NEN 7510-checklist: bent u klaar voor certificering?
Deze checklist helpt u snel te zien waar u staat ten opzichte van NEN 7510 . Per hoofdstuk van de norm staat de kernvraag die de auditor stelt en de bewijzen die hij verwacht. Gebruik hem als voorbereiding op uw interne audit of als laatste check voor de certificeringsaudit. De eisen van de norm lichten elk punt inhoudelijk toe.
NEN 7510:2024 is de actuele versie. Werkt uw organisatie nog met een ouder systeem? Dan gelden dezelfde hoofdstukken, maar controleer of uw documentatie aansluit op de herziene maatregelenlijst.
Hoe gebruikt u deze checklist?
Loop de tabel per hoofdstuk door. Markeer elk punt als gereed, deels gereed of nog te doen. Punten die u als “deels gereed” of “nog te doen” markeert, zijn de gaps die u vóór de audit moet aanpakken.
Een tip: doorloop de checklist niet alleen achter uw bureau. Loop ook de praktijk in. Weet een willekeurige medewerker wat hij bij een phishing-mail moet doen? Zijn de serverruimtes echt afgesloten? De auditor controleert precies dat.
Hoofdstuk 4: context van de organisatie
Dit hoofdstuk gaat over begrijpen in welke omgeving u opereert. Zonder die context kunt u geen goed beveiligingssysteem bouwen.
| Eis | Bewijs dat u nodig hebt | Gereed? |
|---|---|---|
| Interne en externe factoren gedocumenteerd | Contextanalyse of SWOT-achtig overzicht | ☐ |
| Belanghebbenden en hun eisen bepaald | Lijst van stakeholders (IGJ, patiënten, verzekeraars) met hun eisen | ☐ |
| Scope van het ISMS vastgesteld en gedocumenteerd | Scopedocument, goedgekeurd door directie | ☐ |
| Grenzen van de scope logisch en niet kunstmatig afgebakend | Auditor kan de redenering volgen | ☐ |
Hoofdstuk 5: leiderschap
Directiebetrokkenheid is een kerneis. De auditor zoekt bewijs van echte betrokkenheid, niet een handtekening op een document.
| Eis | Bewijs dat u nodig hebt | Gereed? |
|---|---|---|
| Informatiebeveiligingsbeleid vastgesteld door directie | Beleidsdocument, getekend en gedateerd | ☐ |
| Beleid gecommuniceerd aan medewerkers | Trainingsregistraties, intranet, notulen | ☐ |
| Rollen en verantwoordelijkheden toegewezen | Taakomschrijvingen of organigram | ☐ |
| Directie aantoonbaar betrokken bij ISMS-beslissingen | Notulen directiebeoordeling | ☐ |
Hoofdstuk 6: planning
Planning gaat over risico’s aanpakken voordat ze schade veroorzaken.
| Eis | Bewijs dat u nodig hebt | Gereed? |
|---|---|---|
| Risicoanalyse uitgevoerd met gedocumenteerde methodiek | Risicoregister met kans, impact en eigenaren | ☐ |
| Zorgspecifieke risico’s meegenomen (patiëntdata, medische apparatuur) | Risico’s specifiek voor uw zorgpraktijk in het register | ☐ |
| Risicobehandeling bepaald per risico | Risicobehandelingsplan | ☐ |
| Verklaring van Toepasselijkheid (VvT) opgesteld | VvT met onderbouwing per maatregel | ☐ |
| Informatiebeveiligingsdoelstellingen vastgesteld | Meetbare doelstellingen per afdeling of niveau | ☐ |
De VvT is een van de eerste documenten die de auditor opvraagt. Zorg dat per maatregel uit NEN 7510-2 staat aangegeven of u hem hebt geselecteerd en waarom. Ontbrekende onderbouwing is een veelvoorkomende afwijking.
