NEN 7510 Implementatiebegeleiding

Informatiebeveiliging in de zorg: van verplichting naar werkbare praktijk

Patiëntgegevens zijn de meest gevoelige persoonsgegevens die er bestaan. Een gelekt medisch dossier kan iemands baan kosten, relaties verwoesten of levensgevaarlijk zijn als het de verkeerde persoon bereikt. Tegelijkertijd worden zorginstellingen steeds vaker aangevallen: ransomware die ziekenhuizen platlegt, phishing die EPD-toegang steelt, insiders die dossiers raadplegen zonder medische noodzaak. De druk om informatiebeveiliging serieus te nemen is nog nooit zo groot geweest.

NEN 7510 is de Nederlandse norm die deze beveiliging structureert. Ze beschrijft wat een zorginstelling moet doen om informatiebeveiliging op een aantoonbaar niveau te brengen en te houden. Niet als losse technische maatregelen, maar als een samenhangend managementsysteem — het Information Security Management System, of ISMS — dat de hele organisatie omvat: techniek, mensen, processen en beleid.

Implementatie van NEN 7510 duurt gemiddeld 12 tot 18 maanden voor een middelgrote zorginstelling (Bron: IBM Cost of a Data Breach Report 2024). Dat is geen ambtelijke traagheid, maar een reflectie van de werkelijke omvang: u bouwt een systeem dat structureel verandert hoe uw organisatie met informatie omgaat. Wie denkt dat het in een paar maanden kan, onderschat de taak. Wie er jaar na jaar mee wacht, loopt oplopende risico's — zowel qua beveiliging als qua wettelijke compliance.

De wettelijke grondslag en normstructuur

NEN 7510 vindt zijn wettelijke basis in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), die zorgaanbieders verplicht tot passende technische en organisatorische maatregelen. De norm bestaat niet op zichzelf: NEN 7510 is de overkoepelende norm, aangevuld door NEN 7512 (specifiek voor elektronische informatie-uitwisseling in de zorg), NEN 7513 (logging van toegang tot EPD's) en NEN 7515 (toestemming van de patiënt voor inzage).

De structuur van NEN 7510:2024 is gebaseerd op ISO 27001:2022, met aanvullende zorgeisen. De norm werkt via de Plan-Do-Check-Act cyclus (PDCA): u plant uw beveiligingsmaatregelen, implementeert ze, controleert of ze werken, en verbetert waar nodig. Dit is geen eenmalig project maar een continu proces — informatiebeveiligingsbeheer is nooit af.

De norm kent twee hoofdcomponenten. Het eerste deel beschrijft de managementsysteemeisen: leiderschap, planning, ondersteuning, uitvoering, evaluatie en verbetering. Het tweede deel, Bijlage A, bevat 93 beheersmaatregelen (in NEN 7510:2024) verdeeld over vier thema's: organisatorisch, medewerkers, fysiek en technologisch. Niet alle maatregelen zijn voor elke organisatie verplicht — u maakt een bewuste keuze welke maatregelen van toepassing zijn op basis van uw risicoanalyse, en legt dit vast in de Verklaring van Toepasselijkheid.

Stap één: scope en context bepalen

De eerste en meest onderschatte stap is het bepalen van de scope van uw ISMS. Welke informatiesystemen, processen en locaties vallen onder de norm? Een groot ziekenhuis kan ervoor kiezen om de scope te beginnen bij één afdeling of één informatiesysteem (het EPD, de radiologiesystemen) en later uit te breiden. Een kleine huisartsenpraktijk zal de gehele praktijkvoering in scope nemen.

De scope moet realistisch zijn: te breed en de implementatie wordt onbeheersbaar, te nauw en het certificaat dekt niet de kritieke systemen. Een zorginstelling die haar EPD buiten scope plaatst om de implementatie eenvoudiger te maken, mist het punt volledig.

Context bepalen betekent ook begrijpen wie uw stakeholders zijn en wat ze van u verwachten qua informatiebeveiliging: patiënten, personeel, zorgverzekeraars, gemeenten, de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd (IGJ), en in sommige gevallen het NCSC. Elk van deze partijen heeft belangen en verwachtingen die uw ISMS moet adresseren.

