NEN 7510

NEN 7510-certificering is in de zorg niet wettelijk verplicht, maar steeds vaker onmisbaar. Zorgorganisaties moeten voldoen aan de AVG en andere wetgeving voor informatiebeveiliging. Met NEN 7510 toon je aan dat je dit aantoonbaar en structureel hebt ingericht. Inspecties zoals de IGJ hechten veel waarde aan het certificaat.

ISO 27001 is de internationale norm voor informatiebeveiliging. NEN 7510 is hierop gebaseerd, maar bevat zorgspecifieke eisen voor het veilig omgaan met medische gegevens. Wie al ISO 27001 heeft, kan NEN 7510 relatief eenvoudig combineren.

• Het opzetten van een managementsysteem voor informatiebeveiliging (ISMS).
• Het uitvoeren van een risicoanalyse van patiëntgegevens.
• Het implementeren van beveiligingsmaatregelen.
• Het opstellen van een informatiebeveiligingsbeleid.
• Het uitvoeren van interne audits en managementreviews.

Een NEN 7510-certificaat bewijst dat een zorgorganisatie patiëntgegevens veilig verwerkt en voldoet aan wetgeving zoals de AVG. Dit levert belangrijke voordelen op:

• Minder toezicht door de Inspectie Gezondheidszorg en Jeugd (IGJ).
• Meer vertrouwen van patiënten, zorgpartners en opdrachtgevers.
• Sterkere interne grip op processen en risico’s rondom informatiebeveiliging.
• Concurrentievoordeel bij aanbestedingen en samenwerkingen.

De norm NEN 7510 bestaat uit twee delen:

• NEN 7510-1 – beschrijft de eisen voor het opzetten en beheren van een informatiebeveiligingsmanagementsysteem (ISMS).
• NEN 7510-2 – bevat een uitgebreide lijst met beheersmaatregelen (controls) die helpen om risico’s te beperken.

Samen vormen ze de basis om informatiebeveiliging in de zorg aantoonbaar en structureel te regelen.

Het Statement of Applicability (SoA) is een verplicht document binnen NEN 7510. Hierin legt een organisatie vast:

• Welke beheersmaatregelen uit de norm wel of niet van toepassing zijn.
• Waarom bepaalde maatregelen zijn gekozen of uitgesloten.
• Hoe de organisatie invulling geeft aan informatiebeveiliging.

De SoA is een belangrijk hulpmiddel voor de auditor om de scope en diepgang van het ISMS te beoordelen.

De AVG (Algemene Verordening Gegevensbescherming) is een Europese wet die organisaties verplicht om zorgvuldig om te gaan met persoonsgegevens. NEN 7510 is een norm die organisaties in de zorg praktische handvatten geeft om die wettelijke verplichting aantoonbaar na te leven.

Kort gezegd: de AVG schrijft wat er moet gebeuren, NEN 7510 beschrijft hoe je dit in de praktijk organiseert en borgt.

De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet toe op de kwaliteit en veiligheid van zorgorganisaties. NEN 7510-certificering is geen wettelijke verplichting, maar de IGJ hecht er veel waarde aan.

Een NEN 7510-certificaat laat zien dat informatiebeveiliging aantoonbaar op orde is, en kan leiden tot minder intensief toezicht door de inspectie. Dit maakt certificering extra aantrekkelijk voor zorgorganisaties.

Ja. Niet alleen zorginstellingen, maar ook ICT- en softwareleveranciers die toegang hebben tot patiëntgegevens, vallen onder de eisen van NEN 7510. Denk aan leveranciers van elektronische patiëntendossiers, cloudopslag of medische apps.

Met een NEN 7510-certificaat tonen leveranciers aan dat zij medische gegevens veilig verwerken en betrouwbare partners zijn in de zorgketen. Steeds vaker eisen zorgorganisaties dit ook contractueel van hun ICT-partners.

De weg naar certificering begint met het opzetten van een ISMS volgens NEN 7510. Daarna volgen: een risicoanalyse, het implementeren van maatregelen, interne audits en een managementreview. Vervolgens voert een onafhankelijke certificeringsinstantie zoals TÜV NORD de externe audit uit.

Het certificaat heeft geen vaste einddatum, maar blijft geldig zolang de organisatie jaarlijks de verplichte toezichtaudits succesvol doorloopt en het ISMS actueel houdt. Elke drie jaar volgt een hercertificering.

