Context en scope van het ISMS (NEN 7510-1, H4)
Versie 1.0.0 - juni 2026
Dit document legt de context van Remedice vast, de belanghebbenden en hun eisen, en de scope van het managementsysteem voor informatiebeveiliging (ISMS). Het voldoet aan hoofdstuk 4 van NEN 7510-1:2024.
Status
Remedice is nog niet NEN 7510-gecertificeerd. Certificering tegen NEN 7510-1 is in voorbereiding. Dit document beschrijft de context zoals die geldt tijdens de inrichting van het ISMS.
1. De organisatie
Remedice is een Nederlandse eenmanszaak die software levert aan apotheken (B2B) en mogelijk individuele gebruikers (B2C, Atlas). Het primaire product ondersteunt apothekers bij medicatiebeoordelingen en biedt een informatietool (Atlas). Remedice treedt op als verwerker en als beheerder van persoonlijke gezondheidsinformatie; de apotheek is verwerkingsverantwoordelijke en zorgaanbieder. NEN 7510 noemt beheerders en hostingproviders van gezondheidsinformatie expliciet als doelgroep.
2. Externe en interne issues (H4.1)
Externe issues
| Issue | Relevantie voor informatiebeveiliging |
|---|---|
| Wettelijk kader (AVG, WGBO, Wabvpz, Begz, Wegiz, NIS2) | Bepaalt verplichte beveiligings- en logging-eisen; zie Nalevingsregister |
| Marktvraag certificering | AIS/HIS-leveranciers en apotheken vragen aantoonbare NEN 7510-conformiteit voor koppelingen |
| Dreigingslandschap zorg | Zorg is een hoogwaardig doelwit (ransomware, phishing, identiteitsdiefstal) |
| Afhankelijkheid van clouddiensten | AWS en subverwerkers bepalen mede de beschikbaarheid en vertrouwelijkheid |
| Klimaatverandering | Beoordeeld als beperkt relevant: hosting is regionaal gespreid binnen AWS eu-central-1 met meerdere availability zones; geen eigen fysieke faciliteiten. Wordt jaarlijks herbeoordeeld. |
Interne issues
| Issue | Relevantie voor informatiebeveiliging |
|---|---|
| Eenmanszaak, een persoon | Beperkte functiescheiding; afhankelijkheid van een sleutelpersoon. Compenserende maatregelen in Leiderschap & rollen |
| Snelle productontwikkeling | Wijzigingen moeten beheerst en backward-compatible blijven, zie change management |
| Sterke technische basis | Tenant-isolatie, versleuteling, audit logging en RBAC zijn geimplementeerd; het managementsysteem eromheen wordt nu geformaliseerd |
| Kennisborging | Documentatie-als-code borgt kennis die anders bij een persoon ligt |
De norm vereist expliciet dat wordt vastgesteld of klimaatverandering een relevant issue is. Conclusie: beperkt relevant, jaarlijks te herbeoordelen.
3. Belanghebbenden en hun eisen (H4.2)
| Belanghebbende | Relevante eisen | Hoe geadresseerd in het ISMS |
|---|---|---|
| Apotheken (verwerkingsverantwoordelijke) | Vertrouwelijkheid en beschikbaarheid patientdata; AVG art. 28; aantoonbare beveiliging | Verwerkersovereenkomst, beveiligingsbeleid, dit ISMS |
| Patienten (betrokkenen) | Bescherming bijzondere persoonsgegevens; rechten AVG; geheimhouding (WGBO) | Veldversleuteling, RBAC, audit logging, erasure/DSAR |
| Toezichthouders (AP, IGJ) | Naleving AVG art. 32, NEN 7510-reeks, WGBO | Nalevingsregister, DPIA, datalekkenprotocol |
| AIS/HIS-leveranciers | Aantoonbare informatiebeveiliging voor koppelingen | NEN 7510-certificering (in voorbereiding), NEN 7512 |
| Subverwerkers (AWS, Stripe e.a.) | Contractuele beveiligingsafspraken | DPAs, subverwerkersregister |
| Topmanagement / eigenaar | Continuiteit, beheersbaar restrisico, kostenbeheersing | Risicoanalyse, management review |
De eisen van belanghebbenden kunnen wettelijke, regelgevende en contractuele verplichtingen omvatten, en eisen met betrekking tot klimaatverandering.
4. Scope van het ISMS (H4.3)
Het managementsysteem voor informatiebeveiliging is van toepassing op:
- Diensten: het Remedice-platform (medicatiebeoordeling, Atlas, team- en beheermodules) en de bijbehorende B2C-variant (Atlas), inclusief de verwerking van persoonlijke gezondheidsinformatie en gebruikersgegevens.
- Informatie: patientgegevens, analyseresultaten, chatgegevens, accountgegevens, authenticatie-secrets, audit logs, facturatiegegevens en versleutelingssleutels (zie de asset-inventaris in de risicoanalyse).
- Processen: softwareontwikkeling en -onderhoud, deployment, incidentbeheer, toegangsbeheer, back-up en herstel, leveranciersbeheer.
- Infrastructuur: de AWS-omgeving in eu-central-1 (Frankfurt) zoals beheerd via Terraform, en de gebruikte subverwerkers.
- Locatie en mensen: de eenmanszaak Remedice en de personen die onder haar gezag werken.
Buiten scope: de interne ICT en bedrijfsvoering van de apotheken zelf (verantwoordelijkheid van de verwerkingsverantwoordelijke), en de fysieke datacenterbeveiliging (gedelegeerd aan AWS onder diens ISO 27001/SOC 2-certificering).
De raakvlakken en afhankelijkheden met activiteiten van andere organisaties (apotheken, AWS, subverwerkers) zijn meegewogen bij het bepalen van deze scope.
5. Het managementsysteem (H4.4)
Remedice richt een managementsysteem voor informatiebeveiliging in, houdt het in stand en verbetert het continu, inclusief de benodigde processen en hun interacties, conform NEN 7510-1. De onderdelen zijn vastgelegd in de documenten onder Managementsysteem (NEN 7510-1) en de beheersmaatregelen onder NEN 7510-2.
6. Review
Deze context wordt jaarlijks herzien tijdens de management review, of eerder bij wezenlijke wijzigingen in de organisatie, het dienstenaanbod of het wettelijk kader.