Beide normenkaders gaan over het opzetten en onderhouden van een managementsysteem voor informatiebeveiliging (ISMS). ISO27001 is de internationale norm en NEN7510 is de Nederlandse norm specifiek voor zorginstellingen. De NEN7510 is een kopie van de ISO27001 aangevuld met eisen voor de verwerking van (bijzondere) persoonsgegevens.
Tot zover is de keuze nog eenvoudig, maar …..
Stel uw bedrijf is een ICT-bedrijf en levert ICT-ondersteuning aan verschillende branches, waaronder zorginstellingen. Uw bedrijf verzorgt onder meer de hosting van de software voor de zorginstellingen.
De zorginstellingen zijn in het bezit van het NEN7510-certificaat en zijn verwerkingsverantwoordelijke voor de (bijzondere) persoonsgegevens.
De zorginstellingen eisen generiek van uw bedrijf het NEN7510-certificaat, maar uw andere klanten willen dat u het ISO27001-certificaat overlegt.
Wat zijn de opties?
- Optie 1: zowel het ISO27001-certificaat als het NEN7510-certificaat behalen voor het ISMS.
- Optie 2: alleen het ISO27001-certificaat behalen én gerichte afspraken maken met de zorginstellingen over de verwerking én de bescherming van de (bijzondere) persoonsgegevens. Deze afspraken vastleggen in een verwerkersovereenkomst. De borging en monitoring van deze afspraken binnen de organisatie vallen binnen het ISMS.
- Optie 3: het ISO27001-certificaat behalen voor het ISMS aangevuld met een privacy informatie managementsysteem (PIMS) volgens het normenkader ISO27701. Hiermee kan worden aangetoond dat wordt voldaan aan de wettelijke eisen van de AVG.
Elke optie is goed, mits deze past bij uw bedrijfsstrategie.
Meer weten? Neem gerust contact op.