Skip to Content
NEN 7510Voor GGZ-instellingen

NEN 7510 voor GGZ-instellingen

In de geestelijke gezondheidszorg zijn patiëntgegevens extra gevoelig. Een datalek met psychiatrische dossiers kan direct schade toebrengen aan patiënten: stigma, gevolgen voor werk, relaties, verzekering. De IGJ  heeft eind 2025 bij 87 grotere GGZ-organisaties onderzocht of ze aan NEN 7510  voldeden. Het resultaat: slechts 6 van hen konden dat aantonen. Op deze pagina leest u wat NEN 7510 vraagt in de GGZ-context en hoe u als GGZ-instelling praktisch aan de slag gaat.

Waarom NEN 7510 extra urgent is in de GGZ

GGZ-dossiers bevatten informatie over psychische aandoeningen, behandelgeschiedenissen, medicatiegebruik, trauma en soms suïcidaliteit. Die informatie is niet alleen gevoelig vanuit de AVG en NEN 7510. Ze raakt direct de veiligheid en het welzijn van patiënten.

Stel dat een medewerker per ongeluk een dossier naar het verkeerde e-mailadres stuurt, of dat een hacker toegang krijgt tot het Elektronisch Cliënten Dossier (ECD). De schade gaat verder dan een privacyschending. Patiënten kunnen ontslag riskeren, relaties verliezen of in gevaarlijke situaties terechtkomen.

Daarboven werkt de GGZ met een bijzondere juridische context: het beroepsgeheim van de hulpverlener. Dat beroepsgeheim beschermt patiënten, maar stelt ook specifieke eisen aan wie toegang mag hebben tot welke informatie.

De IGJ rapporteerde in mei 2026  dat de meerderheid van de onderzochte grote GGZ-organisaties niet voldeed aan NEN 7510. Slechts 6 van de 87 onderzochte instellingen konden naleving aantonen. De inspectie eist dat organisaties een onafhankelijke beoordeling laten uitvoeren.

De GGZ-specifieke uitdagingen voor NEN 7510

GGZ-instellingen staan voor informatiebeveiliging-vraagstukken die in andere zorgsectoren minder of anders spelen.

Het ECD als kritiek systeem

Behandelaars en andere zorgverleners leggen digitaal gegevens vast in het Elektronisch Cliënten Dossier (ECD). Dat ECD is het hart van de zorgverlening en tegelijkertijd het grootste informatierisico. Het bevat de meest gevoelige informatie van patiënten.

NEN 7510 stelt eisen aan de beveiliging van het ECD: toegangsbeveiliging, logging van wie wanneer welk dossier heeft bekeken (conform NEN 7513), en encryptie van de opgeslagen gegevens.

Vraag uw ECD-leverancier om bewijs van NEN 7510 certificering of conformiteit. Vraag ook welke beveiliging in het systeem zit en wat uw eigen verantwoordelijkheid is.

Beroepsgeheim en toegangsrechten

In de GGZ geldt het beroepsgeheim van de behandelaar. Informatie die een patiënt deelt met zijn psychiater of psycholoog, mag niet zomaar worden gedeeld met andere hulpverleners of buiten de behandelrelatie worden bekeken.

NEN 7510 sluit hierop aan via het principe van toegang op basis van behandelrelatie. Alleen medewerkers met een actieve behandelrelatie mogen het dossier inzien. In de GGZ is dat soms complex: multidisciplinaire teams, crisisdiensten, overdracht tussen afdelingen.

Uw autorisatiematrix (zie verplichte documenten) moet dit weerkaatsen. Wie heeft toegang tot welk type dossier, op basis van welke behandelrelatie?

Derdensectoren: forensische zorg, verslavingszorg, begeleid wonen

Grote GGZ-instellingen bieden vaak meerdere soorten zorg aan: reguliere GGZ, forensische psychiatrie, verslavingszorg, beschermd wonen. Elk heeft eigen wet- en regelgeving, eigen ketenpartners en eigen beveiligingsvraagstukken.