Stap twee: risicoanalyse als fundament

De risicoanalyse is het hart van elke NEN 7510-implementatie. U identificeert systematisch alle informatieassets in scope, stelt vast welke risico's er zijn voor de vertrouwelijkheid, integriteit en beschikbaarheid van die assets, beoordeelt de kans en impact van elk risico, en besluit hoe u ermee omgaat. Er zijn vier opties: het risico mitigeren (maatregelen nemen), accepteren (bewust ermee leven), overdragen (verzekeren of uitbesteden) of vermijden (de activiteit stoppen).

Een goede risicoanalyse in de zorg identificeert risico's op meerdere niveaus. Technische risico's: kwetsbaarheden in software, netwerktoegang, configuratiefouten. Menselijke risico's: phishing, verkeerd verzonden e-mails, verloren laptops, ongeautoriseerde inzage. Organisatorische risico's: ontbrekende procedures, slechte toegangscontrole, geen back-up testbeleid. Externe risico's: ransomware-aanvallen, datalekken bij leveranciers, stroomuitval.

Leveranciers verdienen speciale aandacht. Vrijwel elke zorginstelling maakt gebruik van externe leveranciers die toegang hebben tot of patiëntgegevens verwerken — EPD-aanbieders, cloudproviders, schoonmaakbedrijven met toegang tot IT-ruimtes, externe medewerkers. Elk van deze leveranciers is een potentieel risico en moet worden meegenomen in de risicoanalyse en de beheersmaatregelen. De norm vereist dat u verwerkersovereenkomsten afsluit en periodiek toetst of leveranciers aan uw beveiligingseisen voldoen.

Stap drie: beleid en documentatie opbouwen

Op basis van de risicoanalyse stelt u een set beleidsdocumenten en procedures op. Het informatiebeveiligingsbeleid is het overkoepelende document dat de ambitie en aanpak van de organisatie beschrijft — ondertekend door de directie als blijk van betrokkenheid. Daaronder komen specifieke procedures: toegangsbeheerbeleid, incidentmanagementprocedure, back-up- en herstelbeleid, wachtwoordbeleid, classificatiebeleid voor informatie, en meer.

De Verklaring van Toepasselijkheid (VoT) is een specifiek vereist document dat per beheersmaatregel uit Bijlage A aangeeft of deze van toepassing is, en zo ja, hoe deze geïmplementeerd is, en zo nee, waarom niet. De VoT is een levend document dat bijgewerkt wordt wanneer de scope of risicosituatie verandert.

Een veelgemaakte fout is het kopiëren van documentatie van andere organisaties of van internetsjablonen zonder deze aan te passen aan de eigen situatie. Auditors herkennen dit onmiddellijk: de documenten kloppen niet met de werkelijkheid van de organisatie, medewerkers herkennen de procedures niet, en de risicoanalyse sluit niet aan bij de geschreven maatregelen. Maak uw documentatie authentiek en specifiek voor uw organisatie.

Stap vier: technische en organisatorische maatregelen implementeren

Met de documentatie op orde begint het daadwerkelijke implementatiewerk. De beheersmaatregelen uit Bijlage A worden geïmplementeerd in de volgorde die uw risicoanalyse dicteert — begin met de hoogste risico's, niet met de eenvoudigste maatregelen.

Toegangsbeheer is voor de meeste zorginstellingen een prioriteit. Wie heeft toegang tot welke patiëntdossiers? Is dat gebaseerd op het principe van minimale rechten (least privilege)? Worden rechten ingetrokken bij uitdiensttreding of rolwijziging? Worden beheerdersaccounts apart beheerd met verhoogde beveiligingseisen? De implementatie van multi-factor authenticatie voor toegang tot EPD's en andere kritieke systemen is inmiddels een basisvereiste die auditors verwachten te zien.

Netwerksegmentatie is een andere veelgevraagde maatregel: zorg dat medische apparatuur (infuuspompen, scanners, monitors) op een gescheiden netwerksegment staat, zodat een inbreuk op dit segment niet automatisch toegang geeft tot het EPD of administratieve systemen. Network Access Control, waarbij apparaten worden geverifieerd voordat ze toegang krijgen tot het netwerk, ondersteunt dit. Voor de netwerktechnische kant kan Network Access Control een effectieve maatregel zijn.

