Ga naar inhoud

Risicobeoordelings- en behandelprocedure (NEN 7510-1, H6.1)

Versie 1.0.0 - juni 2026

Dit document beschrijft de herhaalbare procedure waarmee Remedice informatiebeveiligingsrisico's beoordeelt en behandelt. Het voldoet aan NEN 7510-1:2024, paragrafen 6.1.2 en 6.1.3. De toegepaste uitkomst van deze procedure (de geidentificeerde risico's, maatregelen en restrisico's) staat in de Risicoanalyse.

Status

Certificering is in voorbereiding. Deze procedure is vastgesteld en wordt toegepast; de resultaten worden als gedocumenteerde informatie bewaard.

1. Risicocriteria (H6.1.2 a)

Risicoacceptatiecriteria

Risico's worden gescoord als Kans (1-5) x Impact (1-5):

Score Niveau Besluit
<= 6 Acceptabel Restrisico kan worden geaccepteerd door de risico-eigenaar
7-12 Aandacht Aanvullende beheersmaatregelen vereist tot restscore <= 6
>= 13 Onacceptabel Behandeling verplicht voor ingebruikname; geen acceptatie

De impact weegt zwaarder voor de vertrouwelijkheid en integriteit van persoonlijke gezondheidsinformatie, gezien de bijzondere aard van deze gegevens (AVG art. 9) en de mogelijke gevolgen voor de patientveiligheid.

Criteria voor het uitvoeren van risicobeoordelingen

Een risicobeoordeling wordt uitgevoerd:

  • ten minste jaarlijks, als input voor de management review;
  • voorafgaand aan significante wijzigingen in de architectuur, het dienstenaanbod of het subverwerkerlandschap;
  • na een beveiligingsincident of datalek;
  • bij nieuwe dreigingsinformatie.

2. Consistentie en herhaalbaarheid (H6.1.2 b)

De procedure waarborgt consistente, valide en vergelijkbare resultaten doordat steeds dezelfde methode wordt gebruikt: dezelfde asset-inventaris en BIV-classificatie, dezelfde scoringsschaal, en dezelfde controlstructuur (NEN 7510-2:2024). Resultaten worden versiebeheerd in de documentatie-als-code, zodat opeenvolgende beoordelingen vergelijkbaar zijn.

3. Identificatie van risico's (H6.1.2 c)

  1. Stel of actualiseer de asset-inventaris met BIV-classificatie (zie risicoanalyse, hoofdstuk 2).
  2. Identificeer dreigingen en kwetsbaarheden per asset, op basis van NEN 7510-2 Bijlage A, het dreigingslandschap in de zorg en bronnen over dreigingen (A.5.7).
  3. Bepaal per geidentificeerd risico de risico-eigenaar.

Risico-eigenaarschap: Remedice is een eenmanszaak. De risico-eigenaar voor alle risico's is de verantwoordelijke voor informatiebeveiliging (zie Leiderschap & rollen). Bij groei van de organisatie worden eigenaren per domein (bijvoorbeeld infrastructuur, applicatie, leveranciers) toegewezen.

4. Analyse en evaluatie (H6.1.2 d, e)

  1. Beoordeel de potentiele gevolgen (impact 1-5) als het risico zich voordoet.
  2. Beoordeel de realistische waarschijnlijkheid (kans 1-5).
  3. Bepaal het risiconiveau (Kans x Impact).
  4. Vergelijk met de risicocriteria en prioriteer de risico's voor behandeling.

5. Behandeling van risico's (H6.1.3)

  1. Selecteer per risico een behandeloptie: verminderen (beheersmaatregel), accepteren, vermijden of overdragen (bijvoorbeeld via een subverwerker met DPA).
  2. Stel de noodzakelijke beheersmaatregelen vast.
  3. Vergelijk de gekozen maatregelen met NEN 7510-2 Bijlage A (A.5-A.8, inclusief HLT) en verifieer dat geen noodzakelijke maatregel is weggelaten.
  4. Stel de Statement of Applicability (SoA) op: per beheersmaatregel de noodzaak, de rechtvaardiging voor opname, of deze is geimplementeerd, en de rechtvaardiging voor uitsluiting. De SoA is opgenomen in de risicoanalyse, hoofdstuk 4.
  5. Stel een risicobehandelplan op (welke maatregel, wie, wanneer).
  6. Verkrijg goedkeuring van de risico-eigenaar voor het behandelplan en acceptatie van de restrisico's.

6. Gedocumenteerde informatie

De volgende gedocumenteerde informatie wordt bewaard:

  • deze risicobeoordelings- en behandelprocedure;
  • de resultaten van elke risicobeoordeling (de risicoanalyse met datum/versie);
  • de SoA;
  • het risicobehandelplan en de goedkeuring/acceptatie door de risico-eigenaar.

7. Relatie met operationele uitvoering (H8.2, H8.3)

Tijdens de uitvoering (H8) voert Remedice risicobeoordelingen uit met de hierboven vastgestelde tussenpozen en zodra significante wijzigingen worden voorgesteld, en implementeert het risicobehandelplan. De resultaten worden bewaard. Het proces sluit aan op de beginselen van ISO 31000.

8. Review

Deze procedure wordt jaarlijks herzien tijdens de management review.