Als je een digitaal product op de markt brengt, moet dat aan wettelijke eisen voldoen. Daarnaast stellen klanten ook vaak eisen waar jouw product aan moet voldoen. Welke eisen voor jouw product relevant zijn, hangt af van in welke markt je actief bent. In dit artikel zetten we de wetten en normen waar wij vaak mee in aanraking komen op een rij.  Bij de eerste twee gaat het om wetgeving: Conformité Européenne (CE) en de Algemene Verordening Gegevensbescherming (AVG). De andere twee gaan over organisatienormen namelijk ISO27001 (en het broertje NEN7510) en ISO9001.
Het valt me op dat bij een nieuw project de afkortingen vaak over tafel vliegen. Ze worden door elkaar gebruikt. En dat klopt, want meestal moet je product aan meerdere eisen voldoen. Voorbeeld: bij onze start-up Astmakompas hebben we gezorgd voor de CE-certificering, NEN7510 en ISO9001. Wat houden deze normeringen precies in? En wat levert het je op?
Met de Conformité Européenne-norm (CE) bewijs je dat je product voldoet aan de eisen van de Europese Unie op het gebied van veiligheid, gezondheid, milieu en vrije handel. Alle informatie over je product moet goed gedocumenteerd zijn.
Voor apps merken we dat het vooral bij zorg-apps vaak een relevant onderwerp is. Veel zorg-apps vallen namelijk onder de MDR (Medical Device Regulation). Het is verstandig om goed uit te zoeken of je app een medical device is en zo ja in welke klasse hij valt.
Zolang je product in een pilotfase zit, hoeft het nog echter geen CE-normering te hebben. In de praktijk is het slim om toch vast rekening te houden met de eisen die worden gesteld. Je kunt de onderzoekresultaten uit je pilotfase dan later gebruiken voor de technische documentatie van de CE certificering.
Ook is het slim na te denken of je bepaalde features weg kunt laten uit je product, om zo in een gunstigere classificatie terecht te komen. Je voorkomt dan dat je product in een klasse valt waar je aan veel meer eisen moet voldoen. De vraag die je je zelf kunt stellen is: weegt de meerwaarde van de feature op tegen de extra investeringen die je voor een hogere classificatie moet doen?
De investering is namelijk erg afhankelijk van de klasse waarin het product valt. Zeker nu de wetgeving sinds 26 mei 2021 voor de certificering van medische hulpmiddelen is veranderd en strenger is geworden. Eerlijk is eerlijk: aan de slag gaan met CE-certificering kan complex zijn. Mijn advies is om vroegtijdig een expert aan te haken die je kan adviseren. Voor Astmakompas deden wij dat ook. Signifix heeft ons geholpen met het opstellen van alle documentatie.
Wat mag wel en wat mag niet als het gaat om de privacy van je gebruikers? Dat staat in de Algemene Verordening Gegevensbescherming (AVG), die weer is afgeleid van de Europese privacywetgeving (GDPR). Kwam je er voor 2018 misschien nog wel mee weg, sinds de AVG er is ben je verplicht de privacy van je gebruikers goed te regelen. Mijn ervaring is dat het in de praktijk wel meevalt hoeveel implicaties dit heeft voor je dienst of product.
What to do? Zorg dat je duidelijk bent over welke informatie je verzamelt en waarom. Dit moet helder en zichtbaar zijn voor je gebruikers. Nieuwe gebruikers krijgen de privacy-statement bijvoorbeeld direct voorgeschoteld bij de onboarding en moeten er ook actief voor kiezen om hiermee akkoord te gaan.
Daarnaast hebben gebruikers het recht om hun gegevens in te zien, te verzamelen en te verwijderen. Je moet ze daarom een mogelijkheid bieden waar ze die gegevens kunnen opvragen. Dit kun je zo ingewikkeld en uitgebreid maken als je zelf wilt. Bij een nieuwe app kun je simpel beginnen met het toevoegen van een e-mailadres waar mensen hun verzoek naartoe kunnen mailen. De AVG omvat uiteraard nog een hoop extra zaken die goed zijn om op je radar te hebben. Mocht je hier meer over willen weten, dan helpen we je graag.
