steeds gebonden aan de aan een beheersmaatregel

verbonden beheersdoelstelling. En vaak zal aan een auditormoeten worden uitgelegd waarom wordt afgeweken van dein de norm opgenomen best practice. In feite geldt hier hetcomply-or-explain principe.De BIO staat er anders in. Om te beginnen wordt in § 2.3van deel 1 (pagina 13) gesteld: ‘Deze richtlijnen moeten dusworden gezien als voorbeelden hoe de [beheersmaatregelen]uitgewerkt kunnen worden in maatregelen; het volgen van dezerichtlijnen is niet verplicht.’ (cursivering toegevoegd). Boven dien toont de huidige versie van BIO (v1.0.4) in het geheel geenimplementatierichtlijnen.9Ook hier is een verschil tussen NEN 7510 (en NEN-EN-ISO/IEC 27002) enerzijds en de BIO anderzijds. NEN 7510 zietimplementatierichtlijnen als best practices die onder een(zo goed als) comply-or-explain regime vallen, terwijl de BIOimplementatierichtlijnen ziet als vrijblijvende voorbeelden.Onafhankelijk oordeelDeel 2 van de BIO, NEN 7510-2 en NEN-EN-ISO/IEC 27002stellen alle drie in § 18.2.1 dat naleving van de respectievelijkenorm periodiek door een onafhankelijke partij wordt beoor deeld. Partijen kunnen er voor kiezen zich tegen NEN 7510laten certificeren door certificerende instellingen die ondertoezicht van de Raad van Accreditatie staan. Momenteel zijnmeer dan 2000 organisaties tegen NEN 7510 onder accredi tatie gecertificeerd.10 Bovendien eisen partijen in toenemendemate van elkaar dat een NEN 7510- certificaat aanwezig is,bijvoorbeeld in uitwisselings- en samenwerkingsketens enin inkoopsituaties.De BIO kent geen mogelijkheid tot certificatie. Daar staattegenover dat organisatie jaarlijks moeten rapporteren opbasis van ENSIA aan het bestuur van een overheidsorgaan(zoals een gemeenteraad).11De drie fasen in schema:Wat is het toepassingsgebied?Risicoanalyse leidt tot selectievan beheersmaatregelenImplementatierichtlijnen(Niet van toepassing bij de BIO)Doen we de goede dingen?Doen we de dingen goed?Afbeelding 2 – Maatregelenselectie op basis van risicoanalyse5