Skip to Content
NEN 7510Risicoanalyse

Risicoanalyse voor NEN 7510

De risicoanalyse is waar alles begint bij NEN 7510 . Z-CERT  deelt dreigingsinformatie specifiek voor de zorgsector en het NCSC  biedt algemene cybersecurity-richtlijnen. Een goed uitgevoerde risicoanalyse is het fundament van je informatiebeveiligingssysteem. Een slecht uitgevoerde analyse leidt tot misplaatste prioriteiten en blinde vlekken.

Waarom een risicoanalyse?

NEN 7510 is geen checklist die je blind afwerkt. De norm vraagt om maatregelen te nemen die passen bij je risico’s. Dat betekent dat je eerst moet weten welke risico’s je loopt.

Een huisartsenpraktijk heeft andere risico’s dan een academisch ziekenhuis. Een EPD-leverancier heeft andere risico’s dan een producent van MRI-scanners. Door je risico’s te analyseren, kun je je inspanningen richten op wat er echt toe doet.

De risicoanalyse voorkomt ook overkill. Als je alle denkbare maatregelen zou implementeren, zou je failliet gaan of vastlopen in bureaucratie. Door te focussen op reële risico’s, houd je het werkbaar.

De basisstappen

Een risicoanalyse voor NEN 7510 volgt een logische volgorde: inventariseren, beoordelen, behandelen.

Inventariseren: Welke informatie verwerk je? Welke systemen gebruik je? Welke dreigingen zijn relevant? Welke kwetsbaarheden heb je?

Beoordelen: Hoe waarschijnlijk is het dat een dreiging zich manifesteert? Wat is de impact als dat gebeurt? Dit levert een risicoscore op.

Behandelen: Wat doe je met elk risico? Accepteren, verminderen, overdragen of vermijden? Welke maatregelen neem je?

Dit is geen eenmalige exercitie. De risicoanalyse is levend. Je herhaalt hem periodiek en na significante wijzigingen.

Stap 1: Inventariseer je informatie

Begin met de vraag: welke informatie verwerk je die bescherming nodig heeft?

In de zorg is het antwoord voor een deel evident: patiëntgegevens. Maar kijk breder. Je hebt ook personeelsgegevens die privacy-gevoelig zijn. Financiële informatie die vertrouwelijk is. Bedrijfsgegevens zoals contracten en strategische plannen. En misschien onderzoeksdata, klinische studiegegevens, of intellectueel eigendom.

Maak een overzicht. Waar staan deze gegevens? In welke systemen? Wie heeft er toegang toe? Dit is je informatieoverzicht, de basis voor de rest.

Focus op wat er echt toe doet. Je hoeft niet elk stuk papier te catalogiseren. Richt je op de informatie die, als er iets mee misgaat, serieuze gevolgen heeft.

Stap 2: Identificeer dreigingen

Dreigingen zijn de dingen die kunnen misgaan. Ze komen van buiten (externe dreigingen) of van binnen (interne dreigingen).

Externe dreigingen in de zorg:

  • Ransomware-aanvallen. Cybercriminelen versleutelen je systemen en eisen losgeld. De zorg is een geliefd doelwit omdat downtime direct patiëntenzorg raakt.
  • Datalekken door hackers. Patiëntgegevens zijn waardevol op de zwarte markt.
  • Phishing en social engineering. Medewerkers worden misleid om gegevens of toegang te geven.
  • DDoS-aanvallen. Je systemen worden overspoeld en onbereikbaar gemaakt.

Interne dreigingen:

  • Fouten van medewerkers. Verkeerd adres bij een e-mail, USB-stick verloren, laptop gestolen.
  • Onbevoegde toegang. Nieuwsgierige collega’s die in dossiers kijken waar ze niets te zoeken hebben.
  • Kwaadwillige medewerkers. Zeldzaam maar reëel: iemand die bewust schade toebrengt.

Fysieke dreigingen:

  • Brand, wateroverlast, stroomuitval.
  • Inbraak of diefstal van apparatuur.

Technische dreigingen:

  • Systeemuitval door hardware of software.
  • Verlies van data door corruptie of configuratiefouten.
  • Kwetsbaarheden in software die worden uitgebuit.

Maak dit concreet voor je eigen situatie. Welke dreigingen zijn realistisch voor jouw organisatie?

Stap 3: Identificeer kwetsbaarheden

Een dreiging wordt pas een risico als er een kwetsbaarheid is die kan worden uitgebuit. Kwetsbaarheden zijn de zwakke plekken.

Technische kwetsbaarheden zijn het makkelijkst te vinden. Software die niet is geüpdatet. Systemen zonder adequate toegangsbeveiliging. Netwerken zonder segmentatie. Ontbrekende encryptie.

Menselijke kwetsbaarheden zijn lastiger maar minstens zo relevant. Medewerkers die niet getraind zijn. Cultuur waarin security niet serieus wordt genomen. Procedures die niet worden gevolgd. Hoge werkdruk waardoor shortcuts worden genomen.

Organisatorische kwetsbaarheden: ontbrekend beleid, onduidelijke verantwoordelijkheden, gebrek aan budget voor security.

Stap 4: Beoordeel de risico’s

Nu combineer je dreigingen en kwetsbaarheden tot risico’s. Per risico beoordeel je twee dingen: hoe waarschijnlijk is het, en hoe erg is het als het gebeurt?

Waarschijnlijkheid: Hoe vaak gebeurt dit soort incidenten in vergelijkbare organisaties? Hoe aantrekkelijk is jouw organisatie als doelwit? Hoe kwetsbaar ben je?