Logging en monitoring zijn essentieel en worden door NEN 7513 specifiek geadresseerd voor EPD-toegang: u moet kunnen aantonen wie wanneer welk patiëntdossier heeft ingezien. Dit vereist dat uw EPD-systeem gedetailleerde logs bijhoudt en dat u een proces heeft om die logs periodiek te controleren op afwijkingen. Een SIEM als dienst kan helpen bij het centraal verzamelen en analyseren van security-logs.

Fysieke beveiliging wordt vaak vergeten in de focus op digitale maatregelen. Wie heeft fysieke toegang tot serverruimtes? Worden bezoekersregistraties bijgehouden? Worden werkstations automatisch vergrendeld bij inactiviteit? Worden fysieke dossiers en printruns van patiëntgegevens beveiligd?

Stap vijf: bewustzijn en training

Technische maatregelen kunnen niet functioneren zonder medewerkers die begrijpen waarom ze er zijn en hoe ze ermee omgaan. NEN 7510 vereist aantoonbaar bewustzijn bij alle medewerkers die te maken hebben met patiëntgegevens — en dat is in een zorginstelling vrijwel iedereen.

Awareness-training moet meer zijn dan een jaarlijkse e-learningmodule die iedereen doorklikt zonder te lezen. Effectieve training maakt het concreet: wat zijn de risico's in uw specifieke werkomgeving? Wat doet u als u een phishing-e-mail ontvangt? Wat is de procedure bij een verloren laptop of een verdachte inlogpoging? Hoe meldt u een beveiligingsincident?

Trainingsregistraties zijn bewijsmateriaal voor de auditor: wie heeft wanneer welke training afgerond? Zijn nieuwe medewerkers getraind voor ze toegang krijgen tot patiëntgegevens? Worden jaarlijkse herhalingstrainingen bijgehouden?

De vijf meest gemaakte fouten bij NEN 7510-implementaties

De eerste fout is te laat beginnen. Organisaties die 12 maanden voor een gewenste auditdatum beginnen, halen het zelden. Een realistisch tijdpad voor een middelgrote zorginstelling die van nul begint is 18 maanden, inclusief alle implementatiewerkzaamheden, een interne audit, hercorrectie en de formele externe audit.

De tweede fout is informatiebeveiliging als IT-project behandelen. NEN 7510 is een organisatiebrede norm — het gaat om beleid, mensen en processen evenzeer als om technologie. Als de implementatie volledig bij de IT-afdeling wordt neergelegd zonder betrokkenheid van HR, facilitair, management en zorgpersoneel, ontstaan er blinde vlekken die auditors direct zien.

De derde fout is kopiëren zonder contextualiseren, zoals eerder beschreven: sjablonen gebruiken die niet aansluiten bij de werkelijke situatie van de organisatie.

De vierde fout is een oppervlakkige risicoanalyse die risico's identificeert op een te hoog abstractieniveau. "Het EPD kan gehackt worden" is geen bruikbare risicobeschrijving voor NEN 7510. U moet specificeren: via welk aanvalspad, met welke kans, met welke impact, en welke concrete maatregel dit risico mitigeert.

De vijfde fout is complacency na certificering: het certificaat hangen, de consultant bedanken en doorgaan met de waan van de dag. Informatiebeveiliging is een continu proces. Jaarlijkse interne audits, bijgewerkte risicoanalyses, herziening van procedures bij organisatiewijzigingen — dit zijn verplichtingen, geen aanbevelingen. Wie hier niet in investeert, zal bij de eerste surveillanceaudit voor verrassingen komen te staan.

NEN 7510 en NIS2: de overlap benutten

De Europese NIS2-richtlijn, die zorginstellingen boven een bepaalde drempelwaarde rechtstreeks raakt, stelt eisen die sterk overlappen met NEN 7510. Risicoanalyse, toegangsbeveiliging, incidentrapportage (24 uur voor eerste melding, 72 uur voor gedetailleerd rapport), ketenbeveiliging bij leveranciers, back-up en herstel — dit zijn allemaal gebieden die zowel NEN 7510 als NIS2 adresseren.

