Skip to Content
NEN 7510Voor kleine praktijken

NEN 7510 voor kleine praktijken

Je runt een huisartsenpraktijk, fysiotherapiepraktijk of tandartspraktijk. Je weet dat je iets met informatiebeveiliging moet, maar NEN 7510  klinkt als een monster. De IGJ  houdt toezicht en de Autoriteit Persoonsgegevens  kan handhaven bij datalekken. Moet je echt een heel managementsysteem optuigen? Dit artikel geeft je een realistisch beeld.

Het goede nieuws eerst

Je hoeft als kleine praktijk niet hetzelfde te doen als een ziekenhuis. NEN 7510 is schaalbaar. De inspanning past bij de risico’s en de omvang van je praktijk. En het allerbelangrijkste: je hoeft niet alles zelf te doen.

De meeste informatiebeveiligingsrisico’s in een kleine praktijk kun je afdekken door de juiste leveranciers te kiezen. Je HIS-leverancier, je hostingpartij, je IT-beheerder: als zij NEN 7510 gecertificeerd zijn, is een groot deel van je werk gedaan. Jij zorgt voor de rest: de menselijke kant, het beleid, de bewustwording.

Moet je certificeren?

Het eerlijke antwoord: waarschijnlijk niet. Certificering is niet wettelijk verplicht. Wat wel verplicht is, is voldoen aan de inhoud van de norm. Dat is een belangrijk verschil.

De Inspectie Gezondheidszorg en Jeugd (IGJ)  controleert of zorgaanbieders hun informatiebeveiliging op orde hebben. Ze kijken niet primair naar een certificaat, maar naar of je de juiste maatregelen hebt genomen. Een certificaat is één manier om dat te bewijzen, maar niet de enige.

Voor een kleine praktijk is certificering vaak disproportioneel. De kosten en inspanning wegen niet op tegen de voordelen. Wat je wel nodig hebt, is aantoonbaar voldoen aan de belangrijkste eisen. Dat kan zonder formeel certificaat.

De LHV (Landelijke Huisartsen Vereniging) en andere beroepsverenigingen werken aan vereenvoudigde trajecten voor hun leden. Check bij je vereniging of er collectieve oplossingen zijn.

Wat moet je dan wel doen?

Informatiebeveiliging draait om drie dingen: je patiëntgegevens moeten beschikbaar zijn wanneer je ze nodig hebt, ze moeten kloppen (integer zijn), en alleen bevoegde mensen mogen erbij (vertrouwelijkheid). Alles wat je doet, dient deze drie doelen.

1. Kies gecertificeerde leveranciers

Dit is de belangrijkste stap. De meeste technische risico’s liggen bij je systemen, en die beheer je niet zelf. Zorg dat je leveranciers hun zaakjes op orde hebben.

Je HIS-leverancier (Medicom, Promedico, CGM, etc.) moet NEN 7510 gecertificeerd zijn. De grote spelers zijn dat. Check het en vraag om bewijs. Hetzelfde geldt voor je hostingpartij als je in de cloud werkt, je IT-beheerder als je die hebt, je leverancier van online diensten die patiëntgegevens verwerken.

Vraag niet alleen om het certificaat, maar ook om uitleg over wat ze voor jou regelen. Wat zit in hun dienst, wat blijft jouw verantwoordelijkheid?

2. Regel de basis zelf

Sommige dingen kun je niet uitbesteden. Die moet je zelf regelen.

Toegangsbeheer: Wie kan bij welke gegevens? Zorg dat medewerkers alleen toegang hebben tot wat ze nodig hebben. Deel geen wachtwoorden. Gebruik sterke, unieke wachtwoorden. Schakel tweefactorauthenticatie in waar mogelijk.

Fysieke beveiliging: Sluit je praktijk af. Vergrendel computers bij weglopen. Leg geen dossiers open op bureaus. Vernietig papieren met patiëntgegevens veilig.

Bewustzijn: Jij en je medewerkers moeten weten wat wel en niet mag. Wat doe je bij een verdachte e-mail? Wat als iemand belt en zegt van de IT te zijn? Hoe ga je om met USB-sticks? Dit hoeft geen uitgebreide training te zijn, maar zorg dat de basis bekend is.