Impact: Wat gebeurt er als dit risico zich materialiseert? Denk aan schade aan patiëntenzorg (het belangrijkste in de zorg), financiële schade, reputatieschade, wettelijke consequenties, operationele verstoring.

In de zorg is de impact van datalekken en systeemuitval bijna per definitie hoog. Patiëntgegevens zijn extra gevoelig. Uitval van systemen kan levens kosten. Dit maakt de drempel voor maatregelen lager dan in andere sectoren.

Gebruik een eenvoudig schema: hoog, midden, laag. Of een numerieke schaal: 1 tot 5. Het gaat niet om schijnprecisie, maar om onderscheid kunnen maken tussen risico’s die urgent zijn en risico’s die kunnen wachten.

Stap 5: Bepaal de behandeling

Voor elk geïdentificeerd risico bepaal je wat je doet. Er zijn vier opties.

Vermijden: Je elimineert de activiteit die het risico veroorzaakt. Bijvoorbeeld: je stopt met het verwerken van een bepaald type gegevens.

Verminderen: Je neemt maatregelen om de waarschijnlijkheid of impact te verlagen. Dit is de meest voorkomende aanpak. Je implementeert beheersmaatregelen.

Overdragen: Je draagt het risico over aan een andere partij, meestal via verzekering of uitbesteding. Dit werkt alleen voor financiële impact, niet voor reputatie of wettelijke verantwoordelijkheid.

Accepteren: Je doet niets en accepteert het risico. Dit is valide voor kleine risico’s, maar je moet het bewust doen en documenteren.

Voor de risico’s die je vermindert, selecteer je maatregelen uit NEN 7510-2. Dit is waar de Verklaring van Toepasselijkheid ontstaat: welke maatregelen kies je wel, welke niet, en waarom?

Zorgspecifieke risico’s

De zorg kent risico’s die in andere sectoren minder prominent zijn.

Directe patiëntenschade. In de meeste sectoren is een systeemuitval vervelend. In de zorg kan het levensbedreigende gevolgen hebben. Een uitval van het EPD tijdens een acute situatie, medicatiefouten door verkeerde gegevens, onbereikbare diagnostiek.

Bijzondere persoonsgegevens. Medische gegevens zijn extra gevoelig onder de AVG. Een datalek met diagnoses of behandelingen heeft meer impact dan een datalek met adresgegevens. De boetes en reputatieschade zijn navenant.

Compliance-risico’s. De zorgsector is zwaar gereguleerd. Niet voldoen aan NEN 7510, de AVG, of straks NIS2/Cyberbeveiligingswet heeft consequenties. De IGJ houdt toezicht en kan maatregelen opleggen.

Medische apparatuur. Anders dan kantooromgevingen, heeft de zorg te maken met netwerkgekoppelde medische apparatuur. Insulinepompen, pacemakers, infuussystemen, MRI-scanners. Deze apparatuur is vaak moeilijker te beveiligen dan standaard IT.

Ketenafhankelijkheid. Zorg is teamwork. Gegevens stromen tussen huisarts, specialist, apotheek, laboratorium. Een incident bij één partij raakt de hele keten.

In de arbeidsomstandighedenwetgeving ken je de RI&E: Risico-Inventarisatie en -Evaluatie. Die gaat over fysieke veiligheid en arbeidsomstandigheden.

De risicoanalyse voor NEN 7510 gaat over informatiebeveiliging. Het zijn verschillende analyses met verschillende scope. Maar er zijn raakvlakken. Een brand is zowel een arbeidsveiligheidsrisico als een informatieveiligheidsrisico (denk aan verlies van data). Een inbraak idem.

Sommige organisaties integreren de analyses. Dat kan efficiënt zijn, maar let op dat je de specificiteit behoudt. Een RI&E-consultant is niet per se een informatieveiligheidsexpert.

Documentatie en onderhoud

De risicoanalyse moet je documenteren. Dit is vereist voor NEN 7510 certificering. De auditor wil zien wat je hebt geanalyseerd, hoe je tot je oordelen bent gekomen, en welke behandeling je hebt gekozen.

De documentatie hoeft geen dikke rapporten te zijn. Een heldere spreadsheet met risico’s, beoordelingen en maatregelen werkt prima. Zolang het navolgbaar en compleet is.

De risicoanalyse is geen eenmalige exercitie. Plan periodieke updates, bijvoorbeeld jaarlijks. En update tussentijds bij significante wijzigingen: nieuwe systemen, nieuwe diensten, incidenten die blinde vlekken blootleggen.

Een verouderde risicoanalyse is gevaarlijk. Je maatregelen zijn gebaseerd op een beeld dat niet meer klopt. Nieuwe risico’s worden niet gezien. Houd de analyse levend.

Praktisch beginnen

Als je nog geen risicoanalyse hebt, is dit de aanpak.

Breng je belangrijkste systemen en informatiestromen in kaart. Je EPD/HIS, je netwerk, je koppelingen. Wie heeft toegang?

Pak de dreigingen erbij die in de zorg relevant zijn. Ransomware, datalekken, onbevoegde toegang. Hoe kwetsbaar ben je?

Beoordeel de risico’s grofmazig. Wat is hoog, wat is laag? Focus eerst op de hoge risico’s.

Bepaal wat je gaat doen. Welke maatregelen neem je? Plan de implementatie.

Documenteer wat je hebt gedaan. Klaar is je eerste risicoanalyse. Niet perfect, maar een begin. Je verfijnt later.

Meer lezen

Eisen van de normNEN 7513: logging