Verklaring van Toepasselijkheid

/ Informatiebeveiliging / Door

De Verklaring van Toepasselijkheid (vaak afgekort tot VvT) is het document waarmee de organisatie vastlegt welke beheersmaatregelen zijn geïmplementeerd op het gebied van informatiebeveiliging. De norm (zowel ISO 27001, als NEN 7510-1) zegt er in hoofdstuk 6.1.3, lid d het volgende over:

Een verklaring van toepasselijkheid op te stellen die […] de benodigde beheersmaatregelen [bevat], een rechtvaardiging voor het opnemen ervan, de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet, en de rechtvaardiging voor het uitsluiten van in bijlage A genoemde beheersmaatregelen.

In de VvT staan alle geldende beheersmaatregelen en bij elke beheersmaatregel is aangegeven waarom en hoe de organisatie eraan voldoet en indien een beheersmaatregel uit de Annex A van de norm niet is geïmplementeerd waarom dat niet nodig is (niet van toepassing verklaring).

Gecombineerd managementsysteem

Wanneer gebruik wordt gemaakt van zowel de ISO 27001, als de NEN 7510-1, dan moet je voor zowel de ISO 27001 als voor de NEN 7510-1 een eigen (aparte) VvT opstellen. De beheersmaatregelen (niet zijnde de zorgspecifieke beheersmaatregelen) in beide VvTs moeten identiek aan elkaar zijn. Het kan dus niet zo zijn, dat je in de VvT van de ISO 27001 en beheersmaatregel van toepassing verklaard terwijl je die in de VvT van de NEN 7510-1 uitsluit.

Het verdient de voorkeur om in de VvT van de NEN 7510-1 de beheersmaatregelen weg te laten en alleen de Zorgspecifieke beheersmaatregelen op te nemen. In dat geval geef je in de toelichting aan dat de implementatie van de beheersmaatregelen uit de NEN 7510-1 identiek is als bij de ISO 27001 en dat je dan ook in de VvT van de ISO 27001 naar de beheersmaatregelen moet kijken.

VvT ISO 27001

Bij elke beheersmaatregel uit de annex van de ISO 27001 neem je de volgende informatie op:

  • De toepasselijkheid: is de Beheersmaatregel wel of niet van toepassing op uw organisatie?
  • Onderbouwing Niet van toepassing: Geef aan waarom de Beheersmaatregel niet van toepassing is.
  • Reden voor selectie: Geef aan waarom (wet- en regelgeving, contractuele verplichtingen, risicobeoordeling, etc.) de Beheersmaatregel wel van toepassing is.
  • Implementatie: Geef aan of de Beheersmaatregel volledig is geïmplementeerd of niet.

Een voorbeeld van een lege VvT ISO 27001 is hier te vinden.

VvT NEN 7510-1

Bij elke beheersmaatregel uit de annex van de NEN 7510-1 geef je als eerste de omschrijving van de Beheersmaatregel en (indien aanwezig) de omschrijving van de Zorgspecifieke beheersmaatregel. Vervolgens neem je de volgende informatie op:

  • De toepasselijkheid: is de (Zorgspecifieke) Beheersmaatregel wel of niet van toepassing op uw organisatie?
  • Status beheersmaatregel: Geef aan wat de status van de implementatie van de (Zorgspecifieke) Beheersmaatregel is.
  • Onderbouwing voor out of scope: Geef aan waarom de (Zorgspecifieke) Beheersmaatregel niet van toepassing is.
  • Reden voor selectie: Vink aan waarom (wet- en regelgeving, contractuele verplichtingen, best practices, risicobeoordeling) de (Zorgspecifieke) Beheersmaatregel wel van toepassing is.

Een voorbeeld van een lege VvT NEN is hier te vinden.