Skip to Content
NEN 7510Veelgestelde vragen

Veelgestelde vragen over NEN 7510

De meest gestelde vragen over NEN 7510  certificering, met praktische antwoorden. De norm is gratis beschikbaar via NEN Connect  en de IGJ  houdt toezicht op de naleving in de zorg.

Algemeen

Wat is NEN 7510?

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. De norm beschrijft hoe zorgorganisaties moeten omgaan met de beveiliging van patiëntgegevens en gezondheidsinformatie. Het is gebaseerd op ISO 27001, maar met aanvullingen specifiek voor de zorg.

Is NEN 7510 verplicht?

Certificering is formeel niet wettelijk verplicht. Maar de inhoud van de norm geldt wel als de maatstaf voor informatiebeveiliging in de zorg.

De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg  verwijst naar NEN 7510. Zorgaanbieders moeten “passende technische en organisatorische maatregelen” nemen. NEN 7510 beschrijft wat “passend” betekent.

In de praktijk is NEN 7510 vaak verplicht via contracten met zorgverzekeraars, samenwerkingsverbanden en grote zorginstellingen die het van leveranciers eisen.

Voor wie is NEN 7510 bedoeld?

De norm is bedoeld voor alle organisaties die werken met patiëntgegevens of gezondheidsinformatie. Dit omvat zorgaanbieders zoals ziekenhuizen, huisartsenpraktijken, apotheken, GGZ-instellingen en verpleeghuizen. Maar ook leveranciers aan de zorg: EPD-leveranciers, IT-beheerders, softwareontwikkelaars en hostingpartijen.

Wat is het verschil tussen NEN 7510-1 en NEN 7510-2?

NEN 7510-1 beschrijft het managementsysteem: hoe je informatiebeveiliging organiseert. Dit is het deel waarop je gecertificeerd wordt.

NEN 7510-2 bevat de beheersmaatregelen: concrete maatregelen die je kunt implementeren. Je selecteert hieruit op basis van je risicoanalyse.

Wat zijn NEN 7512 en NEN 7513?

NEN 7512 gaat over de vertrouwensbasis voor gegevensuitwisseling: hoe weet je zeker dat je met de juiste partij communiceert?

NEN 7513 specificeert de eisen aan logging van toegang tot patiëntgegevens: wie heeft wanneer welke gegevens bekeken?

Deze normen zijn aanvullend op NEN 7510 en worden vaak meegenomen in het certificeringstraject.

Kosten en tijd

Wat kost NEN 7510 certificering?

De kosten variëren sterk. Voor een kleine zorgorganisatie (tot 25 fte) reken je op €8.000 - €25.000 in het eerste jaar. Voor middelgrote organisaties (25-100 fte) is dat €25.000 - €90.000. Grote zorgorganisaties (100+ fte) kunnen €90.000 tot enkele honderdduizenden euro’s kwijt zijn.

Dit omvat implementatiekosten, eventuele externe begeleiding, technische maatregelen en de certificeringsaudit. Zie kosten en tijdlijn voor een gedetailleerde uitsplitsing.

Hoelang duurt het om NEN 7510 gecertificeerd te worden?

Voor een kleine organisatie met goede uitgangspositie is 3-6 maanden haalbaar. Middelgrote organisaties rekenen op 6-9 maanden. Grote, complexe zorgorganisaties hebben 9-18 maanden nodig.

De doorlooptijd hangt af van je huidige situatie, beschikbare capaciteit en besluitvormingssnelheid.

Hoelang is het certificaat geldig?

Het certificaat is drie jaar geldig. Elk jaar vindt een toezichtaudit plaats waarin de certificerende instantie controleert of je nog steeds voldoet. Na drie jaar volgt een hercertificeringsaudit.

Kan ik subsidie krijgen voor NEN 7510?

Er zijn geen specifieke subsidies voor NEN 7510 certificering. Wel kunnen algemene regelingen voor digitalisering of informatiebeveiliging in de zorg van toepassing zijn. Check bij je brancheorganisatie of regionale samenwerkingsverbanden.

