NEN 7512: vertrouwensbasis voor gegevensuitwisseling in de zorg
NEN 7512 is de Nederlandse norm voor veilige gegevensuitwisseling in de zorg. De huidige versie is NEN 7512:2022 , gepubliceerd door het Nederlands Normalisatie-instituut (NEN) . De norm beschrijft welke zekerheden uitwisselende partijen aan elkaar moeten bieden voordat ze patiëntgegevens mogen delen. Zie haar als de aanvulling op NEN 7510 voor alles wat over de eigen organisatiemuur heen gaat.
Wat is NEN 7512?
Elke keer dat een huisarts een verwijsbrief stuurt naar een specialist, of een apotheek een recept ontvangt van een voorschrijver, worden patiëntgegevens uitgewisseld. Die uitwisseling introduceert risico’s: hoe weet u zeker dat u met de juiste partij communiceert? Hoe borgt u dat de gegevens onderweg niet worden aangepast?
NEN 7512 beantwoordt die vragen. De norm stelt eisen aan de identiteit van de uitwisselende partijen, aan de betrouwbaarheid van de verbinding, en aan de integriteit van de gegevens tijdens transport. Ze werkt met vijf niveaus van zekerheid, van laag naar hoog. Hoe gevoeliger de gegevens, hoe hoger het vereiste niveau.
NEN 7512:2022 is net als NEN 7510 en NEN 7513 gratis beschikbaar via NEN Connect . Het ministerie van VWS heeft dit mogelijk gemaakt zodat alle zorgorganisaties de norm kunnen raadplegen.
De vijf niveaus van NEN 7512
NEN 7512 definieert vijf niveaus voor de betrouwbaarheid van gegevensuitwisseling. Per niveau stijgen de eisen.
| Niveau | Zekerheid | Typisch toepassingsgebied |
|---|---|---|
| 1 | Laagste zekerheid | Openbare informatie, niet herleidbaar tot een persoon |
| 2 | Beperkte zekerheid | Administratieve gegevens, minder gevoelig |
| 3 | Substantiële zekerheid | Reguliere patiëntgegevens bij verwijzingen |
| 4 | Hoge zekerheid | Gevoelige medische gegevens, specialistische zorg |
| 5 | Hoogste zekerheid | Maximale beveiliging, kritieke toepassingen |
Voor het merendeel van de reguliere zorgcommunicatie geldt niveau 3. De exacte vereisten per niveau staan uitgewerkt in de norm zelf.
Wat regelt NEN 7512 precies?
NEN 7512 richt zich op de zekerheden die partijen aan elkaar moeten bieden bij uitwisseling. Dat zijn vier hoofdonderwerpen.
Authenticiteit: Is de andere partij wie hij beweert te zijn? De norm stelt eisen aan identificatie en authenticatie van zorgverleners, systemen en organisaties. Dit voorkomt dat gegevens naar de verkeerde partij worden gestuurd.
Integriteit: Zijn de gegevens onderweg niet gewijzigd? NEN 7512 stelt eisen aan het ondertekenen en controleren van berichten, zodat een ontvanger zeker weet dat hij ontvangt wat de verzender heeft gestuurd.
Vertrouwelijkheid: Kunnen derden de gegevens niet meelezen? De norm stelt eisen aan encryptie van het transport en, in hogere niveaus, ook aan encryptie van de inhoud.
Beschikbaarheid: Kan de uitwisseling plaatsvinden als dat nodig is? NEN 7512 stelt eisen aan de betrouwbaarheid van de uitwisselingsinfrastructuur.
De relatie tussen NEN 7510, NEN 7512 en NEN 7513
De drie normen vormen samen het volledige raamwerk voor informatiebeveiliging in de Nederlandse zorg. Ze zijn aanvullend, niet alternatief.
| Norm | Volledige naam | Wat het regelt |
|---|---|---|
| NEN 7510 | Informatiebeveiliging in de zorg | Het managementsysteem: beleid, risico’s, maatregelen, audits |
| NEN 7512 | Vertrouwensbasis voor gegevensuitwisseling | Veilige communicatie tussen zorgpartijen |
| NEN 7513 | Logging | Vastleggen wie wanneer welk dossier heeft bekeken |
NEN 7510 is het dak: de overkoepelende norm waarop u certificeert. NEN 7512 en NEN 7513 werken een aantal specifieke beheersmaatregelen uit die in NEN 7510-2 worden benoemd. NEN 7510 zegt “regel de gegevensuitwisseling veilig”, NEN 7512 zegt “en zo doe je dat precies”.
