NEN 7510: informatiebeveiliging in de zorg

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. De IGJ en Autoriteit Persoonsgegevens gebruiken de norm als toetsingskader. Als je werkt met patiëntgegevens, moet je voldoen aan deze norm. Certificering bewijst dat je de informatiebeveiliging op orde hebt.

Wat is NEN 7510?

NEN 7510 beschrijft hoe zorgorganisaties moeten omgaan met de beveiliging van gezondheidsinformatie. De norm is ontwikkeld door het Nederlands Normalisatie-instituut (NEN) en is specifiek toegespitst op de Nederlandse zorgsector.

De kern: zorg dat patiëntgegevens beschikbaar, integer en vertrouwelijk zijn. Beschikbaar betekent dat zorgverleners erbij kunnen wanneer nodig. Integer betekent dat de gegevens correct en volledig zijn. Vertrouwelijk betekent dat alleen bevoegden toegang hebben.

NEN 7510 is gebaseerd op ISO 27001, de internationale norm voor informatiebeveiliging. Ongeveer 80% overlapt. Maar NEN 7510 voegt zorgspecifieke eisen toe: logging van toegang tot patiëntdossiers, beveiliging van medische apparatuur, en regels voor gegevensuitwisseling in de zorgketen.

NEN 7510 is gratis te downloaden via NEN Connect . Het ministerie van VWS heeft dit mogelijk gemaakt zodat alle zorgorganisaties toegang hebben.

De onderdelen van NEN 7510

NEN 7510 bestaat uit meerdere delen die samen het complete raamwerk vormen:

NEN 7510-1 beschrijft het managementsysteem: hoe je informatiebeveiliging organiseert, van beleid tot verbetering. Dit is het deel waarop je gecertificeerd wordt.

NEN 7510-2 bevat de beheersmaatregelen: concrete maatregelen die je kunt treffen, van toegangsbeheer tot encryptie. Dit is de “menukaart” waaruit je kiest op basis van je risico’s.

NEN 7512 gaat over vertrouwensbasis voor gegevensuitwisseling. Hoe weet je zeker dat je gegevens uitwisselt met de juiste partij?

NEN 7513 specificeert de eisen aan logging. Wie heeft wanneer welke patiëntgegevens bekeken? Dit is cruciaal voor verantwoording en onderzoek bij incidenten.

Voor wie is NEN 7510?

De norm is relevant voor alle organisaties die werken met patiëntgegevens of gezondheidsinformatie. In de praktijk gaat het om de volgende organisaties.

Zorgaanbieders zoals ziekenhuizen, huisartsenpraktijken, apotheken, GGZ-instellingen, verpleeghuizen, fysiotherapiepraktijken en thuiszorgorganisaties moeten voldoen aan NEN 7510. Voor kleine praktijken gelden dezelfde principes, maar de aanpak kan eenvoudiger.

Leveranciers aan de zorg die patiëntgegevens verwerken of toegang hebben tot zorgsystemen krijgen steeds vaker de eis om NEN 7510 gecertificeerd te zijn. Denk aan EPD-leveranciers, IT-beheerders, softwareontwikkelaars en hostingpartijen. Lees meer over NEN 7510 voor IT-leveranciers.

Ondersteunende diensten zoals zorgverzekeraars, laboratoria, factureerders en administratiekantoren die gezondheidsgegevens verwerken.

Sinds 2023 moeten ziekenhuizen aantoonbaar voldoen aan NEN 7510. De Inspectie Gezondheidszorg en Jeugd (IGJ) controleert hierop na incidenten met ICT-veiligheid.

Is NEN 7510 verplicht?

Dit is een genuanceerd verhaal. Certificering is formeel niet wettelijk verplicht. Maar de inhoud van de norm geldt wel als de maatstaf voor informatiebeveiliging in de zorg.

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verwijst naar NEN 7510. Zorgaanbieders moeten “passende technische en organisatorische maatregelen” nemen om persoonsgegevens te beveiligen. NEN 7510 beschrijft wat “passend” betekent.

Als er iets misgaat, bijvoorbeeld een datalek of een ransomware-aanval, kijken toezichthouders naar NEN 7510. Voldeed je eraan? Kun je dat aantonen? Certificering is dan het sterkste bewijs.

