NEN 7510 Externe Audit

Wat een externe NEN 7510-audit inhoudt en waarom hij telt

Er zijn in Nederland op dit moment ruim 400 organisaties die officieel gecertificeerd zijn voor NEN 7510 — de norm die informatiebeveiliging in de zorg regelt. Klinkt dat als veel? Zet het af tegen de werkelijkheid: er zijn in Nederland meer dan 50.000 zorginstellingen, huisartsenpraktijken, ziekenhuizen, GGZ-instellingen, verpleeghuizen en andere zorgaanbieders die dagelijks met patiëntgegevens werken. Minder dan één procent is gecertificeerd. De rest werkt op basis van zelfverklaringen, interne audits of simpelweg geen formele toetsing.

Dat gat is niet alleen een compliance-probleem — het is een patiëntveiligheidsrisico. Patiëntdossiers behoren tot de meest waardevolle en gevoelige persoonsgegevens die er bestaan. Op de zwarte markt zijn ze meer waard dan creditcardgegevens, precies omdat ze zo gedetailleerd zijn en zo lang geldig blijven. Tegelijkertijd zijn zorgsystemen historisch gezien minder goed beveiligd dan bancaire systemen, terwijl de gevolgen van een inbreuk — denk aan gelekte psychiatrische diagnoses of HIV-statussen — voor patiënten verwoestend kunnen zijn.

Een externe NEN 7510-audit is de onafhankelijke toetsing die aantoonbaar maakt dat uw informatiebeveiliging op orde is. Niet als intern document voor de eigen organisatie, maar gecertificeerd door een geaccrediteerde partij die de norm van buiten kent en toepast. Dit artikel legt uit hoe zo'n audit werkt, wat u ervan kunt verwachten, hoe u zich voorbereidt, en wat de kosten en valkuilen zijn.

De wettelijke en normatieve context

NEN 7510 is de Nederlandse vertaling van ISO 27001 voor de zorg, aangevuld met specifieke zorgeisen zoals die voor Elektronische Patiëntendossiers (EPD's), medische apparatuur en de uitwisseling van medische informatie. De norm werd voor het eerst gepubliceerd in 2004, ingrijpend herzien in 2011 en 2017, en vervolgens opnieuw geactualiseerd met de NEN 7510:2024 versie die aansluiting zoekt bij de herziene ISO 27001:2022.

De wettelijke basis voor verplichte informatiebeveiliging in de zorg ligt in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), die verwijst naar NEN 7510 als de relevante beveiligingsstandaard. Zorgaanbieders die vallen onder de Wabvpz zijn verplicht om passende technische en organisatorische maatregelen te treffen voor de bescherming van patiëntgegevens, en NEN 7510 is de manier waarop de sector dit invult.

Bovendien bepaalt de Europese NIS2-richtlijn, die in Nederland wordt omgezet via de Cyberbeveiligingswet, dat zorginstellingen boven een bepaalde drempelwaarde verplicht zijn om aan NIS2 te voldoen (Bron: NCSC / Digitale Overheid). NEN 7510-certificering sluit sterk aan bij de NIS2-eisen voor het nemen van passende beveiligingsmaatregelen, risicoanalyse en incidentrapportage. Organisaties die werken aan NIS2 compliance begeleiding zullen merken dat een NEN 7510-traject een stevige basis legt voor NIS2-conformiteit.

Per februari 2027 moet iedereen die gecertificeerd wil zijn of wil blijven, zijn certificaat baseren op NEN 7510:2024 — de eerder afgegeven certificaten op basis van NEN 7510:2017 verlopen dan. Wie nu een externe audit laat uitvoeren op de oude versie, moet dus plannen voor een heraudit op de nieuwe versie binnen afzienbare tijd.

Wie mag een NEN 7510-audit uitvoeren?

