Privacy & Beveiliging

Wat is NEN7510? Uitleg voor zorgaanbieders

NEN7510 is de Nederlandse norm voor informatiebeveiliging in de zorg - en bij vrijwel elke EPD- of ECD-selectie kom je 'm tegen. In dit artikel: wat NEN7510 is, hoe het zich verhoudt tot ISO 27001 en de AVG, hoe certificering werkt en welke vragen je aan een leverancier stelt om vage marketing-claims te scheiden van échte compliance.

12 mei 20268 min lezen
Handen typen op een toetsenbord aan een lichte werkplek - digitale gegevensverwerking onder NEN7510-informatiebeveiliging

Wat is NEN7510?

NEN7510 is de norm voor informatiebeveiliging in de Nederlandse zorgsector, uitgegeven door NEN (Nederlands Normalisatie-instituut). De norm beschrijft hoe zorgorganisaties een Information Security Management System (ISMS) moeten opzetten en welke concrete controlemaatregelen ze moeten implementeren om patiëntgegevens te beschermen.

De norm bestaat uit twee delen:

  • NEN7510-1 - eisen aan het management- framework: risico-identificatie, beleid, evaluatie en continue verbetering
  • NEN7510-2 - concrete controlemaatregelen (controls): toegangsbeheer, logging, fysieke beveiliging, leveranciers-management, incident-response, etc.

Het verband met ISO 27001

NEN7510 is gebaseerd op ISO 27001, de internationale norm voor informatiebeveiligingsmanagement. NEN7510 voegt zorgspecifieke eisen toe op punten waar de generieke ISO-norm tekortschiet voor de zorg:

  • Bescherming van bijzondere persoonsgegevens (gezondheid)
  • Beroepsgeheim en informatieplicht
  • Specifieke risico's van zorgprocessen (dossier-deling, spoedzorg, multidisciplinaire teams)
  • Aansluiting op de zorgkaders zoals de Wkkgz, de WGBO en de AVG

Een organisatie kan beide certificeringen tegelijk hebben. Voor zorgaanbieders is NEN7510 de relevantere norm; voor leveranciers van zorgsoftware vaak beide, omdat zij ook internationaal opereren.

NEN7512 en NEN7513: de zustenormen

NEN7510 staat niet alleen. Er zijn twee zustenormen die je tegenkomt:

  • NEN7512 - beveiliging van elektronische informatie-uitwisseling tussen zorgverleners onderling en met externe partijen (zorgverzekeraars, gemeenten, het CAK, etc.). Relevant voor iWMO-, iJW- en iWLZ-berichtenverkeer en voor Zorgmail-achtige communicatie.
  • NEN7513 - eisen aan logging van toegang tot patiëntgegevens. Wie heeft wanneer welk dossier bekeken? Een audit-log is geen optie maar een eis - en de exacte invulling staat in NEN7513.

Voor een complete compliance-aanpak werken alle drie de normen samen: NEN7510 voor het algehele beveiligingsmanagement, NEN7512 voor uitwisseling en NEN7513 voor toegangslogging.

NEN7510 en AVG: aanvullend, niet hetzelfde

Veel zorgaanbieders verwarren NEN7510 met de AVG (Algemene Verordening Gegevensbescherming). Ze raken elkaar wel, maar dekken verschillende dingen:

  • AVG - juridisch kader voor gegevensverwerking (rechtsgronden, betrokkenenrechten, meldplicht datalekken, sancties bij overtreding)
  • NEN7510 - technisch-organisatorisch kader voor hoe je informatiebeveiliging in de zorg inricht (ISMS, controles, audits)

De AVG verplicht je tot "passende beveiligingsmaatregelen" (art. 32), maar laat in het midden wat passend is. NEN7510 vult die open norm in voor de zorg-context. Wie NEN7510 toepast, heeft een sterk argument richting de Autoriteit Persoonsgegevens dat de beveiligingsmaatregelen passend zijn.

Is NEN7510 verplicht?

