Wat is NEN 7510 en is NEN 7510 verplicht in de zorg?

Als zorginstelling heb je te maken met patiënt- en gezondheidsgegevens. Gevoelige persoonsgegevens, die niet op straat moeten komen te liggen. Daarnaast ook essentiële data voor de continuïteit van het zorgproces. Dit maakt een zorginstelling kwetsbaar voor kwaadwillenden (bijv. ransomware). Logisch dus, dat al enige tijd in de wetgeving is opgenomen dat zorginstellingen moeten voldoen aan de eisen van NEN 7510, de norm voor informatiebeveiliging in de zorg. Certificering is hierbij niet verplicht, aantoonbaar voldoen wel. Het feit dat het toch met regelmaat misgaat, is wel een indicator dat informatiebeveiliging nog niet overal het juiste (NEN 7510) niveau heeft. En dat wekt geen verbazing, want zeg nu zelf: is veilig omgaan met informatie in jouw organisatie ‘on top of mind’? In dit blog zoomen we in op ‘wat is NEN 7510’, de voordelen en enkele best practices!

NEN 7510 is dé Nederlandse norm voor informatiebeveiliging in de zorg. De norm biedt een duidelijke structuur en heldere richtlijnen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van medische en persoonlijke gegevens (BIV). Juist omdat deze informatie zo gevoelig is, helpt NEN 7510 zorgorganisaties om risico’s te beheersen en gegevens veilig te verwerken, op te slaan en te delen.

De norm is gebaseerd op de internationale code voor informatiebeveiliging en sluit nauw aan op ISO 27001. Dat betekent dat organisaties die al met ISO-normen werken, eenvoudig kunnen uitbreiden naar NEN 7510. Centraal hierin staat het opzetten van een Information Security Management System (ISMS), waarmee je aantoont dat informatiebeveiliging in jouw organisatie structureel is geborgd.

Zorginstellingen, van ziekenhuizen en verpleeghuizen tot fysiotherapeuten en GGZ-instellingen, krijgen hiermee een praktische leidraad voor het formuleren, vastleggen en controleren van hun interne informatiebeveiliging. Niet alleen technische maatregelen zoals netwerkbeveiliging en encryptie spelen hierin een rol, maar ook bewustwording onder medewerkers. Want zonder beschikbaarheid van gegevens is goede zorg niet mogelijk. Kloppen gegevens niet? Dan kan dat leiden tot verkeerde diagnoses. En als vertrouwelijke data in verkeerde handen valt, ligt identiteitsfraude of imagoschade op de loer.

Ook ketenpartners, zoals softwareleveranciers of andere dienstverleners die toegang hebben tot patiëntgegevens, worden steeds vaker geacht om aan de eisen van NEN 7510 te voldoen. Met een NEN 7510 certificering toon je als organisatie aan dat je de beveiliging van gezondheidsdata serieus neemt. En dat is niet alleen noodzakelijk, maar ook essentieel voor het vertrouwen van patiënten en partners.

Is NEN 7510 verplicht? Ja én nee. De norm is in Nederland niet wettelijk verplicht, maar wordt wel indirect afgedwongen via andere wet- en regelgeving.

Daarnaast zijn er sectorafspraken en onderzoeken die de norm in de praktijk wél verplicht maken. Zo is NEN 7510 sinds 2023 verplicht voor ziekenhuizen. Aanleiding hiervoor was een onderzoek van de Inspectie Gezondheidszorg en Jeugd (IGJ), waaruit bleek dat:

Hoewel er geen blijvende gezondheidsschade is vastgesteld, onderstreepte het rapport het belang van structurele informatiebeveiliging.

Tot slot kan NEN 7510 ook een contractuele verplichting zijn. Denk aan:

Werk je met medische gegevens? Dan is de kans groot dat NEN 7510, direct of indirect, voor jouw organisatie verplicht is.

NEN 7510 is verplicht voor organisaties die medische of gezondheidsinformatie verwerken. Dit geldt niet alleen voor zorgaanbieders zelf, maar ook voor partijen die in de zorgketen actief zijn. De norm is van toepassing op organisaties die:

Concreet betekent dit dat NEN 7510 verplicht is voor onder andere:

Daarnaast wordt NEN 7510 vaak vereist als aansluitvoorwaarde in contracten met:

Werk je met gezondheidsinformatie – direct of via een interface of uitbesteding? Dan ontkom je er bijna niet aan: NEN 7510 is de norm waarmee je aantoont dat je de beveiliging van patiëntgegevens serieus neemt.

Zoals gezegd kan NEN 7510 een verplichtend karakter hebben en daardoor voelen als een ‘moetje’, maar het biedt organisaties ook wel degelijk voordelen. Hieronder een viertal voordelen van NEN 7510 opgesomd:

Ieder voordeel zetten we hieronder voor je uiteen.

