Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

NEN 7510

Compliance

Een Nederlandse norm voor informatiebeveiliging in de zorg. De norm stelt eisen en geeft richtlijnen om medische en persoonlijke gegevens te beschermen, en sluit aan op ISO 27001 en ISO 27002, maar is specifiek toegespitst op zorginstellingen en organisaties die gezondheidsinformatie verwerken.

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. De norm beschrijft hoe zorginstellingen en hun toeleveranciers de beschikbaarheid, integriteit en vertrouwelijkheid van gezondheidsinformatie moeten beschermen. NEN 7510 is gebaseerd op ISO 27001 en ISO 27002, maar bevat aanvullende eisen die specifiek zijn voor de verwerking van patiëntgegevens en medische informatie. De norm biedt een gestructureerd kader waarmee zorginstellingen hun informatiebeveiliging systematisch kunnen inrichten, beheren en continu verbeteren.

De meest recente versie, NEN 7510:2024, is in december 2024 gepubliceerd. Deze herziening is afgestemd op de nieuwste versies van ISO/IEC 27001 en ISO/IEC 27002, en sluit aan bij het internationale normontwerp ISO/IEC DIS 27799. De norm vormt het fundament voor informatiebeveiliging in de gehele Nederlandse zorgsector en wordt actief gehandhaafd door de Inspectie Gezondheidszorg en Jeugd (IGJ).

Voor wie geldt NEN 7510?

NEN 7510 geldt voor alle organisaties die persoonlijke gezondheidsinformatie verwerken. Dit omvat onder meer ziekenhuizen, huisartsenpraktijken, GGZ-instellingen, verpleeg- en verzorgingshuizen, laboratoria, apothekers en tandartspraktijken. Maar de reikwijdte gaat verder dan alleen directe zorgverleners. Ook thuiszorgorganisaties, revalidatiecentra en organisaties in de jeugdzorg vallen onder de norm zodra zij persoonlijke gezondheidsinformatie digitaal verwerken.

Ook toeleveranciers en dienstverleners die in opdracht van zorginstellingen gezondheidsinformatie verwerken, vallen onder de norm. Denk aan ICT-leveranciers die elektronische patiëntdossiers (EPD) beheren, cloudproviders die zorgdata hosten en softwareontwikkelaars die zorgtoepassingen bouwen. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg maakt naleving van NEN 7510 wettelijk verplicht voor deze organisaties. In de praktijk betekent dit dat zorginstellingen bij het selecteren van ICT-leveranciers NEN 7510-conformiteit als eis opnemen in hun aanbestedingen en verwerkersovereenkomsten.

Met de komst van de NIS2-richtlijn en de Cyberbeveiligingswet wordt het belang van NEN 7510 nog groter. De zorgsector valt onder NIS2 als essentiële sector, wat betekent dat zorginstellingen aan aanvullende cybersecurityeisen moeten voldoen. NEN 7510 biedt een solide basis om ook aan deze Europese vereisten te voldoen. Organisaties die NEN 7510 al hebben geimplementeerd, zullen merken dat een groot deel van de NIS2-verplichtingen al gedekt wordt door hun bestaande ISMS, waardoor de aanvullende inspanning beperkt blijft.

Wat zijn de vereisten van NEN 7510?

NEN 7510 vereist dat organisaties een Information Security Management System (ISMS) implementeren. Dit is een systematische aanpak voor het beheren van informatiebeveiliging, inclusief beleid, processen, procedures en technische maatregelen. Het ISMS volgt de Plan-Do-Check-Act-cyclus, waardoor informatiebeveiliging een doorlopend verbeterproces wordt. Dit betekent dat je als organisatie niet alleen maatregelen implementeert, maar ook regelmatig evalueert of deze maatregelen nog effectief zijn tegen actuele dreigingen en kwetsbaarheden in de zorgsector.

De norm bevat circa 120 beheersmaatregelen (controls) die organisaties moeten overwegen. Niet elke maatregel is voor elke organisatie relevant. Je bepaalt op basis van een eigen risicoanalyse welke maatregelen je implementeert. Deze risicoanalyse is verplicht en vormt de kern van het ISMS. Maatregelen omvatten onder meer toegangscontrole tot patiëntgegevens, encryptie van data in rust en transit, logging en monitoring van toegang tot medische dossiers, en fysieke beveiliging van serverruimtes. Specifiek voor de zorg gelden aangescherpte eisen rondom de scheiding van rollen bij toegang tot medische dossiers en het loggen van welke zorgverlener wanneer welk patiëntdossier heeft ingezien.

