Competentie en bewustwording (NEN 7510-1, H7.2/7.3)
Versie 1.0.0 - juni 2026
Dit document beschrijft de competentie-eisen, het bewustwordingsprogramma en de bijbehorende registratie. Het voldoet aan NEN 7510-1:2024, paragrafen 7.2 en 7.3, en aan de beheersmaatregelen A.6.3 en A.6.9.
Status
Remedice is een eenmanszaak zonder personeel. Onderstaande eisen en programma's zijn vastgesteld en worden van kracht zodra er personen onder het gezag van Remedice werken. Voor de huidige eigenaar gelden ze direct.
1. Competentie (H7.2)
Remedice stelt de benodigde competentie vast van de persoon of personen die werkzaamheden verrichten die de prestaties van de informatiebeveiliging beinvloeden, en waarborgt deze competentie op basis van opleiding, training of ervaring.
Vereiste competenties
| Gebied | Vereiste competentie |
|---|---|
| Veilige softwareontwikkeling | Kennis van OWASP-risico's, secure coding, Django/AWS-beveiliging |
| Informatiebeveiliging in de zorg | Begrip van NEN 7510/7512/7513, AVG art. 9, WGBO-geheimhouding |
| Incidentrespons | Herkennen, classificeren en afhandelen van incidenten en datalekken |
| Cloud- en infrastructuurbeheer | AWS-beveiliging, IAM, KMS, Terraform |
Acties en bewijs
Waar competentie ontbreekt, worden acties ondernomen (training, begeleiding, of inhuur van competente personen) en wordt de doeltreffendheid ervan geevalueerd. Bewijs van competentie wordt bewaard in het competentieregister (paragraaf 4).
2. Bewustwording (H7.3, A.6.3)
Personen die onder het gezag van Remedice werken, zijn zich bewust van:
- het informatiebeveiligingsbeleid;
- hun bijdrage aan de doeltreffendheid van het ISMS, inclusief de voordelen van verbeterde informatiebeveiliging;
- de gevolgen van het niet voldoen aan de eisen van het ISMS.
Bewustwordingsprogramma
| Onderdeel | Frequentie |
|---|---|
| Introductie informatiebeveiliging bij aanvang | Bij indiensttreding |
| Periodieke awareness-update (beleid, dreigingen zoals phishing) | Jaarlijks |
| Update na significante wijziging in beleid of dreigingslandschap | Ad hoc |
3. Managementtraining (A.6.9, HLT)
Het management krijgt training passend bij zijn rol en verantwoordelijkheden voor informatiebeveiliging en het beheer ervan. Voor de eigenaar (tevens topmanagement en verantwoordelijke informatiebeveiliging) betekent dit het op peil houden van kennis over de NEN 7510-reeks, de wettelijke verplichtingen en het dreigingslandschap.
4. Competentie- en bewustwordingsregister (template)
Geschikte gedocumenteerde informatie wordt bewaard als bewijs van competentie en bewustwording. Het register wordt lopend gevuld.
| Persoon | Rol | Competentiebewijs (opleiding/training/ervaring) | Awareness voltooid (datum) | Volgende update |
|---|---|---|---|---|
| (in te vullen) |
5. Review
Dit document en het register worden jaarlijks herzien tijdens de management review, en bijgewerkt bij indiensttreding van personeel.