Skip to content

NEN 7510 certificering: wat verandert er met NEN 7510-1:2024 voor de bescherming van patiëntgegevens?

Computer scherm in de zorg met patient data

Cyberaanvallen komen vaker voor en wetgeving rondom patiëntgegevens wordt strenger. Tegelijkertijd wordt zorginformatie steeds vaker gedeeld binnen de zorgketen.

De vraag is: kun je aantonen dat jouw organisatie deze gegevens echt goed beschermt?
Voor organisaties die patiëntgegevens verwerken, wordt dit steeds vaker gevraagd door toezichthouders, ketenpartners en opdrachtgevers.

Een incident kan direct leiden tot reputatieschade, AVG-risico’s en extra toezicht. Daarom is het belangrijk om informatiebeveiliging structureel en aantoonbaar op orde te hebben.

Om organisaties daarbij te ondersteunen, is de norm NEN 7510 recent herzien (NEN 7510-1:2024 en NEN 7510-2:2024). Deze nieuwe versie sluit beter aan op actuele cyberdreigingen, strengere wetgeving en internationale standaarden zoals ISO/IEC 27001:2022 en ISO/IEC 27002:2022.

2026 is daarmee een goed moment om de voorbereiding op de transitie naar de nieuwe normversie te starten.

In deze blog zetten we de belangrijkste punten overzichtelijk voor je op een rij en vooral wat je als organisatie nu praktisch kunt doen.

 

Wat is NEN 7510 (en wat is NCS 7510:2025)?
NEN 7510 is dé Nederlandse norm voor informatiebeveiliging in de zorgsector, speciaal gericht op het beschermen van medische gegevens en patiëntinformatie.
De meest recente versie van de norm bestaat uit twee onderdelen:

NEN 7510-1:2024: beschrijft de eisen voor het managementsysteem voor informatiebeveiliging in de zorg.
NEN 7510-2:2024: bevat de bijbehorende beveiligingsmaatregelen die organisaties moeten implementeren.

Samen vormen deze onderdelen het kader waarmee organisaties informatiebeveiliging in de zorg aantoonbaar kunnen organiseren en verbeteren.

De belangrijkste verschillen op een rij

De overstap naar de 2024-versie is meer dan een tekstuele update. De norm sluit nu nauwer aan op internationale standaarden en actuele risico’s binnen de zorgsector.

Voor wie is NEN 7510 certificering belangrijk?
NEN 7510 is in de eerste plaats bedoeld voor zorgorganisaties die patiëntgegevens verwerken, zoals:

• Huisartsenpraktijken
• GGZ-instellingen
• Verpleeghuizen en andere zorginstellingen
• Thuiszorgorganisaties
• Apotheken
• Psychologenpraktijken
• Ziekenhuizen

Daarnaast is NEN 7510 ook relevant voor organisaties in de zorgketen die patiëntgegevens verwerken of beheren, zoals:

• IT- en hostingproviders
• Leveranciers van EPD’s en zorgapps
• Medische laboratoria
• Administratieve dienstverleners
• Andere ketenpartners die zorgdata verwerken

 

Wat verandert er in de praktijk?
De kern van de update is een strengere focus op aantoonbaarheid. Organisaties moeten duidelijk kunnen laten zien dat hun managementsysteem voor informatiebeveiliging (ISMS) actueel is, daadwerkelijk werkt in de praktijk en meebeweegt met nieuwe risico’s.

Belangrijke aandachtspunten hierbij zijn:

  • Een scope die naadloos aansluit bij de werkelijke verwerking van patiëntgegevens.
  • Zorgspecifieke risicoanalyses en bijbehorende beheersmaatregelen.
  • Betere aansluiting op internationale ISO-normen.
  • Meer aandacht voor compliance en beveiliging binnen de gehele zorgketen.
NEN 7510 is geen papieren certificaat. Het is het bewijs dat je als organisatie patiëntgegevens écht onder controle hebt, elke dag opnieuw.

— Jorrit Jorritsma

Auditor TÜV NORD Nederland

Jouw actieplan voor 2026

Wachten tot het laatste moment is risicovol, omdat implementatie en bewijsopbouw tijd kosten. De overstap moet uiterlijk vóór 20 februari 2027 zijn afgerond.

Organisaties die uitsluitend gecertificeerd zijn voor NEN 7510 (zonder ISO/IEC 27001) doorlopen hiervoor een transitie-audit met een minimale auditduur van 0,5 dag.

 

Praktische checklist:

1. Doe een gap-analyse
Ontdek waar jouw huidige managementsysteem nog afwijkt van de nieuwe eisen.

2. Herijk je scope
Controleer of je certificatiescope nog aansluit bij de huidige datastromen.

3. Update je risicoanalyse
Zorg dat zorgspecifieke risico’s aantoonbaar zijn meegenomen.

4. Bouw bewijs op
Focus op registraties, incidentprocessen en afspraken met leveranciers.

5. Plan de transitie slim
Integreer de transitie-audit bij voorkeur in een reguliere controle- of hercertificeringsaudit.

Klaar om te weten waar je staat?

Wil je snel inzicht in wat deze update voor jouw organisatie betekent? De experts van TÜV NORD Nederland helpen je graag met een praktische aanpak.

• Plan een korte overgangscheck met een van onze experts.
• Ontvang een voorstel voor een auditplanning die past bij jouw cyclus.

Stel je vraag

Veelgestelde vragen over ISO 14001:2026

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm helpt zorgorganisaties en ketenpartners om patiëntgegevens veilig te verwerken, op te slaan en te delen.

 

NEN 7510-1:2024 is relevant voor zorginstellingen én organisaties in de zorgketen die patiëntgegevens verwerken, opslaan of beheren. Denk aan ziekenhuizen, GGZ-instellingen, huisartsenpraktijken, maar ook aan IT-leveranciers, hostingpartijen en medische laboratoria.

 

De nieuwe versie legt meer nadruk op aantoonbaarheid in de praktijk, actuele risico’s en beveiliging binnen de zorgketen. Daarnaast sluit de norm beter aan op internationale standaarden zoals ISO/IEC 27001:2022 en ISO/IEC 27002:2022.

Start met een gap-analyse om te bepalen waar je huidige managementsysteem nog afwijkt van de nieuwe eisen. Herijk daarnaast je scope en risicoanalyse en zorg dat processen zoals incidentmanagement en leveranciersbeheer aantoonbaar goed functioneren.

Organisaties die gecertificeerd zijn volgens NEN 7510:2017 (incl. A1:2020) moeten uiterlijk vóór 20 februari 2027 overstappen naar de nieuwe normversie NEN 7510-1:2024.

Ja. NEN 7510 biedt een stevige basis om informatiebeveiliging aantoonbaar te organiseren en helpt organisaties om aan strengere eisen vanuit wetgeving en ketenpartners te voldoen.