Naast NEN 7510 zijn er twee aanvullende normen: NEN 7512 richt zich op de beveiliging van elektronische gegevensuitwisseling in de zorg, en NEN 7513 stelt eisen aan de logging van toegang tot patiëntgegevens. Samen vormen deze drie normen het complete kader voor informatiebeveiliging in de Nederlandse zorg. De onderlinge samenhang tussen deze normen betekent dat organisaties ze in samenhang moeten implementeren om een volledig dekkend beveiligingsniveau te bereiken. Certificering op NEN 7510 is mogelijk via geaccrediteerde certificatie-instellingen en wordt steeds vaker gevraagd door zorgverzekeraars en samenwerkingspartners als bewijs dat de organisatie structureel investeert in de bescherming van patiëntgegevens.

Wat gebeurt er bij niet-naleving?

De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de naleving van NEN 7510. Bij geconstateerde tekortkomingen kan de IGJ verscherpte inspectie opleggen, verbetermaatregelen eisen of in ernstige gevallen een aanwijzing geven. Bij structurele niet-naleving kan dit leiden tot een bevel tot sluiting van de instelling. De IGJ voert zowel aangekondige als onaangekondigde inspecties uit en beoordeelt daarbij of de organisatie een werkend ISMS heeft en of de beheersmaatregelen daadwerkelijk worden nageleefd in de dagelijkse praktijk.

Daarnaast is de Autoriteit Persoonsgegevens (AP) bevoegd om boetes op te leggen wanneer onvoldoende informatiebeveiliging leidt tot een datalek met patiëntgegevens. Onder de AVG kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. In de praktijk heeft de AP al boetes uitgedeeld aan zorginstellingen die onvoldoende maatregelen hadden getroffen om de toegang tot patiëntdossiers te beveiligen. Deze handhavingsacties onderstrepen dat toezichthouders actief controleren of zorginstellingen hun informatiebeveiligingsverplichtingen nakomen.

Los van formele sancties brengt niet-naleving aanzienlijke reputatieschade met zich mee. Patiënten en samenwerkingspartners verwachten dat hun medische gegevens veilig worden beheerd. Een beveiligingsincident kan het vertrouwen in een zorginstelling ernstig ondermijnen. Zorgverzekeraars stellen bovendien steeds vaker NEN 7510-certificering als voorwaarde voor contracten, waardoor niet-gecertificeerde instellingen opdrachten mislopen. De combinatie van wettelijke handhaving, financiële sancties en commerciële druk maakt naleving van NEN 7510 tot een strategische prioriteit voor elke zorginstelling die duurzaam wil opereren.

Veelgestelde vragen over NEN 7510

Wat is het verschil tussen NEN 7510 en ISO 27001?

NEN 7510 is gebaseerd op ISO 27001, maar bevat aanvullende eisen specifiek voor de zorgsector. ISO 27001 is sector-onafhankelijk, terwijl NEN 7510 extra beheersmaatregelen voorschrijft voor de bescherming van patiëntgegevens, medische apparatuur en zorgprocessen.

Is NEN 7510 certificering verplicht?

Naleving van NEN 7510 is wettelijk verplicht voor zorginstellingen. Formele certificering door een onafhankelijke geaccrediteerde instelling is niet altijd verplicht, maar wordt steeds vaker gevraagd door zorgverzekeraars, toezichthouders en samenwerkingspartners als bewijs van aantoonbare naleving.

Hoeveel kost NEN 7510 certificering?

De kosten voor certificering variëren van 10.000 tot 50.000 euro, afhankelijk van de omvang van de organisatie en de huidige volwassenheid van informatiebeveiliging. Daarnaast zijn er jaarlijkse kosten voor herbeoordelingen en het onderhouden van het ISMS.

Hoe lang duurt het om NEN 7510 te implementeren?

Gemiddeld duurt de implementatie 6 tot 18 maanden, afhankelijk van de startpositie. Organisaties die al werken met ISO 27001 kunnen sneller aan NEN 7510 voldoen. De risicoanalyse en het opzetten van het ISMS zijn de meest tijdrovende onderdelen. Het betrekken van medisch personeel bij het proces is cruciaal, omdat zij dagelijks met de systemen werken en waardevolle inzichten leveren over praktische beveiligingsrisicos.

Wat is NEN 7512 en NEN 7513?

NEN 7512 stelt eisen aan de beveiliging van elektronische gegevensuitwisseling in de zorg, zoals het veilig versturen van medische berichten. NEN 7513 richt zich op de logging van toegang tot patiëntgegevens, zodat altijd herleidbaar is wie wanneer welke gegevens heeft ingezien.

Hulp nodig bij NEN 7510 implementatie? Vind een specialist via Governance Risk Compliance op IBgidsNL.