Niet elke consultant die zichzelf NEN 7510-expert noemt, mag een formele certificeringsaudit uitvoeren. Voor een officieel certificaat moet de audit worden uitgevoerd door een certificerende instelling (CI) die geaccrediteerd is door de Raad voor Accreditatie (RvA). De RvA is de Nederlandse nationale accreditatie-instantie, die op haar beurt door de EA (European co-operation for Accreditation) erkend is.

Op dit moment zijn er zeven RvA-geaccrediteerde certificerende instellingen die NEN 7510-audits mogen uitvoeren. Dit zijn partijen als Bureau Veritas, BSI, Lloyd's Register, LRQA, DNV, Kiwa en NEN zelf (via partners). De accreditatie garandeert dat de auditors gekwalificeerd zijn, de auditprocessen gestandaardiseerd zijn en de certificaten internationaal erkend worden.

Dit onderscheid is cruciaal: een audit door een niet-geaccrediteerde partij levert geen certificaat op dat door zorgverzekeraars, overheidsinstanties of grote afnemers erkend wordt. Het is vergelijkbaar met een rijbewijs afgegeven door een particuliere rijschool zonder CBR-erkenning — het heeft intern waarde, maar buiten de deur houdt niemand er rekening mee.

Hoe verloopt een externe audit: de twee fasen

Een NEN 7510-certificeringsaudit verloopt altijd in twee fasen, conform de internationale norm voor certificeringsaudits (ISO/IEC 17021).

De eerste fase, ook wel de documentatiereview of Stage 1 genoemd, is een bureauaudit. De auditor beoordeelt uw documentatie: het informatiebeveiligingsbeleid, de scope van het ISMS (Informatiebeveiligingsbeheerssysteem), de risicoanalyse, de Verklaring van Toepasselijkheid (VoT of Statement of Applicability) en de procedures voor incidentbeheer, toegangsbeheer, back-up en herstel, en andere relevante gebieden. Het doel van Stage 1 is vaststellen of uw organisatie klaar is voor de on-site audit — of de documentatie volledig en consistent is en of er geen fundamentele gaten zijn die de Stage 2 audit zinloos zouden maken.

Op basis van Stage 1 ontvangt u een auditrapport met bevindingen. Dit zijn doorgaans geen formele non-conformiteiten, maar aandachtspunten die u voor de Stage 2 audit wilt adresseren. Een goede auditor bespreekt dit openlijk — het doel is niet u te laten falen, maar de audit zo effectief mogelijk te maken.

De tweede fase, Stage 2, is de substantiële on-site audit. De auditor(s) bezoeken uw locaties en toetsen of de gedocumenteerde maatregelen daadwerkelijk worden uitgevoerd in de praktijk. Ze interviewen medewerkers, observeren processen, beoordelen technische configuraties en verzamelen bewijs. De duur van Stage 2 hangt af van de omvang van uw organisatie en de scope van de audit: voor een kleine zorgpraktijk kan dit een dag zijn, voor een middelgrote zorginstelling twee tot vier dagen.

Bevindingen in Stage 2 worden geclassificeerd als majeure non-conformiteiten, mineure non-conformiteiten of verbeterpunten. Een majeure non-conformiteit betekent dat een fundamentele eis van de norm niet wordt nageleefd — dit blokkeert certificaatuitgifte totdat het is opgelost. Een mineure non-conformiteit is minder ernstig maar moet binnen een bepaalde termijn worden opgelost. Verbeterpunten zijn aanbevelingen zonder formele verplichting.

Als de auditor constateert dat alle majeure non-conformiteiten zijn opgelost (of er geen waren), wordt het certificaat uitgegeven. Een NEN 7510-certificaat is drie jaar geldig, mits u jaarlijks een surveillanceaudit ondergaat die controleert of de implementatie op peil blijft.

Voorbereiding: wat u moet regelen voor de audit begint

De meeste organisaties die mislukken bij een externe NEN 7510-audit, hadden zichzelf te optimistisch ingeschat. Ze hadden beveiligingsbeleid op papier staan, maar konden niet aantonen dat het in de praktijk werd gevolgd. De auditor wil bewijs — logs, signatures, trainingsregistraties, incidentrapporten — niet alleen intenties.

