Ja, deze verplichting volgt uit de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Op basis van deze wet is het Besluit elektronische gegevensverwerking zorg vastgesteld. In dit Besluit wordt de NEN7510 expliciet genoemd. Zorgorganisaties hebben dus de plicht om te voldoen aan de NEN7510, maar zorgorganisaties zijn niet verplicht een NEN7510 certificaat te behalen.
NEN7510 informatiebeveiliging in de zorg
Praktische begeleiding voor zorgorganisaties en zorgleveranciers.
NEN7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm beschrijft hoe zorgorganisaties patiëntinformatie beschermen en beschikbaar houden voor zorgverleners die deze informatie nodig hebben. Het gaat daarbij niet alleen om techniek, maar ook om organisatorische maatregelen, zoals afspraken, het toewijzen van verantwoordelijkheden en stroomlijnen van dagelijkse werkwijzen.
In de zorgpraktijk is informatie continu in beweging: tijdens behandelingen, overdrachten, incidenten en audits. NEN7510 sluit hierop aan en helpt je om informatiebeveiliging structureel te borgen.
Kwinzo begeleidt zorgorganisaties bij de implementatie van de NEN7510, met oog voor de praktijk én de eisen vanuit auditors en toezichthouders.
Voor wie is NEN7510 bedoeld?
NEN7510 is bedoeld voor zorginstellingen en voor leveranciers die met zorgdata werken. Concreet gaat het om alle organisaties die toegang hebben tot patiëntinformatie, deze informatie opslaan, verwerken of uitwisselen binnen de zorgketen. Denk hierbij aan ziekenhuizen, GGZ-instellingen en huisartsenposten, maar ook aan IT-leveranciers en softwareleveranciers van EPD’s en zorgapplicaties. Zorgorganisaties eisen vaak dat hun ICT-leveranciers een NEN7510 certificaat hebben.
De norm is toepasbaar op alle organisaties binnen de zorg. Voor kleinere, laagcomplexe zorgorganisaties heeft Kwinzo een methode om deze norm op een passende, eenvoudige manier, te implementeren. Meer weten? Kijk dan eens bij onze NEN7510 Toolkit.
Waarom NEN7510 belangrijk is in de zorgketen
In de zorg is informatie nooit neutraal. Dossiers worden geraadpleegd, gedeeld en aangevuld, vaak onder tijdsdruk. Tegelijkertijd gelden strenge eisen aan privacy en vertrouwelijkheid. Dat vraagt om duidelijke keuzes en vastgelegde afspraken.
Veel zorgorganisaties leunen hierbij op ervaring en impliciete werkwijzen. Dat gaat goed, totdat er iets verandert: een incident, een nieuwe leverancier of een wijziging in wetgeving. Dan blijkt vaak dat afspraken niet eenduidig zijn vastgelegd of verschillend worden geïnterpreteerd.
Die complexiteit stopt bovendien niet bij de grenzen van één organisatie, want patiëntinformatie beweegt zich door een zorgketen van zorgaanbieders, zorgverzekeraars, leveranciers en overheidsinstanties. Juist dat gezamenlijk gebruik van informatie vraagt om een duidelijke en eenduidige aanpak. Niet alleen voor techniek en gegevensuitwisseling, maar ook voor afspraken over verantwoordelijkheden, beveiliging en controle. NEN 7510 biedt hiervoor een gemeenschappelijk kader, zodat informatie veilig kan worden gedeeld zonder dat continuïteit van zorg onder druk komt te staan.
“NEN7510 helpt je om informatiebeveiliging zo in te richten dat je veilig en efficiënt kunt werken, elke dag opnieuw.”
De voordelen van NEN7510
1. Betere bescherming van patiëntgegevens
Tijdens de implementatie van NEN 7510 breng je risico’s in kaart en stel je passende maatregelen vast. Deze maatregelen worden onderdeel van de dagelijkse zorgpraktijk, waardoor patiëntinformatie beter beschermd is en incidenten sneller worden herkend en opgevolgd.
2. Vertrouwen binnen de zorgketen
Zorgorganisaties werken intensief samen in een groot netwerk van partners. Met de NEN7510 kun je aantonen dat de organisatie zorgvuldig omgaat met gevoelige informatie. Dat versterkt het vertrouwen bij patiënten, (toekomstige) ketenpartners en toezichthouders.
3. Voldoen aan wet- en regelgeving
NEN 7510 sluit direct aan op de AVG en andere (zorgspecifieke) wet- en regelgeving. De norm helpt om eisen rond privacy en informatiebeveiliging niet alleen in te richten, maar vooral ook aantoonbaar te maken. Zo kun je richting toezichthouders, zoals de IGJ, onderbouwen hoe risico’s zijn beheerst en waarom gemaakte keuzes passend zijn.
4. Efficiëntere bedrijfsprocessen
Met NEN7510 neem je veel bestaande werkwijzen rond informatie(beveiliging) onder de loep. Rollen, taken en verantwoordelijkheden worden duidelijker, wat leidt tot minder fouten en meer rust in de organisatie. Zo kunnen zorgprofessionals zich richten op goede zorg!
Voorbeeld uit de praktijk
Bij een zorginstelling werden patiëntgegevens gedeeld met een externe leverancier voor rapportages en analyses. De technische koppeling werkte goed en er was een verwerkersovereenkomst afgesloten. In de praktijk bleek echter onduidelijk wie verantwoordelijk was voor toegangsbeheer en periodieke controles.
