Skip to Content
NEN 7510Voor IT-leveranciers

NEN 7510 voor IT-leveranciers

Je levert software of IT-diensten aan de zorg. Bij de laatste aanbesteding stond NEN 7510  als eis. Je bestaande klanten beginnen ernaar te vragen. De IGJ  en grote zorginstellingen stellen steeds vaker eisen aan leveranciers. Moet je nu echt NEN 7510 certificering halen, of kun je ook met ISO 27001  uit de voeten?

Dit is een vraag die steeds meer IT-bedrijven bezighoudt. Het eerlijke antwoord: het hangt ervan af. En die nuance wordt niet altijd begrepen, ook niet door de zorginkopers die de eis stellen.

De kernvraag: verwerk je medische persoonsgegevens?

NEN 7510 is specifiek bedoeld voor organisaties die medische persoonsgegevens verwerken. De norm is toegespitst op de bescherming van patiëntinformatie. Als je geen patiëntgegevens onder ogen krijgt, is NEN 7510 formeel niet op jou van toepassing.

Maar wat betekent “medische persoonsgegevens verwerken” precies? Hier wordt het lastig.

Als je een EPD-systeem ontwikkelt waarin patiëntdossiers staan, verwerk je medische gegevens. Als je een praktijk-informatiesysteem host waarin patiëntgegevens worden opgeslagen, verwerk je medische gegevens. Als je beheer doet op systemen waar je toegang hebt tot patiëntinformatie, verwerk je medische gegevens.

Maar als je infrastructuur levert zonder toegang tot de data die eroverheen gaat? Als je kantoorsoftware levert die niets met patiënten te maken heeft? Als je een generieke clouddienst aanbiedt die ook door zorgorganisaties wordt gebruikt? Dan verwerk je geen medische gegevens, ook al is je klant een zorginstelling.

Wanneer NEN 7510, wanneer ISO 27001?

Hier is een vuistregel die in de praktijk goed werkt.

Kies NEN 7510 als je daadwerkelijk medische persoonsgegevens verwerkt. Dat wil zeggen: je hebt toegang tot patiëntinformatie, je slaat het op, je verwerkt het. Je bent in AVG-termen een “verwerker” van gezondheidsgegevens.

Kies ISO 27001 als je IT-diensten levert zonder toegang tot medische data. Je levert infrastructuur, netwerken, generieke software, advies. Je klant is een zorginstelling, maar jij raakt de patiëntgegevens niet.

De meeste IT-leveranciers die zowel aan de zorg als aan andere sectoren leveren, zijn beter af met ISO 27001. Het is internationaal erkend, het dekt informatiebeveiliging breed af, en het is genoeg voor de meeste situaties.

Let op: sommige zorginkopers eisen standaard NEN 7510 zonder te kijken of het wel van toepassing is. Je mag hier pushback op geven. Leg uit dat NEN 7510 bedoeld is voor verwerkers van medische gegevens, en dat ISO 27001 de passende norm is voor jouw dienstverlening.

De grijze gebieden

In de praktijk zijn er grijze gebieden. Stel, je beheert de servers van een ziekenhuis. Je hebt technisch toegang tot de data, ook al kijk je er nooit in. Ben je dan een verwerker van medische gegevens?

Of je levert een cloudplatform. Zorgorganisaties kunnen erop draaien. Jij ziet niet wat ze erop zetten. Verwerk je medische gegevens?

Dit zijn vragen waar juristen over kunnen twisten. In de praktijk moet je een pragmatische afweging maken. Als je structureel toegang hebt tot patiëntgegevens of deze opslaat, is NEN 7510 verstandig. Als je puur infrastructuur levert zonder toegang tot de inhoud, is ISO 27001 verdedigbaar.

Bespreek het met je klanten. Leg uit hoe je dienstverlening werkt en waarom je voor een bepaalde certificering kiest. Documenteer dit. Dan sta je sterk als er vragen komen.

Als je klant NEN 7510 eist

Steeds vaker krijg je de eis van klanten. Zo ga je ermee om.

Begrijp de vraag achter de vraag. Wat wil je klant eigenlijk weten? Meestal is dat: kunnen we erop vertrouwen dat onze data bij jou veilig is? Een certificaat is een antwoord, maar niet het enige.