Een grondige voorbereiding begint met een gap-analyse: een onafhankelijke beoordeling van hoe uw huidige situatie zich verhoudt tot de norm-eisen. Professionals die gespecialiseerd zijn in NEN 7510 implementatiebegeleiding voeren deze analyses uit en helpen u de gaten te dichten voor de formele audit plaatsvindt. Typisch identificeert een gap-analyse vijf tot twintig verbeterpunten in documentatie, technische maatregelen of organisatorische processen.

De risicoanalyse is het hart van NEN 7510. U moet systematisch alle risico's voor de vertrouwelijkheid, integriteit en beschikbaarheid van patiëntgegevens in kaart brengen, beoordelen en beslissingen nemen over hoe u ermee omgaat (mitigeren, accepteren, overdragen of vermijden). De Verklaring van Toepasselijkheid (VoT) documenteert welke beheersmaatregelen uit de norm u toepast en waarom, en welke u bewust buiten scope laat en waarom.

Training en awareness zijn een specifiek punt dat auditors streng beoordelen. Kunt u aantonen dat uw medewerkers weten hoe ze met patiëntgegevens moeten omgaan, phishing-pogingen herkennen en weten wat ze moeten doen bij een beveiligingsincident? Zonder trainingsregistraties en awareness-programma bent u kwetsbaar op dit punt. Een security awareness training programma levert de evidence die auditors willen zien.

Toegangsbeheer is een ander kritisch gebied. Principe van minimale rechten: heeft iedereen alleen toegang tot de patiëntgegevens die hij of zij nodig heeft voor zijn werk? Zijn er procedures voor het intrekken van rechten bij uitdiensttreding? Worden beheerdersaccounts apart beheerd? Kunt u dit aantonen met logs?

Wat kost een externe NEN 7510-audit?

De kosten voor een NEN 7510 certificeringsaudit variëren sterk, afhankelijk van de omvang van de organisatie, het aantal locaties en de scope. Voor een kleine zorgpraktijk of instelling met 10 tot 50 medewerkers kunt u rekenen op kosten van 5.000 tot 8.000 euro voor de initiële certificering (Stage 1 + Stage 2 samen). Voor middelgrote organisaties met 50 tot 200 medewerkers liggen de auditkosten typisch tussen 8.000 en 15.000 euro. Grotere organisaties met meerdere locaties kunnen oplopen naar 20.000 euro of meer.

Daarboven komen de jaarlijkse surveillanceauditkosten, doorgaans 30 tot 50 procent van de initiële auditkosten per jaar. Na drie jaar is er een heraudit nodig voor hercertificering, vergelijkbaar qua omvang en kosten met de initiële audit.

Tel hier de voorbereidingskosten bij op: consultants, documentatieontwikkeling, technische maatregelen en training. De totale investering voor een middelgrote zorginstelling die vanaf nul begint, inclusief consultancy en implementatie, ligt typisch tussen 25.000 en 75.000 euro over de eerste drie jaar. Dat klinkt als veel, maar één datalek in de zorg kost gemiddeld meer dan 3,7 miljoen euro aan directe kosten (HIPAA Journal, 2024), en dat is exclusief reputatieschade.

De surveillanceaudit: borging na certificering

Het certificaat is niet het eindpunt — het is het begin van een doorlopend beheerproces. Jaarlijkse surveillanceaudits toetsen of uw ISMS operationeel blijft en verbetert. De auditor verwacht te zien dat u interne audits uitvoert, management reviews houdt, corrigerende maatregelen neemt naar aanleiding van non-conformiteiten, en dat u aantoonbaar bezig bent met continue verbetering van uw informatiebeveiliging.