Met een certificaat maak je aantoonbaar dat je voldoet aan alle eisen van een bepaalde certificering omdat je organisatie hierop getoetst is door een onafhankelijke externe partij. Je maakt het externe belanghebbenden makkelijk om vast te stellen dat je organisatie aan hun eisen/verwachtingen voldoet. Het zorgmanagementsysteem geeft je organisatie richtlijnen om met de informatiebeveiliging binnen je organisatie aan de slag te gaan. Dankzij de Plan-Do-Check-Act (PDCA) cyclus blijf je op een structurele en continue manier aan informatiebeveiliging binnen je organisatie werken. De jaarlijks terugkerende audit is daarbij een stok achter de deur. Je blijft je prestaties evalueren en optimaliseren en staat periodiek stil bij je huidige niveau en je toekomstplannen.

Daarnaast betekent het behalen van de NEN 7510 certificering ook dat je voldoet aan de externe eisen die je worden opgelegd en de geldende wet- en regelgeving. Al met al: je onderzoekt, beoordeelt en beheert de risico’s binnen je organisatie op een structurele manier. En daarnaast formaliseer je de processen, procedures en documentatie voor gegevensbeveiliging. Dit zorgt voor verlaging van de kans op incidenten met alle negatieve (imago-, financiële en andere) schadelijke consequenties van dien.

Het behalen van een certificering kan leiden tot meer klanten. Waarom? Omdat certificeringen steeds meer geëist worden vanuit opdrachtgevers en aanbestedingen vanuit zorgverzekeraars of vanuit de gemeente bijvoorbeeld.

Je hebt direct een voordeel ten opzichte van je concurrent wanneer je kunt aantonen dat je beschikt over een NEN 7510 certificering. Dat heeft weer te maken met het vorige voordeel: aantoonbare kwaliteit. Je opdrachtgever kan ervan uitgaan dat de processen binnen je organisatie netjes en gestructureerd zijn ingericht en dat er zorgvuldig om wordt gegaan met gevoelige persoonsgegevens. Maar niet alleen wekt de certificering vertrouwen voor partijen zoals zorgverzekeraars of de gemeente, ook cliënten hechten veel waarde aan de garantie van zorgvuldige omgang met gevoelige gegevens. De certificering helpt je dus ook aan een positief imago en hogere cliënttevredenheid!

Je processen worden gestroomlijnd en er ontstaat transparantie binnen je gehele organisatie. Daardoor zijn je medewerkers op de hoogte van de werkwijze en worden ze gemotiveerd om bij te dragen aan het aandragen van verbetervoorstellen. Daarnaast is het ook zaak dat je een aanspreekcultuur creëert waarbij fouten/incidenten niet worden gestraft, maar juist in het teken staan van het verbeteren van de organisatie. Algemene kenmerken/voordelen van ISO/NEN normen als het gaat om interne ontwikkelingen zijn dan ook:

Doordat je intensief aan de slag gaat met je processen, verhoog je de efficiëntie binnen alle lagen van je organisatie. Je krijgt dus meer voor elkaar in kortere tijd en met minder middelen. Daarmee gaat gepaard dat je tijdens de implementatie ook je kansen en risico’s in kaart brengt. Doordat je de risico’s hebt geïdentificeerd, kun je ook bijtijds bijsturen of zelfs risico’s voorkomen. Daarmee verhoog je de bedrijfszekerheid en voorkom je kosten als gevolg van je voorkomen risico’s. Kortom: de risico’s binnen je organisatie zijn kritisch onderzocht, beheerd en beoordeeld én je procedures, documentatie en processen voor gegevensbeveiliging zijn geformaliseerd.

Vaak wordt bij het implementeren van een ISO/NEN norm al snel gedacht aan het opstellen van een handboek. Dat is niet gek, in het verleden werd om een verplichte structuur van vastlegging gevraagd. In het handboek werd dan alles wat je deed op het gebied van bescherming van medische persoonsgegevens gedocumenteerd. Je kunt je voorstellen dat dit resulteert in een dik en wollig praktijkboek met allerlei procedures, formulieren en checklists!

Tegenwoordig is dit gelukkig niet meer het geval. Het verplichte handboek is verleden tijd met de komst van de nieuwe generatie normen. Er wordt niet meer gesproken over een handboek, maar over ‘gedocumenteerde informatie’.

Ondanks dat iedere zorginstelling verschillend is, zijn er een aantal belangrijke ‘lessons learned’ die voor iedere NEN 7510 implementatie toe te passen zijn:

Het implementeren van NEN 7510 vraagt om meer dan alleen het aanschaffen van de norm. Het is een serieus traject waarin draagvlak, samenwerking en bewustwording essentieel zijn. Een sterke interne kartrekker, betrokken stakeholders vanuit ICT, HR, directie en het primaire proces én medewerkers die snappen waarom informatiebeveiliging belangrijk is, dát is de sleutel tot succes. Begin klein, werk gestructureerd en maak risico’s concreet. Zo bouw je stap voor stap aan een solide en aantoonbaar werkend ISMS. Wil jij als zorgorganisatie of toeleverancier laten zien dat je zorgvuldig en professioneel omgaat met medische data? Laat het ons weten. Onze bevlogen adviseurs staan voor je klaar om je te helpen op weg naar een veilige, betrouwbare en NEN 7510-conforme organisatie.