De norm

Is NEN 7510 hetzelfde als ISO 27001?

Nee, maar ze zijn sterk verwant. NEN 7510 is gebaseerd op ISO 27001 en ongeveer 80% overlapt. NEN 7510 voegt zorgspecifieke eisen toe: logging van toegang tot patiëntgegevens, beveiliging van medische apparatuur, toegang op basis van behandelrelatie.

Als je ISO 27001 hebt, is de stap naar NEN 7510 relatief klein. Andersom ook: met NEN 7510 heb je een goede basis voor ISO 27001.

Kan ik NEN 7510 en ISO 27001 combineren?

Ja, en dat is vaak efficiënt. De systemen overlappen grotendeels. Je kunt met één geïntegreerd systeem aan beide normen voldoen en de audits combineren. Dit bespaart tijd en geld.

Lees meer op de pagina NEN 7510 vs ISO 27001.

Moet ik alle beheersmaatregelen uit NEN 7510-2 implementeren?

Nee. Je selecteert de maatregelen die passen bij je risico’s. Maar je moet wel kunnen uitleggen waarom je bepaalde maatregelen wel of niet hebt gekozen. Dit leg je vast in de Verklaring van Toepasselijkheid.

Wat is de Verklaring van Toepasselijkheid?

De Verklaring van Toepasselijkheid (VvT) is een document waarin je per beheersmaategel uit NEN 7510-2 vastlegt of je hem hebt geselecteerd en waarom. Als je een maatregel niet selecteert, leg je uit waarom niet (bijvoorbeeld: niet van toepassing, risico geaccepteerd).

De VvT is een verplicht document voor certificering.

Wat is er veranderd in NEN 7510:2024?

In december 2024 is de vernieuwde NEN 7510:2024 gepubliceerd. De belangrijkste wijzigingen zijn afstemming op de nieuwste versies van ISO 27001:2022 en ISO 27002:2022, en een duidelijke mapping naar de NIS2-richtlijn.

Organisaties met een certificaat op de oude versie moeten vóór 20 februari 2027 overstappen naar de nieuwe versie.

De audit

Hoe werkt de certificeringsaudit?

De initiële certificeringsaudit bestaat uit twee fasen. In fase 1 beoordeelt de auditor je documentatie: beleid, risicoanalyse, procedures. In fase 2 komt de auditor op locatie en controleert of je in de praktijk doet wat je hebt gedocumenteerd. Dit gebeurt via interviews, observaties en steekproeven.

Lees meer over het auditproces.

Wat als de auditor afwijkingen vindt?

Bij kleine afwijkingen kun je het certificaat wel krijgen, maar moet je binnen een afgesproken termijn (typisch 90 dagen) corrigeren. Bij grote afwijkingen krijg je geen certificaat totdat de afwijking is opgelost.

Wie mag NEN 7510 certificeren?

Alleen certificerende instanties die geaccrediteerd zijn door de Raad voor Accreditatie (RvA) voor NEN 7510. Dit garandeert dat de audit voldoet aan de eisen. Geaccrediteerde instanties zijn onder andere Kiwa, DNV, TÜV, DEKRA en LRQA.

Kan de audit remote plaatsvinden?

Fase 1 (documentatiebeoordeling) kan vaak remote. Fase 2 (implementatie-audit) vindt grotendeels on-site plaats. De auditor moet de praktijksituatie zien: serverruimtes, werkplekken, gesprekken met medewerkers.

Bij organisaties met meerdere locaties bezoekt de auditor een selectie.

Praktijk

Kan ik NEN 7510 zelf implementeren?

Ja, als je de expertise in huis hebt. Je hebt de norm nodig (gratis te downloaden via NEN Connect ) en tijd om het systeem op te bouwen.

