Skip to Content
NEN 7510Eisen van de norm

Eisen van NEN 7510

Wat vraagt NEN 7510  precies? De norm is gratis beschikbaar via NEN Connect . NEN 7510 bestaat uit twee delen: NEN 7510-1 met de managementeisen en NEN 7510-2 met de beheersmaatregelen.

Structuur van de norm

NEN 7510 is gebaseerd op ISO 27001 en volgt dezelfde structuur. De hoofdstukken 4 tot en met 10 bevatten de eisen waarop je wordt geaudit. De hoofdstukken 1 tot en met 3 zijn inleidend.

NEN 7510-1 beschrijft het managementsysteem: hoe je informatiebeveiliging organiseert. Dit is vergelijkbaar met ISO 27001.

NEN 7510-2 bevat de beheersmaatregelen: concrete maatregelen die je kunt implementeren. Dit is vergelijkbaar met ISO 27002, maar met zorgspecifieke aanvullingen.

NEN 7510:2024 is de actuele versie. Deze is afgestemd op ISO 27001:2022 en ISO 27002:2022. Organisaties met een certificaat op de oude versie moeten vóór februari 2027 overstappen.

De hoofdstukken van NEN 7510-1

Hoofdstuk 4: Context van de organisatie

Je moet de context van je organisatie begrijpen voordat je een effectief beveiligingssysteem kunt opzetten. Dit hoofdstuk vraagt om vier dingen.

Interne en externe factoren identificeren die relevant zijn voor informatiebeveiliging. Externe factoren zijn bijvoorbeeld wet- en regelgeving, technologische ontwikkelingen en dreigingen. Interne factoren zijn je cultuur, structuur en capabilities.

Belanghebbenden en hun eisen bepalen. Wie heeft belang bij je informatiebeveiliging? Patiënten, medewerkers, toezichthouders, samenwerkingspartners, verzekeraars. Wat verwachten zij?

De scope vaststellen. Welke onderdelen van je organisatie vallen binnen het beveiligingssysteem? Dit moet je documenteren.

Het informatiebeveiligingsmanagementsysteem opzetten, implementeren, onderhouden en continu verbeteren.

Hoofdstuk 5: Leiderschap

De directie moet actief betrokken zijn bij informatiebeveiliging. Dit is geen formaliteit maar een kerneis.

Commitment van de directie moet blijken uit concrete acties: resources toewijzen, beleid vaststellen, integratie in bedrijfsprocessen, communiceren over het belang.

Het informatiebeveiligingsbeleid moet door de directie worden vastgesteld. Dit beleid beschrijft de intenties en richting van de organisatie. Het moet commitment bevatten aan de bescherming van patiëntgegevens, aan het voldoen aan eisen en aan continue verbetering.

Rollen en verantwoordelijkheden moeten duidelijk zijn toegewezen. Wie is waarvoor verantwoordelijk? Dit moet worden gecommuniceerd binnen de organisatie.

Hoofdstuk 6: Planning

Planning gaat over het aanpakken van risico’s en het stellen van doelen.

Risico’s en kansen moet je identificeren. Wat kan er misgaan? Wat zijn kansen voor verbetering? Dit is breder dan alleen de risicoanalyse voor beheersmaatregelen.

De risicoanalyse is een kernelement. Je identificeert risico’s voor de beschikbaarheid, integriteit en vertrouwelijkheid van gezondheidsinformatie. Je beoordeelt de waarschijnlijkheid en impact. Je bepaalt welke risico’s je accepteert en welke je behandelt.

Risicobehandeling houdt in dat je per risico bepaalt wat je doet: vermijden, verminderen, overdragen of accepteren. Voor risico’s die je vermindert, selecteer je beheersmaatregelen uit NEN 7510-2.

Doelstellingen stel je vast voor relevante functies en niveaus. Doelstellingen moeten meetbaar zijn waar mogelijk en consistent met het beleid.

De risicoanalyse is zorgspecifiek. Patiëntgegevens zijn bijzonder gevoelig. Een datalek met medische informatie heeft grotere impact dan een datalek met algemene persoonsgegevens. Houd hier rekening mee.

Hoofdstuk 7: Ondersteuning

Dit hoofdstuk gaat over de middelen die je nodig hebt om het systeem te laten werken.

