Waarom NEN 7510 anders is dan ISO 27001
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm bouwt voort op ISO 27001 maar voegt zorgspecifieke eisen toe: toegangsbeveiliging op basis van behandelrelatie, logging van wie welke patiëntgegevens inziet, en aantoonbare continuïteit van zorgprocessen.
Voor een organisatie die al in Microsoft 365 werkt, zijn veel van deze eisen technisch haalbaar zonder additionele tooling. Voorwaarde is wel een Microsoft 365 Business Premium of E3 licentie. Onderstaande vertaling is gebaseerd op implementaties bij meerdere zorgorganisaties.
Toegangsbeveiliging
De norm eist dat alleen geautoriseerde personen toegang hebben tot patiëntgegevens, en dat deze toegang herleidbaar is. In Microsoft 365 vertaalt dit zich naar:
Multifactor authenticatie voor alle gebruikers die toegang hebben tot gevoelige gegevens. Via conditional access wordt dit afgedwongen. Let op: app-passwords en legacy authenticatieprotocollen moeten worden uitgeschakeld, anders omzeilen applicaties de MFA.
Rollen en rechten op basis van functie. Gebruik geen directe rechten op bestanden of SharePoint-sites. Werk via security groups die gekoppeld zijn aan de functie binnen de organisatie. Bij verandering van functie wijzigt het lidmaatschap van de groep en dus automatisch de toegang.
Privileged Identity Management voor beheerdersrollen. Global admin rechten worden niet permanent toegewezen, maar just-in-time geactiveerd met goedkeuring door een tweede beheerder. Dit levert een volledig auditspoor op van wanneer welke beheerder welke rechten gebruikte.
Logging en monitoring
Audit logs moeten minstens een jaar bewaard worden. Standaard staat dit in Microsoft Purview op negentig dagen. Schakel de uitgebreide audit log in en stel een retentiebeleid van één jaar of langer in. Zorg ook dat de logs geëxporteerd kunnen worden voor onafhankelijke bewaring.
Alerts op verdachte activiteiten. Defender for Cloud Apps of Microsoft Sentinel kan worden gebruikt om alerts te genereren op ongebruikelijk gedrag: bulk-downloads, inloggen vanaf onbekende locaties, toegang buiten werktijden. Voor kleinere organisaties volstaan de standaard alerts in Microsoft 365 Defender.
Gegevensclassificatie
De norm vraagt om het herkenbaar markeren van gevoelige informatie. Microsoft Purview sensitivity labels zijn hiervoor geschikt. Definieer minimaal vier niveaus: openbaar, intern, vertrouwelijk en strikt vertrouwelijk. Koppel aan de twee hoogste niveaus automatische versleuteling en watermerken.
Data Loss Prevention regels voorkomen dat gevoelige informatie per ongeluk buiten de organisatie verstuurd wordt. Start met monitor-modus: de DLP regel waarschuwt de gebruiker en logt het, maar blokkeert nog niet. Na drie maanden is er genoeg data om de regels verfijnd te activeren.
Continuïteit
Back-up van Microsoft 365 data. Microsoft garandeert beschikbaarheid, maar niet herstelbaarheid na bijvoorbeeld een ransomware-aanval of een kwaadwillende medewerker. Third-party backup tooling is voor zorgorganisaties geen luxe maar noodzaak. De kosten vallen relatief mee en de geruststelling is groot.
Documenteer herstelscenario's. Niet alleen technisch, maar ook procedureel. Wie neemt welke beslissing bij een beveiligingsincident? Wie communiceert naar de Autoriteit Persoonsgegevens binnen 72 uur? Deze afspraken horen in een incident response plan, niet in het hoofd van één persoon.
Audit-klaar worden
Een NEN 7510 audit is geen eindpunt maar een startpunt. Zorg dat de technische configuratie match met een policy document. Auditors kijken niet alleen of iets technisch werkt, maar ook of er beleid achter zit, of er periodieke reviews plaatsvinden en of medewerkers de regels kennen.
Plan een interne audit drie maanden voor de externe audit. Dat klinkt overbodig, maar is het niet. De meeste bevindingen uit een externe audit waren bij een eerdere interne audit ook al gesignaleerd, maar niet opgelost. Geef de interne audit dezelfde urgentie als de externe.
Tot slot
NEN 7510 compliance voelt groot, maar is een optelsom van kleine, concrete maatregelen. Met een goed geconfigureerde Microsoft 365 tenant en een duidelijke set policies is een zorgorganisatie met tussen de vijftig en driehonderd medewerkers prima in staat om audit-klaar te zijn. De tijd die het kost zit vooral in documentatie en bewustwording, niet in de techniek zelf.