Veel organisaties kiezen voor externe begeleiding, vooral als informatiebeveiliging niet hun kerncompetentie is. Een adviseur helpt bij interpretatie, voorkomt valkuilen en versnelt het traject.

We hebben al ISO 27001. Is de stap naar NEN 7510 groot?

Nee, relatief klein. Je hebt al het managementsysteem. Je voegt de zorgspecifieke elementen toe: logging conform NEN 7513, toegang op basis van behandelrelatie, specifieke aandacht voor medische apparatuur en patiëntrechten.

Reken op 20-30% extra inspanning bovenop je ISO 27001 implementatie.

We zijn een kleine huisartsenpraktijk. Is NEN 7510 niet overkill?

NEN 7510 is schaalbaar. Je past de diepgang aan op je situatie. Een huisartsenpraktijk hoeft geen ISO-achtige bureaucratie op te tuigen. Wel moet je de kern op orde hebben: risicoanalyse, beleid, toegangsbeheer, training, logging.

Er zijn vereenvoudigde trajecten en tooling voor kleine zorgorganisaties. De inspanning is te overzien.

Moeten ook zzp’ers in de zorg voldoen aan NEN 7510?

Als je als zzp’er patiëntgegevens verwerkt, moet je voldoen aan de eisen van informatiebeveiliging. Formele certificering is voor een eenpersoonspraktijk vaak niet praktisch of proportioneel.

Wel kunnen opdrachtgevers eisen dat je aantoonbaar voldoet aan de principes van NEN 7510. Dit kun je invullen met een eigen verklaring en bewijs van maatregelen.

Hoe verhoudt NEN 7510 zich tot de AVG?

NEN 7510 helpt je voldoen aan de beveiligingseisen van de AVG (artikel 32: passende technische en organisatorische maatregelen). Maar NEN 7510 dekt niet alle AVG-verplichtingen.

Je hebt ook beleid nodig voor rechtmatigheid van verwerking, transparantie, bewaartermijnen, rechten van betrokkenen en datalekprocedures. NEN 7510 is onderdeel van de puzzel, niet de complete oplossing.

Wat is Z-CERT?

Z-CERT  is het Computer Emergency Response Team voor de Nederlandse zorgsector. Ze bieden ondersteuning bij cybersecurity-incidenten, delen dreigingsinformatie en helpen bij preventie.

Aansluiting bij Z-CERT is niet verplicht maar wel aan te raden voor zorgorganisaties.

Wat als er een datalek plaatsvindt?

Een datalek moet je melden bij de Autoriteit Persoonsgegevens als het risico’s oplevert voor betrokkenen. Bij een datalek met patiëntgegevens is dit vrijwel altijd het geval.

Je NEN 7510 systeem moet een incidentenprocedure bevatten die beschrijft hoe je omgaat met beveiligingsincidenten, inclusief datalekken. Dit omvat detectie, reactie, melding en analyse.

Toezicht

Controleert de IGJ op NEN 7510?

De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op zorgaanbieders, inclusief informatiebeveiliging. Na incidenten met ICT-veiligheid in de zorg is de aandacht hiervoor toegenomen.

De IGJ kan controleren of je voldoende maatregelen hebt getroffen. Een NEN 7510 certificaat is sterk bewijs dat je informatiebeveiliging op orde is.

Wat gebeurt er als ik niet voldoe aan NEN 7510?

Als er iets misgaat (datalek, ransomware, uitval) en blijkt dat je onvoldoende beveiligingsmaatregelen had, kan dat consequenties hebben. De Autoriteit Persoonsgegevens kan boetes opleggen. De IGJ kan maatregelen nemen. Contractpartijen kunnen de relatie beëindigen.

Zonder incident is er geen directe handhaving op NEN 7510. Maar het risico loop je wel.

Volgende stap

Nog vragen? Het stappenplan legt uit hoe je aan de slag gaat. Of bekijk de eisen van de norm voor inhoudelijke verdieping.

NIS2 en CyberbeveiligingswetWat is VCA?