Resources moeten beschikbaar zijn: mensen, tijd, geld, middelen.

Competenties van medewerkers moeten passen bij hun taken. Je bepaalt welke competenties nodig zijn, zorgt dat medewerkers deze hebben en houdt bewijs bij.

Bewustzijn van medewerkers over het beleid en hun rol is essentieel. Iedereen moet weten wat er van hen wordt verwacht.

Communicatie moet je plannen: wat communiceer je, wanneer, aan wie, door wie?

Gedocumenteerde informatie moet je creëren en beheren. De norm specificeert minimaal welke documenten vereist zijn. Daarnaast bepaal je zelf wat je verder documenteert.

Hoofdstuk 8: Uitvoering

Hier gaat het om de daadwerkelijke uitvoering van je plannen.

Operationele planning en beheersing houdt in dat je processen plant en beheerst om aan de eisen te voldoen. Je implementeert de geplande acties.

De risicoanalyse moet je uitvoeren volgens plan en de resultaten bewaren.

De risicobehandeling moet je implementeren: de gekozen beheersmaatregelen daadwerkelijk invoeren.

Hoofdstuk 9: Evaluatie van prestaties

Je moet controleren of het systeem werkt zoals bedoeld.

Monitoring en meting van de prestaties van het systeem. Je bepaalt wat je meet, hoe, wanneer en wie dat doet.

Interne audits moet je periodiek uitvoeren. De audit controleert of je voldoet aan de eisen van de norm en aan je eigen eisen, en of het systeem effectief is geïmplementeerd.

Directiebeoordeling is een periodieke beoordeling door de directie van het functioneren van het systeem. De norm specificeert welke input de beoordeling moet hebben en welke beslissingen eruit moeten komen.

Hoofdstuk 10: Verbetering

Het systeem moet continu beter worden.

Afwijkingen en corrigerende maatregelen: als er iets misgaat, moet je actie ondernemen. Je corrigeert het probleem, onderzoekt de oorzaak en neemt maatregelen om herhaling te voorkomen.

Continue verbetering is een doorlopend proces. Je verbetert de geschiktheid, toereikendheid en effectiviteit van het systeem.

De beheersmaatregelen (NEN 7510-2)

NEN 7510-2 bevat de beheersmaatregelen die je kunt implementeren om risico’s te beheersen. De maatregelen zijn georganiseerd in categorieën.

Organisatorische maatregelen

Beleid, rollen, verantwoordelijkheden, classificatie van informatie, leveranciersbeheer en het beheer van incidenten.

Voorbeelden van eisen:

  • Informatiebeveiligingsbeleid documenteren en communiceren
  • Functiescheiding implementeren waar nodig
  • Informatie classificeren op gevoeligheid
  • Leveranciers beoordelen op informatiebeveiliging
  • Incidentenprocedure opstellen

Mensgerichte maatregelen

Screening, arbeidsvoorwaarden, bewustzijn en training, disciplinaire processen.

Voorbeelden van eisen:

  • Screening van medewerkers voor gevoelige functies
  • Vertrouwelijkheidsverklaringen laten tekenen
  • Bewustzijnsprogramma voor informatiebeveiliging
  • Procedures bij uitdiensttreding

Fysieke maatregelen

Beveiligde zones, toegangsbeheer fysiek, bescherming van apparatuur.

Voorbeelden van eisen:

  • Fysieke toegangsbeveiliging van serverruimtes
  • Clean desk en clear screen beleid
  • Veilige verwijdering van apparatuur en media

Technologische maatregelen

Toegangsbeheer, cryptografie, operationele beveiliging, communicatiebeveiliging, systeemontwikkeling.

Voorbeelden van eisen:

  • Toegangsbeheer op basis van need-to-know
  • Encryptie van gevoelige gegevens
  • Malwareprotectie
  • Back-up en herstel
  • Logging en monitoring
  • Netwerksegmentatie
  • Beveiligde ontwikkeling

Zorgspecifieke aanvullingen

NEN 7510 voegt specifieke eisen toe voor de zorgsector bovenop de ISO 27001 basis.

Logging van toegang tot patiëntgegevens

NEN 7513 specificeert de eisen aan logging in de zorg. Je moet vastleggen wie wanneer welke patiëntgegevens heeft geraadpleegd of gewijzigd. Dit is essentieel voor verantwoording en onderzoek.