Een slimme implementatiestrategie bouwt het ISMS zo dat het beide normen dekt. Dit vereist enige aanvullende documentatie — NIS2 heeft specifieke eisen voor het rapporteren van incidenten aan de toezichthouder (in Nederland het NCSC of de sectorale autoriteit) die niet één op één overeenkomen met NEN 7510 — maar de kern van het werk is grotendeels gemeenschappelijk. Specialisten in NIS2 compliance begeleiding kunnen helpen om de NIS2-laag bovenop een bestaande NEN 7510-implementatie te leggen met minimale extra inspanning.

Wie investeert in NEN 7510-implementatiebegeleiding, bouwt aan meer dan een certificaat. Ze bouwen aan een organisatie die patiëntgegevens structureel beschermt, die aantoonbaar voldoet aan wettelijke eisen, en die beter bestand is tegen de cyberdreigingen die de zorgsector dagelijks treffen. Dat is de échte waarde van NEN 7510.

Kosten en tijdsinvestering: realistische verwachtingen

Voor een kleine zorgpraktijk met minder dan 20 medewerkers kunt u rekenen op een implementatietraject van 9 tot 12 maanden met externe consultancykosten tussen 10.000 en 25.000 euro, plus interne uren van medewerkers die documentatie opstellen, trainingen volgen en implementaties ondersteunen. De certificeringsaudit zelf kost aanvullend 5.000 tot 8.000 euro bij een geaccrediteerde certificerende instelling (Bron: NCSC / Digitale Overheid).

Voor middelgrote zorginstellingen van 50 tot 250 medewerkers — denk aan een revalidatiekliniek, een GGZ-instelling of een regionale thuiszorgorganisatie — liggen de implementatiekosten typisch tussen 25.000 en 60.000 euro voor consultancy, inclusief risicoanalyse, documentatieontwikkeling en implementatieondersteuning. De auditkosten bedragen dan 8.000 tot 15.000 euro voor de initiële certificering.

Grotere ziekenhuizen en zorgconcerns met meerdere locaties kunnen rekenen op trajecten van 12 tot 24 maanden met totaalkosten — consultancy, technische maatregelen, training en certificering — van 100.000 euro of meer. Voor hen is de vraag niet of ze het kunnen betalen, maar of ze zich de kosten van niet-implementeren kunnen veroorloven: één datalek of ransomware-aanval kost een ziekenhuis gemiddeld 3 tot 5 miljoen euro aan directe schade, herstelkosten en reputatieschade.

Naast de directe implementatiekosten zijn er de jaarlijkse onderhoudskosten: surveillanceaudits (30 tot 50 procent van de initiële auditkosten), interne auditcapaciteit, bijwerken van documentatie, herhaaltraining voor medewerkers, en eventuele technische maatregelen die voortvloeien uit jaarlijkse risicoherbeoordelingen.

Rol van de implementatiebegeleider

Veel zorginstellingen kiezen ervoor om het NEN 7510-traject niet volledig intern uit te voeren, maar externe expertise in te huren. Een gespecialiseerde implementatiebegeleider brengt kennis van de norm, ervaring met auditprocessen en een onafhankelijk perspectief mee dat intern moeilijk te repliceren is.

Een goede implementatiebegeleider doet meer dan documentatie schrijven. Ze voeren de gap-analyse uit, begeleiden de risicoanalyse, helpen de scope te bepalen, coachen interne medewerkers in hun rol bij het ISMS, en bereiden de organisatie voor op de externe audit. Ze weten wat auditors zoeken, welke valkuilen er zijn en hoe u die vermijdt.

Bij het selecteren van een implementatiebegeleider zijn een paar criteria belangrijk. Ten eerste: heeft de begeleider aantoonbare ervaring met NEN 7510 specifiek in de zorg? ISO 27001-kennis is niet voldoende — de zorgeisen en de regulatoire context zijn specifiek. Ten tweede: heeft de begeleider referenties bij organisaties vergelijkbaar met de uwe (zelfde omvang, vergelijkbaar zorgtype)? Ten derde: begrijpt de begeleider zowel de technische als de organisatorische dimensie van informatiebeveiliging?

Vermijd begeleiders die beweren dat ze het traject in drie maanden kunnen afronden voor een fractie van de gangbare kosten. NEN 7510-implementatie kost tijd, en shortcuts resulteren in een ISMS dat op papier goed ziet maar in de praktijk niet werkt — wat u direct terugziet in de eerste surveillanceaudit.