Niet als zelfstandige wet, maar in de praktijk vrijwel onvermijdelijk:

  • Wkkgz (Wet kwaliteit, klachten en geschillen zorg) en het Besluit elektronische gegevensverwerking door zorgaanbieders verwijzen naar NEN7510 als de norm voor informatiebeveiliging
  • Zorgverzekeraars stellen NEN7510-conformiteit of -certificering vaak als contracteervoorwaarde
  • Gemeenten doen hetzelfde bij Wmo- en Jeugdwet-aanbestedingen
  • Inspectie Gezondheidszorg en Jeugd (IGJ) en de Autoriteit Persoonsgegevens kijken naar NEN7510 bij toetsing

Voor zorgaanbieders die patiëntgegevens digitaal verwerken is werken volgens NEN7510 daarmee de norm. Certificering is sterk aanbevolen voor middelgrote en grote organisaties; contractueel verplicht in veel gevallen.

Wat staat er in NEN7510?

De controles in NEN7510-2 zijn gegroepeerd in hoofdthema's. Een greep uit wat een NEN7510-conforme zorgaanbieder doorgaans heeft geregeld:

  • Beleid en organisatie - informatiebeveiligingsbeleid, rollen en verantwoordelijkheden, beveiligingsbewustzijn
  • Risicobeheer - structurele risico-analyse en mitigatie
  • Toegangsbeheer - identiteits- en rechtenbeheer, sterke authenticatie, principe van least privilege
  • Fysieke beveiliging - locaties, serverruimtes, mediabeheer
  • Operationele beveiliging - back-ups, patching, kwetsbaarhedenbeheer, scheiding van productie/test
  • Communicatiebeveiliging - netwerken, informatieoverdracht, e-mail- en messaging-policies
  • Leveranciersmanagement - verwerkersovereenkomsten, audits, controle op sub-verwerkers
  • Incident-response - meldprocedures, forensisch onderzoek, lessons-learned
  • Continuïteit - bedrijfscontinuïteits- planning, uitwijklocaties, hersteloefeningen
  • Compliance en audit - interne audits, management-review, continue verbetering

Certificering: het proces

NEN7510-certificering volgt een vast patroon:

  1. Voorbereiding - beleid, processen en documenten op orde brengen, ISMS implementeren, gap- analyse uitvoeren
  2. Stage 1 audit - de geaccrediteerde certificeringsinstantie controleert of het systeem op papier voldoet
  3. Stage 2 audit - controle of het systeem ook in de praktijk werkt zoals beschreven
  4. Certificaat - uitgereikt door de certificeringsinstantie, doorgaans drie jaar geldig
  5. Surveillance-audits - jaarlijkse controle of de organisatie nog steeds voldoet
  6. Hercertificering - volledige audit voor verlenging

Bekende geaccrediteerde certificeringsinstanties die in Nederland NEN7510 certificeren zijn onder andere Kiwa, DEKRA, BSI en LRQA. Niet elk advies- of consultancybureau mág certificeren - een geldig certificaat komt van een door de Raad voor Accreditatie geaccrediteerde instantie.

NEN7510 als criterium bij EPD/ECD-keuze

Bij een EPD- of ECD-selectie is NEN7510-certificering van de leverancier een kerncriterium. Maar "wij zijn NEN7510" is niet hetzelfde als "wij zijn gecertificeerd" - en het uitvragen vraagt scherpte:

  • Geldig certificaat? - vraag om een kopie en de geldigheidsdatum
  • Welke scope? - alleen de leverancier zelf, of ook de hosting-partij en sub-verwerkers
  • Welke certificeringsinstantie? - moet door de Raad voor Accreditatie zijn geaccrediteerd
  • Hoe recent is de laatste audit? - surveillance-audits zijn jaarlijks; een audit van vier jaar geleden is een signaal
  • Hoe wordt NEN7513-logging ingevuld? - is alle dossier-toegang gelogd en hoe lang wordt dat bewaard
  • Hoe is incident-response geregeld? - hoe wordt een datalek bij de leverancier gedetecteerd, gemeld aan jou en afgehandeld
  • Wordt het certificaat overlegd vóór ondertekening? - een leverancier die wacht tot na contracteren is een rode vlag

Voor een breder beoordelingskader, lees ECD vergelijken: 8 criteria voor een goede keuze of EPD vergelijken: 8 criteria voor je praktijk.