De logging moet minimaal bevatten: wie (welke medewerker), wanneer (datum en tijd), wat (welke actie), welke patiënt (BSN of identificatie). Lees de gedetailleerde uitleg over logging voor meer informatie.

Toegang op basis van behandelrelatie

In de zorg geldt het principe dat alleen medewerkers met een behandelrelatie toegang mogen hebben tot patiëntgegevens. Het toegangsbeheer moet dit ondersteunen.

Dit is complexer dan standaard role-based access control. Behandelrelaties wisselen, patiënten worden overgedragen, medewerkers werken in wisselende teams.

Patiëntrechten

Patiënten hebben rechten onder de AVG en specifieke zorgwetgeving. Ze mogen hun dossier inzien, weten wie hun gegevens heeft bekeken, en in bepaalde gevallen gegevens laten corrigeren of verwijderen.

Je systeem moet deze rechten ondersteunen. Het moet technisch mogelijk zijn om inzage te geven en logs van toegang te verstrekken.

Medische apparatuur

Medische apparatuur valt ook onder informatiebeveiliging als het gegevens verwerkt of toegang geeft tot systemen. Denk aan infuuspompen met netwerkverbinding, monitoren die patiëntdata versturen, diagnostische apparatuur.

De beveiliging van medische apparatuur vraagt specifieke aandacht: patches zijn niet altijd beschikbaar, apparatuur kan niet zomaar offline, leveranciers hebben vaak toegang.

Gegevensuitwisseling in de keten

De zorg werkt in ketens: huisarts, specialist, apotheek, laboratorium. Gegevensuitwisseling is noodzakelijk voor goede zorg, maar introduceert risico’s.

NEN 7512 gaat specifiek over de vertrouwensbasis voor uitwisseling. Hoe weet je zeker dat je met de juiste partij uitwisselt? Hoe borg je de integriteit onderweg?

De Verklaring van Toepasselijkheid

Je hoeft niet alle beheersmaatregelen uit NEN 7510-2 te implementeren. Je selecteert de maatregelen die passen bij je risico’s. Maar je moet wel kunnen uitleggen waarom je maatregelen wel of niet hebt gekozen.

Dit leg je vast in de Verklaring van Toepasselijkheid (VvT). Per maatregel documenteer je of je hem hebt geselecteerd en waarom. Als je een maatregel niet selecteert, leg je uit waarom niet.

De VvT is een verplicht document voor certificering. De auditor controleert of je keuzes logisch zijn gegeven je risicoanalyse.

Vereiste documentatie

NEN 7510 schrijft een aantal documenten expliciet voor:

  • Scope van het ISMS
  • Informatiebeveiligingsbeleid
  • Risicobeoordelingsmethodiek
  • Resultaten van de risicobeoordeling
  • Risicobehandelingsplan
  • Verklaring van Toepasselijkheid
  • Doelstellingen informatiebeveiliging
  • Bewijs van competenties
  • Resultaten van interne audits
  • Resultaten van directiebeoordelingen
  • Afwijkingen en corrigerende maatregelen

Daarnaast bepaal je zelf welke aanvullende documentatie je nodig hebt om het systeem te laten werken. Houd het werkbaar: documenteer wat nodig is, niet meer.

Verschil met ISO 27001

Voor wie bekend is met ISO 27001: NEN 7510 is niet radicaal anders. De structuur is gelijk, de meeste eisen komen overeen.

De verschillen zitten in:

  • Zorgspecifieke beheersmaatregelen (logging, behandelrelatie)
  • Verwijzingen naar Nederlandse zorgwetgeving
  • NEN 7512 en NEN 7513 als aanvullende normen
  • Specifieke aandacht voor medische apparatuur
  • Focus op patiëntgegevens in plaats van algemene informatie

Als je ISO 27001 hebt, is de stap naar NEN 7510 relatief klein. Je voegt de zorgspecifieke elementen toe aan je bestaande systeem.

Lees meer over de verschillen tussen NEN 7510 en ISO 27001.

Volgende stap

Lees over het auditproces om te begrijpen hoe de certificeringsaudit werkt, of bekijk het stappenplan voor de praktische aanpak.

Het auditprocesRisicoanalyse