Toen een medewerker van de leverancier uit dienst ging, bleef het account actief. Maanden later werd ontdekt dat dit account nog steeds toegang had tot patiëntgegevens. Gelukkig was er in dit geval geen misbruik vastgesteld.
Met de NEN7510 had dit voorkomen kunnen worden. De norm vereist namelijk duidelijke afspraken over verantwoordelijkheden binnen de keten, periodieke toegangscontroles en vastgelegde procedures voor in- en uitdiensttreding. Daarmee zou de toegang tijdig ingetrokken zijn en was het incident niet ontstaan.
NEN7510 implementatie in 6 stappen
1. Betrokkenheid – We creëren bewustwording en draagvlak binnen de organisatie.
2. Overzicht – We inventariseren met welke informatie, systemen, leveranciers en middelen jullie werken.
3. Risico’s – Wat kan er allemaal misgaan? We voeren een risicoanalyse en –beoordeling uit.
4. Beleid – We leggen werkbare afspraken vast in beleid. Dat geeft richting tijdens de implementatie
5. Praktijk – We gaan aan de slag! We implementeren de maatregelen in de dagelijkse praktijk.
6. Controles – We controleren of alles werkt zoals gepland. Als je ook een NEN7510 certificaat wilt behalen, dan rond je deze stap af met een certificeringsaudit. Daarna? Continue verbetering!
Welke stappen je zelf oppakt en waar wij ondersteunen, stemmen we af op jullie situatie.
Herziening NEN7510
In december 2024 is de NEN 7510 herzien om beter aan te sluiten bij actuele risico’s en ontwikkelingen binnen de zorg. Deze herziening heeft geleid tot de NEN 7510:2024. Organisaties die momenteel beschikken over een NEN 7510:2017-certificaat hebben tot 20 februari 2027 de tijd om over te stappen naar de nieuwe norm.
De herziening is onder andere doorgevoerd om aan te sluiten op de ISO 27001:2022, inclusief de nieuwe structuur. Hierdoor wordt de integratie met andere managementsystemen eenvoudiger.
Dit zijn de grootste wijzigingen:
- Een nieuwe structuur voor beheermaatregelen: van 14 domeinen naar 4 hoofdgroepen (organisatie, mens, fysiek en technologie)
- Minder maatregelen door samenvoeging en herformulering
- Toevoeging van zorgspecifieke maatregelen, in lijn met NIS2-eisen
- Minder vrijblijvende implementatierichtlijnen met meer nadruk op aantoonbaarheid
Slim certificeren met Kwinzo
NEN 7510 werkt alleen als de norm aansluit op de dagelijkse zorgpraktijk. Dat zien we bij zorgorganisaties en leveranciers in de zorgketen. Daarom werken wij volgens de Kwinzo-methode: slim standaardiseren waar het kan en maatwerk waar het nodig is om zorgprocessen goed te ondersteunen.
Wij helpen bij de vertaalslag van norm naar praktijk. Van meedenken over een haalbare aanpak tot ondersteuning bij implementatie en voorbereiding op audit en certificering. Altijd afgestemd op wat jouw organisatie nodig heeft om informatiebeveiliging aantoonbaar én werkbaar te borgen.
Wil je weten waar jouw organisatie staat en welke stappen logisch zijn richting NEN 7510? Plan een adviesgesprek en krijg helder inzicht in de vervolgstappen.
Deze klanten gingen jou voor
Veelgestelde vragen
Is voldoen aan de NEN7510 wettelijk verplicht?
Is een NEN7510 certificaat verplicht?
Nee, dat is niet verplicht. Het Besluit elektronische gegevensverwerking door zorgaanbieders verplicht zorgorganisaties om aantoonbaar te voldoen aan de NEN7510. Het behalen van een NEN7510 certificaat is een manier om dit aan te tonen, maar dit is niet de enige manier. Een organisatie kan ook een audit laten uitvoeren door een kundige en onafhankelijke auditor.
Hoe lang is een NEN7510 certificaat geldig?
Een NEN7510-certificaat is drie jaar geldig. In die periode vindt jaarlijks een controle-audit plaats. Tijdens de controle-audit wordt een deel van de onderdelen uit het ISMS opnieuw onder de loop genomen. Na drie jaar volgt weer een volledige hercertificering om het certificaat te verlengen. Daarmee toon je aan dat informatiebeveiliging geen eenmalig project is, maar structureel onderdeel van je organisatie.
Kan NEN7510 gecombineerd worden met ISO 27001?
Ja, NEN 7510 kan goed gecombineerd worden met ISO 27001. De normen sluiten inhoudelijk sterk op elkaar aan. In de praktijk wordt NEN 7510 vaak ingericht als zorgspecifieke aanvulling op een ISO 27001-managementsysteem. Door beide normen slim te combineren voorkom je dubbel werk en ontstaat één samenhangende aanpak voor informatiebeveiliging. Voor zorgorganisaties is het niet nodig om naast het NEN7510 certificaat ook een ISO27001 certificaat te behalen.
Hoeveel kost het om te voldoen aan de NEN7510?
Om te voldoen aan de NEN7510 moet een organisatie een Information Security Management System (ISMS) inrichten. Dat is eigenlijk gelijk aan een PDCA-cyclus, maar dan gericht op het beveiligen van informatie. De kosten voor het inrichten van een ISMS hangt af van een groot aantal factoren, zoals de omvang en complexiteit van de organisatie. Maar ook de mate waarin de organisatie ICT in eigen beheer heeft of dit heeft uitbesteed. Tijdens een geheel vrijblijvend adviesgesprek kunnen we samen met jou een begroting maken van geld, doorlooptijd en inzet.