ISO27001 is de internationale norm voor informatiebeveiliging. De norm gaat over de inrichting van je organisatie, niet over je product dus. Voor de wet ben je bovendien niet verplicht om aan deze norm te voldoen. Maar in de praktijk merk ik dat onze klanten er toch vaak wat mee willen. En dat begrijp ik goed, want als organisatie wil je uiteraard laten zien dat je je zaken op orde hebt als het gaat om informatiebeveiliging.
Het toepassen van de ISO27001 is een flinke klus. De norm is vrij uitgebreid en ook nog eens abstract beschreven. Het vraagt om expertise om de juiste vertaalslag naar je eigen organisatie te maken. Gelukkig zijn er diverse bureaus voor wie de materie gesneden koek is. Zij vertalen de norm naar concrete en relevante omschrijving voor jouw organisatie. Voor Astmakompas en TodayTomorrow zelf werken wij samen met QSN.
Met het inhuren van een bureau ben je er alleen nog niet. De vertaalslag die zij voor jouw organisatie op papier hebben gezet, zul je zelf in de praktijk moeten brengen. Bij TodayTomorrow gebruiken we hier een aantal tools voor. Notion bijvoorbeeld. In deze samenwerkings-tool hebben we een hoop templates aangemaakt voor verschillende processen en protocollen. Een voorbeeld van zo’n protocol is het melden van een datalek. In de template staat precies wat je moet doen wanneer er een datalek is. Op deze manier kun je er dus op rekenen dat je team een protocol snel kan vinden en toepassen.
ISO27001 staat ervoor dat de informatie die gebruikers jouw organisatie toevertrouwen veilig is, en ook veilig blijft. De processen die hieraan gekoppeld zijn voer je niet alleen uit in noodgevallen, maar zet je ook preventief in. Denk bijvoorbeeld aan een risico-analyse die iedere maand wordt bijgewerkt. Of het controleren van de autorisatiematrix, zodat er geen mensen zijn die toegang hebben tot plekken waar ze geen toegang toe zouden mogen hebben.
De laatste stap om te voldoen aan ISO27001 is de controle. Voor het uitvoeren van zo’n audit schakel je een externe partij in.
NEN7510 is de zorg-variant van ISO27001. Inhoudelijk bewijzen beide normen ongeveer hetzelfde: dat je als organisatie staat voor de veiligheid van informatie en gegevens van gebruikers. De NEN7510 kun je alleen krijgen als je actief bent in de zorg en is een Nederlandse norm. Je voldoet hiermee aan een extra set regels, boven op de ISO27001-norm. Simpel voorbeeld: stel, jouw organisatie voldoet aan de ISO27001-norm, dan is het voldoende om klanten met een e-mailadres en wachtwoord toegang te geven tot hun persoonlijke gegevens. Wil je aan NEN7510 voldoen, dan moet je een ‘extra slot op de voordeur’  zetten met een tweestapsautorisatie.
Met ISO9001 laat je zien dat je kwaliteit hoog in het vaandel hebt staan. Niet alleen met woorden, maar ook met daden. Je processen zijn dus zo ingericht dat je kwaliteit kunt waarborgen. Dat betekent dat jouw organisatie aan kwaliteitsmanagement doet om ervoor te zorgen dat producten of diensten altijd voldoen aan de behoeften, eisen en wensen van de klant. Klanttevredenheidsonderzoek is een manier om je dienstverlening op pijl te houden. Grote voordeel van dit internationale certificaat is dat het je betrouwbaarheid vergroot, maar verplicht is deze norm niet. Of hij interessant is voor jouw organisatie hangt helemaal af van de afnemers van jouw product of dienst. In de digitale wereld zie ik ISO9001 niet zo vaak voorbijkomen, maar voor onze start-up Astmakompas was dit een vereiste vanuit de ziekenhuizen.
Wanneer we starten met het ontwikkelen van een nieuw digitaal product, kijken we samen welke normeringen voor jullie organisatie relevant zijn. Het klinkt misschien ingewikkeld om aan de slag te gaan met het behalen van deze certificaten, maar de ervaring leert dat het in de praktijk een kwestie is van er even goed voor gaan zitten. Met een certificaat bewijs je in ieder geval dat je veiligheid, betrouwbaarheid en kwaliteit serieus neemt. En daarmee creëer je wat mij betreft een nog waardevoller product of dienst.