Als u NEN 7510 gecertificeerd wilt worden, hoeft u niet separaat op NEN 7512 te certificeren. Maar u moet wel kunnen aantonen dat uw gegevensuitwisseling voldoet aan de betrouwbaarheidseisen die in NEN 7510-2 worden gesteld. NEN 7512 is daarvoor de uitwerking.
NEN 7512 gebruikt het woord “moet” (normatief) voor de afspraken tussen uitwisselende partijen, terwijl NEN 7510 voor interne maatregelen “zou moeten” gebruikt. Die scherpere toon is bewust: bij uitwisseling tussen partijen is vrijblijvendheid niet acceptabel.
Voor wie is NEN 7512 relevant?
NEN 7512 is relevant voor elke zorgorganisatie die elektronisch patiëntgegevens uitwisselt met andere partijen.
Zorgaanbieders die verwijsbrieven sturen, uitslagen ontvangen of medicatie-informatie uitwisselen met apotheken. Huisartsenpraktijken, ziekenhuizen, GGZ-instellingen, thuiszorg: allemaal wisselen ze structureel gegevens uit.
Ketenpartners zoals laboratoria, apothekers en diagnostische centra die gegevens aanleveren aan zorgverleners.
IT-leveranciers die de uitwisselingsinfrastructuur bouwen of beheren. EPD-leveranciers, HIS-leveranciers, berichten-makelaars in de zorg. Zij moeten technisch voldoen aan de NEN 7512-eisen in hun systemen.
Zorginfrastructuurpartijen zoals organisaties die deelnemen aan het Landelijk Schakelpunt (LSP) of andere nationale uitwisselingsplatforms. Die platforms stellen NEN 7512-conformiteit als voorwaarde.
NEN 7512 en het Landelijk Schakelpunt (LSP)
Het LSP is de nationale infrastructuur voor uitwisseling van patiëntgegevens in de eerste en tweede lijn. Deelname aan het LSP vereist dat systemen en organisaties voldoen aan de eisen van NEN 7512. De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ), die het LSP beheert, hanteert NEN 7512 als technische standaard voor betrouwbare uitwisseling.
Voor huisartsenpraktijken en andere kleine zorgaanbieders is dit in de praktijk grotendeels geregeld via hun HIS-leverancier. Die leverancier is verantwoordelijk voor de NEN 7512-technische conformiteit van het systeem. Uw verantwoordelijkheid ligt bij het gebruik van het systeem en het organisatorische deel.
NEN 7512:2022: wat is er veranderd ten opzichte van 2015?
De versie van 2022 vervangt NEN 7512:2015. De belangrijkste wijzigingen zijn een nauwere aansluiting op NEN 7510:2022 en een betere uitwerking van de risicogebaseerde aanpak. De vijf niveaus zijn aangescherpt en de eisen per niveau zijn concreter beschreven.
De norm sluit ook beter aan op moderne uitwisselingsstandaarden zoals FHIR (Fast Healthcare Interoperability Resources), die steeds meer wordt gebruikt voor elektronische gegevensuitwisseling in de zorg.
Praktische implicaties voor uw organisatie
Als u NEN 7510 implementeert of certificeert, neem dan de gegevensuitwisseling expliciet mee in uw risicoanalyse. Stel de vraag: met welke partijen wisselen wij patiëntgegevens uit? Via welke kanalen? Op welk betrouwbaarheidsniveau? Is dat niveau passend bij de gevoeligheid van de gegevens?
Controleer daarna of uw uitwisselingsinfrastructuur voldoet. Dat is veelal een vraag voor uw IT-leverancier. Vraag om bewijs: voldoet hun systeem aan NEN 7512:2022? Hebben ze documentatie hierover?
Leg de uitkomst vast in uw verplichte documenten: in de risicoanalyse, in de Verklaring van Toepasselijkheid en in de verwerkersovereenkomsten met uw IT-leveranciers.
Meer lezen
- NEN 7512:2022 bij NEN - De officiële norm (gratis via NEN Connect)
- NEN 7513 logging - De zusternorm voor logging van toegang
- Eisen van NEN 7510 - De beheersmaatregelen waarbinnen NEN 7512 past
- EGIZ over NEN 7512:2022 - Toelichting op de herziene versie