De toekomst: NEN 7510:2024 en cloudbeveiliging

De meest recente versie van de norm, NEN 7510:2024, geeft substantieel meer aandacht aan cloudbeveiliging dan zijn voorganger. Dit is niet toevallig: de zorgsector maakt in hoog tempo de overstap naar cloud-gebaseerde EPD's, diagnostische systemen en communicatieplatformen. Het gebruik van cloud brengt nieuwe risico's met zich mee, maar maakt ook nieuwe beveiligingsmogelijkheden beschikbaar.

Specifieke nieuwe beheersmaatregelen in NEN 7510:2024 adresseren onderwerpen als gebruik van clouddiensten, dreigingsinformatie, informatiebeveiliging voor ICT-dienstverleners, en web filtering. Voor zorginstellingen die in de cloud werken of plannen daarheen te migreren, is een tijdige uitlijning op de nieuwe versie van de norm essentieel.

De norm erkent ook dat informatiebeveiliging in de zorg niet stopt aan de grenzen van één organisatie. Patiëntengegevens stromen via ketens: van huisarts naar specialist, van ziekenhuis naar apotheek, van thuiszorg naar gemeente. Ketenbeveiliging — het controleren of alle partijen in de keten adequate beveiligingsmaatregelen nemen — is een expliciete vereiste geworden. Dit vereist niet alleen verwerkersovereenkomsten, maar ook daadwerkelijke toetsing van de beveiliging bij leveranciers en samenwerkingspartners.

Wie nu begint met NEN 7510-implementatie, doet er verstandig aan direct op NEN 7510:2024 te implementeren in plaats van op de 2017-versie. De transitiedeadline van februari 2027 is dichterbij dan ze lijkt voor een organisatie die een volledig implementatietraject moet doorlopen. Een gecombineerde aanpak die naast NEN 7510 ook de grondslagen legt voor ISO 27001 implementatiebegeleiding voor de bredere organisatie-IT buiten de zorggrenzen, geeft de meest efficiënte route naar een volledig gedekte, gecertificeerde informatiebeveiligingsomgeving.

Incidentbeheer: voorbereiding op het moment dat het misgaat

Geen beveiligingssysteem is waterdicht. Hoe goed de maatregelen ook zijn, er zal op een dag een incident plaatsvinden — een medewerker die op een phishing-link klikt, een laptop die verloren gaat, een leverancier die gehackt wordt. NEN 7510 eist dat u hierop voorbereid bent: een gedocumenteerde incidentmanagementprocedure, duidelijke rollen en verantwoordelijkheden, en een bewezen herstelcapaciteit.

Concreet betekent dit: een procedure die beschrijft hoe medewerkers een incident melden, wie het onderzoekt, wie beslissingen neemt over response en communicatie, en wanneer de Autoriteit Persoonsgegevens (AP) gemeld moet worden. Meldplichten zijn strict: datalekken met een hoog risico voor betrokkenen moeten binnen 72 uur bij de AP gemeld worden, en in sommige gevallen ook aan de betrokken patiënten zelf.

Het testen van de incidentrespons via een tabletop-oefening — waarbij sleutelfunctionarissen een gesimuleerd scenario doorlopen zonder echte systemen te raken — is een waardevolle manier om te controleren of de procedures werken in de praktijk. Veel zorginstellingen ontdekken tijdens zo'n oefening dat communicatielijnen onduidelijk zijn, dat rollen niet goed belegd zijn, of dat de technische herstelcapaciteit beperkter is dan gedacht. Beter om dit in een oefening te ontdekken dan tijdens een echte crisis. Specialisten in cybersecurity crisisoefeningen kunnen dit proces begeleiden en zorgen voor een realistische, leerzame simulatie.

Informatiebeveiliging in de zorg is uiteindelijk een kwestie van vertrouwen. Patiënten geven hun meest persoonlijke informatie in uw handen, met de verwachting dat u die zorgvuldig behandelt. NEN 7510-implementatie is de manier waarop u aantoont dat u dit vertrouwen waardig bent — niet alleen in woorden, maar in aantoonbare, gecertificeerde daden.