Veelvoorkomende misvattingen

"NEN7510 is alleen voor grote instellingen"

Niet waar. Voor de norm zelf geldt geen organisatie-ondergrens. Wat verschilt is de implementatie-zwaarte: een ZZP'er hoeft niet hetzelfde ISMS te bouwen als een instelling met duizend medewerkers, maar moet wel de basis op orde hebben (sterke wachtwoorden, twee-factor-authenticatie, veilige opslag, een NEN7510-gecertificeerde EPD-leverancier). Voor middelgrote en grotere organisaties is eigen certificering doorgaans onvermijdelijk.

"Mijn EPD is NEN7510, dus ik ben veilig"

De certificering van je EPD-leverancier dekt alleen wat binnen hún scope valt. Jouw eigen werkprocessen, medewerkers, devices, communicatie buiten het EPD en papieren stromen vallen buiten die certificering. Een gecertificeerde leverancier gebruiken is noodzakelijk, maar niet voldoende - je moet zelf ook NEN7510-conform werken.

"NEN7510 en AVG zijn hetzelfde"

Nee. De AVG is een juridisch kader, NEN7510 is een technisch-organisatorische norm. Ze raken elkaar maar dekken verschillende dingen. Voldoen aan één betekent niet automatisch voldoen aan de ander - al maakt NEN7510 voldoen aan AVG-art. 32 ("passende beveiligingsmaatregelen") een stuk makkelijker te onderbouwen.

"Wij werken volgens NEN7510, dus we zijn klaar"

"Werken volgens" is niet hetzelfde als "voldoen aan". Pas met een geldig certificaat van een geaccrediteerde instantie heb je extern aantoonbaar bewijs. Voor kleine ZZP-praktijken is conformiteit zonder certificaat vaak voldoende; voor grotere organisaties is een geldig certificaat doorgaans een contracteervoorwaarde.

Conclusie

NEN7510 is geen optionele extra voor de zorg - het is de praktijk-norm geworden voor informatiebeveiliging, ondersteund door wetgeving, zorgverzekeraars, gemeenten en toezichthouders. Voor een zorgaanbieder betekent dat twee dingen: zelf werken volgens NEN7510-principes (en bij grotere organisatie zelf certificeren), en alleen met EPD/ECD-leveranciers in zee gaan die aantoonbaar gecertificeerd zijn voor de volledige scope inclusief hosting.

Praktische tip: vraag bij elke EPD- of ECD-demo om een kopie van het NEN7510-certificaat, de certificeringsinstantie en de datum van de laatste surveillance-audit. Een leverancier die deze gegevens niet direct kan tonen, is een aandachtspunt. Een leverancier die alleen "we werken volgens NEN7510" zegt zonder certificaat te overleggen, dekt waarschijnlijk minder af dan je denkt.

Veelgestelde vragen

Is NEN7510 wettelijk verplicht?

Niet als zelfstandige wet, maar in de praktijk vrijwel onvermijdelijk. De Wkkgz (Wet kwaliteit, klachten en geschillen zorg) en het Besluit elektronische gegevensverwerking door zorgaanbieders verwijzen naar NEN7510 als de norm voor informatiebeveiliging in de zorg. Zorgverzekeraars en gemeenten eisen bij contractering vaak NEN7510-certificering of -conformiteit. Voor zorgaanbieders die patiëntgegevens digitaal verwerken is werken volgens NEN7510 dus in alle redelijkheid verplicht, certificering is sterk aanbevolen of contractueel vereist.

Wat is het verschil tussen NEN7510 en ISO 27001?

