NEN 7510: Informatiebeveiliging in de zorg

INEN 7510 is dé Nederlandse norm voor informatiebeveiliging in de zorgsector. De norm is gebaseerd op ISO 27001, maar voegt zorgspecifieke eisen toe. Dit is met name rond de verwerking van medische persoonsgegevens en de samenwerking tussen zorgaanbieders.

Voor zorgaanbieders is NEN 7510 niet vrijblijvend: de norm is wettelijk verankerd via de Wabvpz en het Besluit elektronische gegevensverwerking door zorgaanbieders, en sluit aan op de AVG en de Wkkgz. De IGJ ziet toe op naleving en gebruikt NEN 7510 als toetskader.

Plan een kennismaking
Twee mannen hebben een gesprek op een kantoor. Ze zitten aan een tafel met laptops voor zich. Een van hen gebruikt een laptop met een scherm dat een zakelijke presentatie toont.

Voor wie is NEN 7510 relevant?

  • Zorgaanbieders (ziekenhuizen, huisartsen, ggz, tandartsen, fysiotherapeuten, apothekers, etc.). 

  • Leveranciers van zorg-ICT en zorg-SaaS die elektronische patiëntdossiers (EPD's) leveren of beheren. 

  • Organisaties die medische gegevens verwerken voor of namens zorgaanbieders. 

  • Onderzoeksinstellingen en farmaceuten die met medische data werken. 

Hoe is de norm opgebouwd en wat vraagt certificering?

NEN 7510 vraagt om een managementsysteem voor informatiebeveiliging dat specifiek is ingericht op de zorgsector. Net als ISO 27001 volgt de norm de Plan-Do-Check-Act-cyclus: je brengt risico's in kaart, treft passende maatregelen, meet of ze werken en stuurt bij. De norm bestaat uit twee delen:

  • Het zorgspecifieke equivalent van ISO 27001. Dezelfde managementeisen: context bepalen, leiderschap, risicobeoordeling, uitvoering en continue verbetering., maar dan toegepast op de zorgsector. Dat betekent andere risico's, andere stakeholders (IGJ, zorgverzekeraars, ketenpartners) en andere verwachtingen.

  • Het zorgspecifieke equivalent van ISO 27002. Waar ISO 27002 de algemene beheersmaatregelen uitwerkt, voegt NEN 7510-2 daar zorgspecifieke eisen aan toe. Bijvoorbeeld rond toegang tot patiëntdossiers, logging van inzage, gegevensuitwisseling tussen zorgverleners en de bescherming van bijzondere persoonsgegevens. Welke maatregelen je toepast, hangt af van je risicoanalyse en de scope van je certificering.

Certificering wordt uitgevoerd door een geaccrediteerde certificatie-instelling. Die toetst jaarlijks of het managementsysteem in opzet én werking voldoet. Wie al ISO 27001-gecertificeerd is, heeft een flinke voorsprong: de stap naar NEN 7510 betekent dan vooral het toevoegen van de zorgspecifieke maatregelen, niet het hele systeem opnieuw bouwen.

Hoe helpt Rethink bij NEN 7510?

We begeleiden zorgaanbieders en hun ICT-leveranciers met implementatie en certificering van NEN 7510 volgens ons vijf-fasenmodel: van strategie en assessment via inrichting en implementatie tot certificering en doorlopend beheer. Onze CISO-, SO-, PO- en FG-as-a-service vullen de operationele fasen structureel in. 

NEN 7510 wordt vaak gebruikt in combinatie met ISO 27001. Onze consultants kennen de zorgsector, we weten wat een EPD is, hoe een logging-eis zich verhoudt tot de praktijk van een drukke polikliniek, en waarom een huisartsenpraktijk anders werkt dan een academisch ziekenhuis.  

Meer over Advies & Begeleiding
Meer over CISO as a Service
Twee mannen hebben een gesprek op een kantoor. Ze zitten aan een tafel met laptops voor zich. Een van hen gebruikt een laptop met een scherm dat een zakelijke presentatie toont.

Veelgestelde vragen

  • Strikt genomen is er geen certificatieplicht. Maar de Wabvpz eist passende beveiliging van persoonsgegevens in de zorg, en NEN 7510 is de Nederlandse norm waarmee je aantoont dat je dat doet. In de praktijk wordt certificering steeds vaker als minimum verwacht. Bijvoorbeeld door verzekeraars, samenwerkende zorgaanbieders en de Inspectie Gezondheidszorg en Jeugd.

  • Ja, en dat raden we sterk aan. NEN 7510 is gebaseerd op ISO 27001, dus één integraal managementsysteem kan aan beide normen voldoen. Dat scheelt veel dubbel werk.

  • NEN 7510 gaat over het managementsysteem voor informatiebeveiliging in de zorg. NEN 7512 gaat over vertrouwensbasis bij gegevensuitwisseling tussen zorgpartijen. NEN 7513 gaat over logging van toegang tot elektronische patiëntdossiers. Ze vullen elkaar aan; voor de meeste zorgaanbieders is NEN 7510 het startpunt.

  • Indirect ja. Een zorgaanbieder is eindverantwoordelijk voor de bescherming van patiëntgegevens. Als je die verwerking uitbesteedt, moet je dat ook contractueel afdekken. Veel zorg-ICT-leveranciers kiezen daarom voor eigen een NEN 7510-certificering. Dat maakt het voor zorgaanbieders makkelijker om aan hun eigen verplichtingen te voldoen.

  • Lever je zorg? Dan val je in cluster Z. Denk aan ziekenhuizen, huisartsen, ggz, thuiszorg, tandartsen en fysiotherapeuten. Je certificering moet dan minimaal één primair zorgproces omvatten. Werk je mét zorggegevens, maar ben je zelf geen zorgaanbieder (zoals zorg-ICT, EPD-leveranciers of hosting)? Dan zit je in cluster B. Voorwaarde: je hebt aantoonbaar een zorginstelling als klant. Heb je die niet, dan is ISO 27001 een prima alternatief. Niet zeker waar je valt? We denken graag even met je mee.

Drie mensen in een gesprek in een kantoorruimte, twee mannen en een vrouw, met laptops en kopjes koffie op de tafel.

10+ Jaar
ervaring

Expertise

Menselijk &
pragmatisch

Geperfectioneerde aanpak

Bij 100+
organisaties

Bewezen succes

Klaar om te beginnen?

Een eerste gesprek kost je niks. We brengen je specifieke situatie in kaart, geven een eerlijk beeld van wat erbij komt kijken en of wij de juiste partij zijn. Geen verkooppraatje, gewoon een open gesprek. 

Man in een blazer en witte overhemd zit aan een houten tafel, praat met een mobiele telefoon tegen zijn oor, er ligt een laptop voor hem.
Man in een blazer en witte overhemd zit aan een houten tafel, praat met een mobiele telefoon tegen zijn oor, er ligt een laptop voor hem.