Veel organisaties worstelen hier: de energie en focus die in de aanloop naar de certificeringsaudit zaten, zakken weg zodra het certificaat op de muur hangt. De jaarlijkse interne audit wordt uitgesteld, de risicoanalyse wordt niet bijgewerkt na een grote IT-wijziging, en nieuwe medewerkers ontvangen geen beveiligingstraining omdat er "geen tijd voor is". Precies deze organisaties komen in de problemen bij de eerste surveillanceaudit.

Een goede borging vereist dat iemand expliciet eigenaarschap neemt over het ISMS — een Information Security Officer (ISO) of een functionaris die deze verantwoordelijkheid tijdelijk draagt. Voor kleinere zorginstellingen zonder interne capaciteit is een security audit en assessment via een externe partij een werkbare oplossing om de jaarlijkse toetsing uit te voeren en de benodigde documentatie bij te houden.

De NEN 7510:2024 transitie

De publicatie van NEN 7510:2024 brengt een belangrijke transitieopdracht met zich mee voor alle gecertificeerde organisaties. De nieuwe versie is structureel gewijzigd ten opzichte van NEN 7510:2017 en sluit nauwer aan bij ISO 27001:2022. De veranderingen zijn niet triviaal: er zijn elf nieuwe beheersmaatregelen toegevoegd, de structuur van Bijlage A is geherorganiseerd, en de aandacht voor cloudbeveiliging, dreigingsinformatie en informatiebeveiligingscontinuïteit is substantieel uitgebreid.

Organisaties met een bestaand NEN 7510:2017 certificaat hebben tot februari 2027 om te transitioneren. Dat klinkt ruim, maar in de praktijk is het dit niet. Een transitieaudit vereist dat u de gap-analyse uitvoert voor de nieuwe versie, uw documentatie bijwerkt, nieuwe beheersmaatregelen implementeert en een audit ondergaat door een geaccrediteerde CI. Voor grotere organisaties duurt dit voorbereidingstraject zes tot twaalf maanden. Wie in 2026 pas begint, loopt het risico niet op tijd klaar te zijn.

Nieuwe certificaataanvragen na de publicatiedatum moeten direct voldoen aan NEN 7510:2024 — er is geen mogelijkheid meer om te certificeren op de oude versie.

Waarom externe certificering waardevoller is dan zelfverklaring

In de wereld van informatiebeveiligingsnormen is zelfverklaring — waarbij een organisatie zegt zelf getoetst te hebben en aan de norm te voldoen — de zwakste vorm van compliance. Externe certificering door een geaccrediteerde CI is de sterkste. Het verschil zit in onafhankelijkheid en geloofwaardigheid.

Zorgverzekeraars, gemeenten en andere inkopers in de zorg beginnen steeds vaker te eisen dat zorginstellingen een geldig NEN 7510-certificaat kunnen overleggen als voorwaarde voor contractering. De Autoriteit Persoonsgegevens (AP), die toezicht houdt op naleving van de AVG in de zorg, beschouwt NEN 7510-certificering als een sterke aanwijzing voor passende beveiliging. En patiënten zelf — al zijn ze zich zelden bewust van de norm — zijn beter beschermd bij organisaties die aantoonbaar aan de norm voldoen.

Een gecombineerde aanpak, waarbij NEN 7510 wordt gebruikt als basis en ISO 27001 externe audit wordt ingezet voor de bredere organisatie-IT buiten de zorggrenzen, geeft de meest complete beveiligingsborging. De twee normen overlappen sterk, waardoor gecombineerde audits efficiënter en goedkoper zijn dan twee separate trajecten.

De drempel voor een externe NEN 7510-audit is de afgelopen jaren gedaald: er zijn meer geaccrediteerde aanbieders, de markt voor NEN 7510-consultancy is gerijpt, en tooling voor ISMS-beheer is betaalbaarder geworden. Er is dan ook geen goede reden meer om het uit te stellen — zeker niet nu de NIS2-richtlijn de druk vanuit wet- en regelgeving verder vergroot.