Leg uit wat je wel hebt. Als je ISO 27001 gecertificeerd bent, leg dan uit wat dat betekent. ISO 27001 is de internationale basis waar NEN 7510 op is gebouwd. Het dekt het overgrote deel van de eisen. Toon je certificaat, leg uit welke maatregelen je hebt, en vraag of dat voldoende is.

Bied transparantie. Sommige klanten willen zien wat je doet. Bied aan om je beveiligingsbeleid te delen, een vragenlijst in te vullen, of een gesprek te voeren met je CISO. Dit bouwt vertrouwen, soms meer dan een papiertje.

Wees eerlijk over de grenzen. Als je echt geen NEN 7510 hebt en de klant het echt nodig heeft, zeg dat dan. Liever een eerlijke afwijzing dan een contract waar je niet aan kunt voldoen.

Certificering halen als IT-leverancier

Besluit je toch voor NEN 7510 te gaan? Dit is het pad.

Het goede nieuws: als je al ISO 27001 hebt, is de stap beperkt. NEN 7510 is voor 80% gelijk. Je voegt de zorgspecifieke onderdelen toe en past je scope aan. Reken op 2-4 maanden extra werk en 20-30% extra kosten.

Het minder goede nieuws: als je nog niets hebt, is het een substantieel traject. Je bouwt een informatiebeveiligingsmanagementsysteem, voert een risicoanalyse uit, implementeert maatregelen en doorloopt een audit. Reken op 6-12 maanden en kosten die afhangen van je omvang.

Het traject zelf verschilt niet wezenlijk van ISO 27001 certificering. De systematiek is hetzelfde. Je moet alleen de zorgspecifieke eisen meenemen: logging van toegang tot patiëntgegevens, beveiliging van medische data, aandacht voor de zorgketen.

De commerciële afweging

Certificering kost geld en tijd. Levert het wat op?

Toegang tot de zorgmarkt. Steeds meer zorginstellingen eisen certificering van leveranciers. Zonder certificaat mis je opdrachten. Dit is een harde commerciële realiteit.

Concurrentievoordeel. Als jouw concurrent niet gecertificeerd is en jij wel, heb je een voordeel. Zeker in aanbestedingen waar certificering zwaar weegt.

Vertrouwen. Een certificaat geeft klanten zekerheid. Je hoeft minder uit te leggen en krijgt minder vragen.

Interne verbetering. Het traject dwingt je om kritisch naar je beveiliging te kijken. De meeste organisaties ontdekken verbeterpunten die los van certificering de moeite waard zijn.

Weeg dit af tegen de kosten. Voor een kleine IT-dienstverlener met een handvol zorgklanten is certificering misschien niet rendabel. Voor een bedrijf dat de zorg als kernmarkt heeft, is het bijna onvermijdelijk.

Scope bepalen

Als je gaat certificeren, bepaal je eerst de scope. Wat valt binnen de certificering, wat niet?

Je hoeft niet je hele bedrijf te certificeren. Je kunt kiezen voor specifieke diensten of afdelingen. Dit beperkt de inspanning en kosten.

Maar let op: de scope moet logisch zijn. Je kunt niet alleen je mooiste proces certificeren en de rest negeren als die relevant is voor je zorgklanten. De auditor kijkt kritisch naar je afbakening.

Een gebruikelijke aanpak is om te certificeren op de diensten die je aan de zorg levert. Je administratie en HR vallen erbuiten, je clouddiensten voor zorgklanten vallen erbinnen.

Praktisch starten

Wil je verkennen of NEN 7510 iets voor je is? Begin hier.

Maak een lijst van je zorgklanten en wat je voor ze doet. Bij welke diensten kom je echt in aanraking met patiëntgegevens? Dat is je scope.

Doe een gap-analyse. Waar sta je nu ten opzichte van de norm? Als je al ISO 27001 hebt, is de gap klein. Als je nog niets hebt, is er meer werk.

Praat met je klanten. Wat verwachten ze precies? Soms is de eis minder hard dan je denkt. Soms kun je met alternatieve aantoning uit de voeten.

Vraag offertes aan. Bij een adviseur voor begeleiding, bij een certificerende instantie voor de audit. Dan heb je een realistisch beeld van kosten en doorlooptijd.

Meer lezen

Voor kleine praktijkenNEN 7510 vs ISO 27001