Audit NEN 7510 pour les organisations qui veulent une conformité démontrable

NEN 7510 est la norme néerlandaise pour la sécurité de l'information dans le secteur de la santé. La norme décrit comment les organisations de santé maîtrisent la disponibilité, l'intégrité et la confidentialité des données patients au moyen d'un système de management. NEN 7510 s'aligne sur ISO 27001 et est complétée par NEN 7512 (échange de données) et NEN 7513 (journalisation des accès aux dossiers patients).

Les prestataires de soins sont légalement tenus de prendre des mesures techniques et organisationnelles appropriées pour la sécurité des données patients. NEN 7510 (avec NEN 7512 et 7513) est la mise en œuvre reconnue de cette obligation et est utilisée par l'Inspection de la santé et de la jeunesse (IGJ) comme cadre d'évaluation. En pratique, elle constitue donc de fait la norme pour le secteur de la santé.

NEN 7510 utilise la même méthodologie qu'ISO 27001, mais est spécifiquement axée sur le secteur de la santé. Là où ISO 27001 est d'application générale, NEN 7510 ajoute des exigences spécifiques à la santé concernant les données patients, la journalisation et l'échange de données. Les organisations qui disposent déjà d'ISO 27001 peuvent évoluer relativement facilement vers la conformité NEN 7510.

L'auditeur évalue si l'organisation de santé maîtrise de manière démontrable la sécurité de l'information : politique et analyse de risques axées sur le contexte santé, gestion des accès basée sur la fonction, journalisation conforme à NEN 7513, sécurité de l'échange de données, accords avec les fournisseurs et le suivi des incidents et des actions d'amélioration. Il recherche des preuves dans les systèmes, les fichiers journaux et les entretiens.

NEN 7512 traite de la base de confiance pour un échange de données sécurisé dans le secteur de la santé : comment les organisations partagent des données de manière fiable. NEN 7513 fixe des exigences quant à la journalisation des accès aux dossiers patients électroniques, afin que l'on puisse vérifier a posteriori qui a consulté quelles données. Avec NEN 7510, elles forment le cadre normatif de la sécurité de l'information dans le secteur de la santé néerlandais.

NEN 7510 se concentre sur la sécurité des données (patients), tandis que le RGPD fixe les obligations plus larges en matière de confidentialité. Elles se renforcent mutuellement : un système de management conforme à NEN 7510 fournit une grande partie des preuves également nécessaires à la conformité au RGPD, comme la gestion des accès, la journalisation et la maîtrise des risques. Pour une maîtrise complète de la confidentialité, une approche de confidentialité complémentaire (par exemple via ISO 27701) est judicieuse.

Une analyse d'écart NEN 7510 compare votre sécurité de l'information actuelle aux exigences de NEN 7510, 7512 et 7513. Vous obtenez une vision de ce qui est déjà conforme et des lacunes existantes, avec des priorités et une feuille de route. C'est la première étape logique avant d'entamer un audit formel ou un processus de certification.

Comme pour ISO 27001, un audit interne doit avoir lieu au minimum une fois par an, au cours duquel tous les éléments du cycle de certification sont couverts. En cas de certification, des audits de surveillance périodiques par l'organisme de certification suivent. La journalisation et les revues d'accès sont idéalement surveillées plus souvent et de manière structurelle.