Veelgemaakte fouten bij de auditvoorbereiding

De meest voorkomende fout is het onderschatten van de auditvoorbereiding. Organisaties die denken dat "onze beveiliging wel op orde is" en zonder grondige gap-analyse de audit inlopen, worden doorgaans geconfronteerd met meerdere majeure non-conformiteiten. Het resultaat: de audit mislukt, de herstelwerkzaamheden kosten extra tijd en geld, en de gecertificeerde status wordt later bereikt dan gepland.

Een tweede veelgemaakte fout is het opstellen van documentatie die niet de werkelijkheid weerspiegelt. Auditors zijn getraind in het detecteren van papieren tijgers: beleidsdocumenten die prachtig klinken maar niet worden nageleefd. Ze interviewen medewerkers op de werkvloer, niet alleen het management. Als een verpleegkundige niet weet wat het beveiligingsbeleid inhoudt of hoe een incident gemeld moet worden, is dat een directe bevinding — ook al staat het protocol perfect gedocumenteerd.

Een derde fout is de risicoanalyse behandelen als een eenmalige exercitie. De norm vereist dat u risico's periodiek herbeoordeelt, zeker na significante wijzigingen in uw IT-omgeving, uw processen of uw organisatie. Een fusie, een migratie naar de cloud, een nieuwe EPD-implementatie — allemaal aanleiding voor een herziening van de risicoanalyse. Organisaties die dit vergeten, worden tijdens de surveillanceaudit geconfronteerd met een verouderde risicoanalyse die niet meer de actuele situatie reflecteert.

Een vierde fout is het niet betrekken van het management. NEN 7510 vereist aantoonbare betrokkenheid van de directie: een beveiligingsbeleid dat door de directie is ondertekend, management reviews die worden gehouden en gedocumenteerd, en voldoende middelen die beschikbaar worden gesteld voor informatiebeveiliging. Organisaties waar de CISO of IT-manager de enige is die zich bezighoudt met de norm — terwijl het management niet weet wat er speelt — hebben een structureel compliance-probleem.

Praktische tips voor een succesvolle audit

Begin minimaal zes maanden voor de geplande auditdatum met de voorbereiding, en twaalf maanden als uw organisatie nog geen ISMS heeft. Huur een ervaren implementatieconsultant in die eerder organisaties vergelijkbaar met de uwe succesvol door het auditproces heeft geloodst. Voer een interne audit uit twee tot drie maanden voor de externe audit — dit geeft tijd om bevindingen op te lossen.

Wees open en transparant met uw auditor. Auditors zijn niet uw vijanden; hun doel is te toetsen of uw beveiligingsaanpak doeltreffend is. Een auditor die merkt dat een organisatie probeert problemen te verbergen, zal kritischer worden en dieper graven. Een organisatie die openlijk zegt "hier hebben we een zwak punt en dit is hoe we het aanpakken" maakt een professionelere indruk.

Zorg voor een centraal ISMS-dossier met alle relevante documentatie — beleid, procedures, risicoanalyse, VoT, auditverslagen, trainingsregistraties, incidentlogs — in een geordende structuur die de auditor eenvoudig kan doorbladeren. Dit bespaart enorm veel tijd tijdens de audit zelf en geeft een professionele indruk.

Combineer de NEN 7510-audit waar mogelijk met een cybersecurity risicoanalyse die breder kijkt dan alleen de norm-eisen. Dit geeft een rijker beeld van uw werkelijke risicopositie en helpt u prioriteiten te stellen voor verdere beveiligingsinvesteringen bovenop de norm-minimale eisen.

De externe NEN 7510-audit is uiteindelijk geen doel op zich, maar een middel om aantoonbaar te maken dat u patiëntgegevens serieus beschermt. In een sector waar vertrouwen de basis is van de relatie tussen zorgverlener en patiënt, is dat niet alleen een wettelijke verplichting — het is een fundamenteel onderdeel van professionele zorgverlening.