Back-ups: Als je lokaal gegevens opslaat, zorg dan voor back-ups. Test regelmatig of je ze kunt terugzetten. In de cloud regelt je leverancier dit vaak, maar check het.

3. Leg het vast

Je hoeft geen dik handboek te schrijven, maar leg wel de belangrijkste zaken vast. Wie is verantwoordelijk voor informatiebeveiliging in je praktijk? Wat zijn de huisregels? Wat doe je bij een incident?

Een paar pagina’s is genoeg voor een kleine praktijk. Het gaat erom dat het helder is, niet dat het indrukwekkend is.

4. Weet wat je moet doen bij een incident

Stel dat er iets misgaat. Een laptop wordt gestolen. Je krijgt ransomware. Je ontdekt dat iemand onbevoegd in dossiers heeft gekeken. Wat doe je dan?

Je moet weten hoe je een datalek meldt bij de Autoriteit Persoonsgegevens . Je moet weten wie je belt: je IT-leverancier, je beroepsvereniging, Z-CERT  voor ondersteuning bij cyberincidenten in de zorg.

Schrijf dit van tevoren op. In een crisis heb je geen tijd om het uit te zoeken.

De realiteit van de huisartsenpraktijk

De IGJ heeft in 2024 onderzoek gedaan bij huisartsenspoedzorgorganisaties. Van de 49 organisaties voldeden er 43 niet volledig aan NEN 7510. De inspectie neemt dit serieus.

Maar de boodschap was niet: ga allemaal certificeren. De boodschap was: zorg dat de basis op orde is. Dat betekent gecertificeerde leveranciers, bewuste medewerkers, heldere afspraken. Geen bureaucratie, wel aandacht.

Voor een gemiddelde huisartsenpraktijk is dit haalbaar. Je hebt geen fulltime functionaris nodig. Je hebt geen consultants nodig die maanden door je praktijk lopen. Je hebt wel een middag nodig om na te denken over de risico’s, de juiste leveranciers te kiezen en de basisafspraken te maken.

Collectieve oplossingen

Je hoeft niet alles alleen te doen. Er zijn collectieve initiatieven die het leven makkelijker maken.

Sommige regionale huisartsenorganisaties bieden een gezamenlijk informatiebeveiligingssysteem aan. Als je daarbij aansluit, profiteer je van hun expertise en certificering. Check bij je ROHA, RHO of andere regionale organisatie.

Brancheverenigingen ontwikkelen richtlijnen en tools voor hun leden. De LHV heeft informatie over informatiebeveiliging. De KNMT (tandartsen) ook. Maak er gebruik van.

NEN biedt gratis e-learning en tools aan om je huidige situatie te toetsen. Dit zijn laagdrempelige startpunten.

Wanneer wel certificeren?

Er zijn situaties waarin certificering voor een kleine praktijk toch zinvol is.

Als je diensten levert aan grote zorginstellingen die het eisen. Als je deel uitmaakt van een keten waarin certificering de afspraak is. Als je wilt uitbreiden en certificering een concurrentievoordeel biedt. Als je simpelweg de bevestiging wilt dat je het goed doet.

In die gevallen is certificering een investering die zich terugverdient. Maar voor de doorsnee huisarts, fysiotherapeut of tandarts is het geen noodzaak.

Praktisch aan de slag

Begin eenvoudig. Maak een lijstje van je leveranciers en check of ze gecertificeerd zijn. Kijk kritisch naar je wachtwoorden en toegangsrechten. Bespreek met je team wat de basisregels zijn. Schrijf op wat je doet bij een incident.

Als je dat hebt gedaan, ben je al een heel eind. Je hoeft geen perfectie na te streven. Je moet laten zien dat je erover hebt nagedacht en redelijke maatregelen hebt genomen.

En als je twijfelt of het genoeg is: vraag het aan je IT-leverancier of branchevereniging. Zij kennen de context en kunnen je helpen inschatten waar je staat.

Meer lezen

NEN 7513: loggingVoor IT-leveranciers