Hoofdstuk 7: ondersteuning
Heeft u de middelen en mensen om het systeem draaiende te houden?
| Eis | Bewijs dat u nodig hebt | Gereed? |
|---|---|---|
| Benodigde middelen beschikbaar (mensen, budget, tooling) | Projectplan of begroting | ☐ |
| Competenties medewerkers bepaald en geborgd | Functieprofielen, diplomas, certificaten | ☐ |
| Bewustzijnstraining uitgevoerd voor alle medewerkers | Trainingsregistratie met datum en aanwezigen | ☐ |
| Communicatieplan voor informatiebeveiliging | Plan of kalender van communicatiemomenten | ☐ |
| Verplichte documenten aanwezig en actueel | Zie de verplichte documenten voor het volledige overzicht | ☐ |
Hoofdstuk 8: uitvoering
Voert u in de praktijk uit wat u gepland hebt?
| Eis | Bewijs dat u nodig hebt | Gereed? |
|---|---|---|
| Risicoanalyse uitgevoerd en gedocumenteerd | Versie met datum en goedkeuring | ☐ |
| Beheersmaatregelen daadwerkelijk geïmplementeerd | Technische configuraties, procedurebeschrijvingen | ☐ |
| Leveranciersafspraken over informatiebeveiliging gemaakt | Verwerkersovereenkomsten, contracten | ☐ |
| Logging van toegang tot patiëntgegevens actief (NEN 7513) | Lograpport of systeemconfiguratie EPD/ECD | ☐ |
| Medische apparatuur meegenomen in scope | Inventarisatie apparatuur in risicoanalyse | ☐ |
Hoofdstuk 9: evaluatie
Controleert u of het systeem werkt?
| Eis | Bewijs dat u nodig hebt | Gereed? |
|---|---|---|
| KPI’s of indicatoren gedefinieerd en gemeten | Meetresultaten over minimaal een kwartaal | ☐ |
| Interne audit uitgevoerd | Intern auditverslag met bevindingen | ☐ |
| Interne auditor onafhankelijk van geauditeerde processen | Auditplanning met toewijzing en redenering | ☐ |
| Directiebeoordeling gehouden | Notulen met agenda, input en besluiten | ☐ |
| Directiebeoordeling heeft geleid tot concrete acties | Actielijst vanuit de directiebeoordeling | ☐ |
Hoofdstuk 10: verbetering
Verbetert het systeem op basis van wat u leert?
| Eis | Bewijs dat u nodig hebt | Gereed? |
|---|---|---|
| Afwijkingen geregistreerd en geanalyseerd | Afwijkingenregister of incidentenlog | ☐ |
| Corrigerende maatregelen genomen en opgevolgd | Actielijst met status en afsluiting | ☐ |
| Continue verbeteracties aantoonbaar | Verbeteringen in het beleid, procedures of maatregelen | ☐ |
Zorgspecifieke aandachtspunten
NEN 7510 heeft aanvullingen die specifiek zijn voor de zorg. Dit zijn de punten waar de auditor extra scherp op let.
| Zorgspecifiek punt | Wat u moet aantonen | Gereed? |
|---|---|---|
| Logging conform NEN 7513 | Automatische logging: wie, wanneer, welke patiënt, welke actie | ☐ |
| Toegang op basis van behandelrelatie geregeld | Toegangsbeheer gelinkt aan actieve behandelrelaties | ☐ |
| Patiënten kunnen loggegevens opvragen | Procedure of portaalfunctie beschikbaar | ☐ |
| Beveiliging medische apparatuur met netwerk | Inventarisatie en risicobehandeling | ☐ |
| Gegevensuitwisseling in de keten beveiligd | Afspraken conform NEN 7512 | ☐ |
| Verwerkers (EPD-leverancier, hostingpartij) hebben getekende overeenkomsten | Verwerkersovereenkomsten in dossier | ☐ |
Wat doet u met de uitkomst?
Alle vakjes aangevinkt? Dan bent u goed voorbereid op de certificeringsaudit. Maar eerlijk gezegd is dat zelden de werkelijkheid bij een eerste doorloop.
Stel prioriteiten op basis van uw gaps. Grote ontbrekende stukken (geen risicoanalyse, geen directiebeoordeling) zijn major non-conformities: die blokkeren het certificaat. Kleine hiaten (één document niet actueel) zijn minor non-conformities: vervelend maar overkomelijk.
Lees meer over de verplichte documenten die u voor certificering nodig hebt, of bekijk het stappenplan als u nog in de implementatiefase zit.
Bronnen
- NEN 7510 bij NEN - De officiële norm
- IGJ over NEN 7510 - Vragen en antwoorden van de inspectie