In de praktijk is NEN 7510 vaak verplicht via andere wegen:

Zorgverzekeraars eisen het in contracten
Samenwerkingspartners stellen het als voorwaarde
Gemeenten vragen het bij aanbestedingen voor Wmo en Jeugdzorg
Grote zorginstellingen eisen het van hun leveranciers

Waarom certificering?

Je kunt voldoen aan NEN 7510 zonder certificaat. Maar certificering biedt concrete voordelen die het de moeite waard maken.

Aantoonbaarheid is het belangrijkste argument. Een certificaat bewijst aan klanten, toezichthouders en samenwerkingspartners dat je informatiebeveiliging op orde is. Zonder certificaat moet je dit telkens opnieuw uitleggen en bewijzen.

Contractuele eisen maken certificering steeds vaker noodzakelijk. Grote zorginstellingen eisen NEN 7510 van leveranciers. Zonder certificaat geen opdracht.

Risicoreductie door het systematisch identificeren en beheersen van risico’s. Een certificeringstraject dwingt je om alle aspecten van informatiebeveiliging door te lichten.

Minder toezichtlast is een praktisch voordeel. De IGJ neemt een certificaat mee in haar risico-inschatting. Gecertificeerde organisaties krijgen minder intensief toezicht.

NEN 7510 en ISO 27001

NEN 7510 is gebaseerd op ISO 27001. De structuur is identiek, veel eisen overlappen. Als je al ISO 27001 hebt, is de stap naar NEN 7510 klein: je voegt de zorgspecifieke eisen toe.

Andersom: als je start met NEN 7510, heb je een solide basis voor ISO 27001. Nuttig als je ook klanten buiten de zorg bedient of internationaal actief wilt worden.

De keuze hangt af van je situatie. Puur zorgorganisatie in Nederland? NEN 7510 is voldoende en het meest relevant. IT-leverancier aan zorg én andere sectoren? Overweeg beide. Internationaal actief? ISO 27001 voor de internationale erkenning, NEN 7510 voor de Nederlandse zorgmarkt.

Lees meer over de verschillen tussen NEN 7510 en ISO 27001.

De actuele versie: NEN 7510:2024

In december 2024 is de vernieuwde NEN 7510:2024 gepubliceerd. Deze versie is afgestemd op de nieuwste versies van ISO 27001 en ISO 27002. Ook is er een duidelijke mapping naar de NIS2-richtlijn en Cyberbeveiligingswet toegevoegd.

Organisaties die al gecertificeerd zijn, moeten vóór 20 februari 2027 overstappen naar de nieuwe versie. Dit is een transitieperiode van twee jaar. Nieuwe certificeringen worden afgegeven op basis van NEN 7510:2024.

Wat kost NEN 7510 certificering?

De kosten hangen af van de grootte en complexiteit van je organisatie. Een kleine huisartsenpraktijk is anders dan een groot ziekenhuis.

Reken voor een gemiddelde zorgorganisatie op:

Implementatie: €10.000 - €50.000 (afhankelijk van de huidige situatie)
Certificeringsaudit: €5.000 - €15.000 per jaar
Onderhoud en jaarlijkse audits: €3.000 - €10.000 per jaar

Lees meer over kosten en doorlooptijd.

Hoe begin je?

De route naar NEN 7510 certificering volgt een logisch pad. Begin met een gap-analyse: waar sta je nu ten opzichte van de norm? Dit geeft richting aan je implementatieproject.

Vervolgens bouw je een informatiebeveiligingsmanagementsysteem (ISMS): beleid, procedures, maatregelen. Je voert een risicoanalyse uit en implementeert de benodigde beheersmaatregelen. Na interne audits en verbeteringen vraag je de certificeringsaudit aan.

Bekijk het stappenplan voor een gedetailleerde uitwerking.

Belangrijke links

Stappenplan Kosten en tijdlijn Eisen van de norm Het auditproces Risicoanalyse NEN 7513: logging Voor kleine praktijken Voor IT-leveranciers

Externe bronnen

NEN 7510 bij NEN - De officiële norm en ondersteunende documenten
IGJ over informatiebeveiliging - Toezichthouder voor de zorg
Z-CERT - Computer Emergency Response Team voor de zorg
Autoriteit Persoonsgegevens - Toezichthouder voor privacy