NEN7510 is gebouwd op ISO 27001 maar voegt zorgspecifieke uitwerkingen toe. ISO 27001 is een internationale generieke norm voor informatiebeveiligingsmanagement (ISMS); NEN7510 vertaalt dat naar de Nederlandse zorgcontext - met aandacht voor patiëntgegevens, beroepsgeheim, dossierbescherming en specifieke risico's van zorgprocessen. Een organisatie kan beide certificeringen tegelijk hebben. Voor zorgaanbieders is NEN7510 de relevantere norm; voor leveranciers van zorgsoftware vaak beide.

Wat is het verschil tussen NEN7510-1 en NEN7510-2?

NEN7510-1 beschrijft de eisen aan het Information Security Management System (ISMS) - het management-framework: hoe je risico's identificeert, beleid maakt, evalueert en verbetert. NEN7510-2 geeft de concrete controlemaatregelen (controls) waarmee je die risico's beheerst - vergelijkbaar met de Annex A van ISO 27001 maar dan zorgspecifiek. Voor certificering moet je beide aantoonbaar implementeren.

Hoe verhoudt NEN7510 zich tot NEN7512 en NEN7513?

NEN7510 is de hoofdnorm voor informatiebeveiliging in de zorg. NEN7512 gaat specifiek over de beveiliging van elektronische informatie-uitwisseling tussen zorgverleners onderling en met andere partijen (bv. zorgverzekeraars, gemeenten). NEN7513 regelt de eisen aan logging van toegang tot patiëntgegevens - wie heeft wanneer welk dossier bekeken. Voor een complete compliance-aanpak werken alle drie de normen samen: NEN7510 voor het algehele beveiligingsmanagement, NEN7512 voor uitwisseling, NEN7513 voor toegangslogging.

Moet ik als ZZP'er ook NEN7510-gecertificeerd zijn?

Voor een individuele ZZP'er is een eigen NEN7510-certificering meestal onhaalbaar qua kosten en overhead. Wat wél geldt: je moet werken vólgens NEN7510-principes en kunnen aantonen dat je gegevensverwerking voldoet aan de norm. Praktisch gezien betekent dat: gebruik een NEN7510-gecertificeerde EPD-leverancier en zorgsoftware-keten, leg in je eigen administratie vast hoe je omgaat met dossiers en datalekken, en train jezelf in basisbeveiliging (sterke wachtwoorden, twee-factor-authenticatie, veilige communicatiekanalen). Voor grotere praktijken en organisaties is eigen certificering wel meestal noodzakelijk.

Wat kost NEN7510-certificering?

Sterk afhankelijk van de organisatiegrootte en complexiteit van je processen. Voor een kleine zorgpraktijk ligt het totale traject (audit + voorbereidende consultancy + ISMS-tools) vaak tussen €5.000 en €15.000 voor het eerste jaar. Voor grotere instellingen kan dat oplopen tot tienduizenden euro's. Het certificaat zelf is doorgaans drie jaar geldig met jaarlijkse surveillance-audits. De grootste kostenpost is meestal niet de audit zelf maar de interne tijd om beleid en processen op te stellen. Een EPD-leverancier die zelf NEN7510-gecertificeerd is, neemt een deel van het werk uit handen.

Wat moet ik checken bij mijn EPD- of ECD-leverancier?

Vraag concreet: (1) Bent u NEN7510-gecertificeerd? Door welk geaccrediteerd certificeringsbureau? (2) Welke scope heeft die certificering - alleen de leverancier of ook de hosting-partij? (3) Wanneer is de meest recente audit geweest en is het certificaat nog geldig? (4) Hoe wordt de NEN7510-conformiteit van sub-verwerkers (cloud-leverancier) gewaarborgd? (5) Krijgt elke klant een NEN7510-conforme verwerkersovereenkomst? Een leverancier die hier vaag over doet, of die alleen 'we werken volgens NEN7510' zegt zonder geldig certificaat, is een aandachtspunt.