Bij forensische zorg speelt ook de Justitie-keten mee. Bij verslavingszorg zijn er verwijzers uit de sociale zekerheid. Bij beschermd wonen zijn gemeenten betrokken.

Dit maakt de scope-bepaling van NEN 7510 complex. U moet expliciet beschrijven welke onderdelen van uw organisatie onder het ISMS vallen, en u moet de ketenpartners meenemen in uw risicoanalyse.

Datalekken in de GGZ: wat gaat er mis?

In de GGZ zijn de meest voorkomende oorzaken van datalekken: verkeerd geadresseerde e-mails of brieven met patiëntinformatie, onbevoegde inzage door medewerkers (al dan niet bewust), ransomware-aanvallen op de ICT-infrastructuur, en verlies of diefstal van mobiele apparaten met patiëntgegevens.

Verkeerd geadresseerde correspondentie klinkt oud, maar komt nog altijd voor. Een brief met een psychiatrisch rapport naar het verkeerde adres is een meldplichtig datalek.

Onbevoegde inzage is in de GGZ extra risicovol. Een medewerker die uit nieuwsgierigheid het dossier van een bekende bekijkt, of een ex-partner die via zijn werkgever toegang heeft tot het dossier van zijn partner: zonder goede logging en toegangsbeheer is dit niet te detecteren.

Z-CERT  is het Computer Emergency Response Team voor de zorg. Bij een cyberincident, ransomware of een vermoeden van onbevoegde toegang kunt u 24/7 bij Z-CERT terecht voor ondersteuning en advies. Aansluiting bij Z-CERT is sterk aanbevolen.

Wat vraagt de IGJ van GGZ-instellingen?

Na het onderzoek van eind 2025 heeft de IGJ concrete verwachtingen geformuleerd voor GGZ-instellingen die niet aan NEN 7510 voldeden.

De inspectie verwacht dat elke GGZ-instelling die niet compliant is in 2026 minimaal één onafhankelijke en deskundige beoordeling laat uitvoeren. Dit is niet hetzelfde als certificering, maar een eerste stap: een externe partij toetst uw informatiebeveiliging en geeft aan wat u moet verbeteren.

Daarna verwacht de IGJ een concreet verbeterplan met een realistisch tijdpad en een doelstelling om volledig aan de norm te voldoen.

Aanpak voor GGZ-instellingen

Een praktische aanpak in drie stappen.

Stap 1: Doe een onafhankelijke beoordeling. Laat een externe partij met GGZ-kennis een gap-analyse uitvoeren. Die geeft u een helder beeld van wat er al op orde is en wat niet. Dit is ook wat de IGJ verwacht als u nog niet NEN 7510-compliant bent.

Stap 2: Pak de kritieke punten eerst aan. Logging van ECD-toegang, toegangsrechten op basis van behandelrelatie, en een werkende incidentenprocedure zijn de punten met de hoogste prioriteit. Dit zijn ook de punten die de IGJ het meest bespreekt.

Stap 3: Bouw het volledige ISMS. Werk aan de complete implementatie: risicoanalyse, beleid, directiebetrokkenheid, training, interne audits. Dit is het traject naar volledige NEN 7510 naleving, met of zonder formeel certificaat.

Kleine GGZ-instellingen en praktijken

Kleinere GGZ-praktijken (vrijgevestigde GZ-psychologen, kleine ambulante instellingen) staan voor vergelijkbare uitdagingen als andere kleine zorgpraktijken. De beveiligingseisen zijn dezelfde, maar de aanpak kan proportioneel zijn.

Ook voor kleine GGZ-praktijken geldt: kies gecertificeerde leveranciers voor uw ECD, zorg voor goede toegangsbeveiliging en logging, en documenteer wat u doet bij een incident. Dat is de basis, en voor de meeste kleine praktijken voldoende om aantoonbaar verantwoord om te gaan met patiëntgegevens.

Meer lezen

Voor huisartsenpraktijkenVoor IT-leveranciers