Overslaan naar inhoud

​Voorafgaande voorwaarden voor interne audits conform NEN 7510

1. **Toegangsbeheer:**

   - Zorg ervoor dat alle relevante medewerkers en belanghebbenden op de hoogte zijn van de audit en de vereisten van NEN 7510 kennen.

   - Stel duidelijke rollen en verantwoordelijkheden vast voor het auditproces, inclusief de auditcoördinator en de betrokken afdelingen of teams.


2. **Documentatie en records:**

   - Zorg ervoor dat alle relevante documenten en records up-to-date en toegankelijk zijn. Dit omvat beleid en procedures, risicoanalyses, incidentrapporten en alle andere informatie die van invloed is op de naleving van NEN 7510.


3. **Faciliteiten en middelen:**

   - Zorg ervoor dat de auditlocaties en faciliteiten toegankelijk zijn voor het auditteam en dat alle benodigde middelen beschikbaar zijn, zoals vergaderruimtes, computers en toegang tot systemen.

   - Als er gevoelige informatie of systemen betrokken zijn, moeten de juiste maatregelen worden genomen om de vertrouwelijkheid en beveiliging ervan te waarborgen tijdens de audit.


4. **Training en bewustwording:**

   - Bevestig dat alle relevante medewerkers de nodige training hebben gevolgd met betrekking tot NEN 7510 en informatiebeveiliging.

   - Zorg ervoor dat er een cultuur van bewustzijn bestaat met betrekking tot privacy en beveiliging, en dat medewerkers op de hoogte zijn van hun verantwoordelijkheden op dit gebied.


5. **Risicobeheer:**

   - Zorg ervoor dat er een actueel risicobeheerproces is dat voldoet aan de eisen van NEN 7510. Dit omvat het identificeren, evalueren en mitigeren van risico's met betrekking tot informatiebeveiliging en privacy.

   - Alle relevante risicobeheerdocumenten moeten toegankelijk en up-to-date zijn.


6. **Technologische controles:**

   - Zorg ervoor dat alle benodigde technische maatregelen zijn geïmplementeerd en getest, waaronder beveiligingscontroles, toegangsbeheer, cryptografie en incidentresponscapaciteiten.

   - Bevestig dat systemen en netwerken veilig zijn geconfigureerd en dat er processen bestaan voor het beheren van wijzigingen en updates.


7. **Fysieke beveiliging:**

   - Zorg ervoor dat de fysieke beveiligingsmaatregelen voldoen aan de eisen van NEN 7510, inclusief toegangsbeheer, bewaking en bescherming van gevoelige informatie en apparatuur.


8. **Leveranciers en externe partijen:**

   - Als externe leveranciers of partijen betrokken zijn bij het auditproces, zorg er dan voor dat hun contracten en overeenkomsten voldoen aan de eisen van NEN 7510.

   - Zorg ervoor dat ze op de hoogte zijn van hun verantwoordelijkheden met betrekking tot informatiebeveiliging en privacy.


9. **Incidentrespons:**

   - Bevestig dat er een actueel incidentresponsplan is dat voldoet aan de eisen van NEN 7510. Dit omvat het identificeren, melden en beheren van beveiligingsincidenten en datalekken.


10. **Naleving en regelgeving:**

    - Zorg ervoor dat alle relevante wet- en regelgeving met betrekking tot informatiebeveiliging en privacy in de zorgsector worden nageleefd, waaronder de Algemene Verordening Gegevensbescherming (AVG).


Deze voorwaarden bieden een kader voor auditees om zich voor te bereiden op een interne audit gebaseerd op NEN 7510. Het is belangrijk dat organisaties deze voorwaarden voldoen om ervoor te zorgen dat de audit efficiënt en effectief kan worden uitgevoerd, en om de naleving van de norm te waarborgen.