De kosten hangen af van de grootte en complexiteit van de organisatie. Factoren zijn o.a. het aantal locaties, medewerkers en systemen. TÜV NORD stelt altijd een offerte op maat op.

Ja. Veel zorginstellingen combineren NEN 7510 met ISO 27001 of HKZ-certificering. Dit bespaart tijd en kosten, omdat de normen deels overlappen en audits gecombineerd kunnen worden.

Een goede voorbereiding op de externe audit bespaart tijd en voorkomt afwijkingen. Belangrijke stappen zijn:

• Interne audits uitvoeren om te toetsen of processen werken.
• Managementreview doen en verbeterpunten vastleggen.
• Eerdere auditrapporten doornemen en controleren of bevindingen zijn opgelost.
• Bewijsstukken klaarleggen zoals beleidsdocumenten, risicoanalyses en registraties.

Met deze voorbereiding kan de externe auditor efficiënt beoordelen of de organisatie aan de norm voldoet.

Een informatiebeveiligingsbeleid is geen eenmalig document. Volgens de PDCA-cyclus (Plan, Do, Check, Act) moet het beleid regelmatig worden herzien. Minimaal:

• Eén keer per jaar tijdens de managementreview.
• Bij grote wijzigingen zoals nieuwe systemen, wetgeving of datalekken.

Zo blijft het beleid actueel en sluit het altijd aan op de praktijk van de zorgorganisatie.

Risicomanagement vormt de kern van NEN 7510. Zorgorganisaties moeten alle risico’s rondom patiëntgegevens systematisch in kaart brengen, beoordelen en behandelen.

Dit betekent dat je niet alleen kijkt naar technische risico’s zoals hacks of datalekken, maar ook naar menselijke fouten of onveilige processen. Door risico’s vooraf te identificeren en maatregelen te nemen, wordt informatiebeveiliging structureel en aantoonbaar geregeld.

NEN 7510-2 bevat een uitgebreide lijst met beheersmaatregelen (controls) die zorgorganisaties kunnen toepassen. Voorbeelden zijn:

• Toegangsbeheer: alleen geautoriseerd personeel krijgt toegang tot systemen en dossiers.
• Encryptie en back-ups: patiëntgegevens worden versleuteld opgeslagen en veilig geback-upt.
• Logging en monitoring: alle toegang en wijzigingen worden geregistreerd en gecontroleerd.
• Fysieke beveiliging: ruimtes met gevoelige data worden beschermd met sloten of pasjes.
• Incidentmanagement: duidelijke procedures voor het melden en oplossen van beveiligingsincidenten.

Deze maatregelen helpen om risico’s concreet te beheersen en aan de norm te voldoen.

Medewerkers spelen een cruciale rol in informatiebeveiliging. Organisaties vergroten bewustzijn met trainingen, interne campagnes en een open meldcultuur. Tools zoals de NEN 7510-bewustwordingstool helpen om houding en gedrag inzichtelijk te maken.

Een beleid bestaat uit het uitvoeren van een risicoanalyse, het kiezen van maatregelen, het vastleggen van verantwoordelijkheden en het toepassen van de PDCA-cyclus (Plan, Do, Check, Act). Dit beleid vormt de basis voor certificering.

Een NEN 7510-certificaat wordt altijd afgegeven voor een periode van drie jaar. In die periode geldt het volgende auditregime:

• Jaarlijks voert een auditor een toezichtaudit uit om te controleren of het informatiebeveiligingsmanagementsysteem (ISMS) nog steeds voldoet aan de norm.
• Elke drie jaar vindt een hercertificeringsaudit plaats, waarbij het hele systeem opnieuw beoordeeld wordt.

Daarnaast is het belangrijk dat een zorgorganisatie zelf regelmatig interne audits uitvoert en een managementreview houdt om de continuïteit van informatiebeveiliging te waarborgen.

Alleen een onafhankelijke en erkende certificeringsinstelling mag een NEN 7510-certificaat afgeven. TÜV NORD is een internationaal erkende en onafhankelijke certificeringsinstantie, gespecialiseerd in de zorg en informatiebeveiliging. Dit garandeert dat het certificaat betrouwbaar en breed geaccepteerd is.