Wat is NEN 7510 en is NEN 7510 verplicht in de zorg?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector is niet wettelijk verplicht, maar wordt indirect afgedwongen via wetgeving zoals de AVG en contractuele eisen van ketenpartners. Organisaties zoals ziekenhuizen, huisartsen en IT-leveranciers in de zorg hebben hier vaak mee te maken. Met NEN 7510 toon je aan dat je zorgvuldig omgaat met privacygevoelige data en structureel werkt aan informatiebeveiliging.


Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlAls zorginstelling heb je te maken met patiënt- en gezondheidsgegevens. Gevoelige persoonsgegevens, die niet op straat moeten komen te liggen. Daarnaast ook essentiële data voor de continuïteit van het zorgproces. Dit maakt een zorginstelling kwetsbaar voor kwaadwillenden (bijv. ransomware). Logisch dus, dat al enige tijd in de wetgeving is opgenomen dat zorginstellingen moeten voldoen aan de eisen van NEN 7510, de norm voor informatiebeveiliging in de zorg. Certificering is hierbij niet verplicht, aantoonbaar voldoen wel. Het feit dat het toch met regelmaat misgaat, is wel een indicator dat informatiebeveiliging nog niet overal het juiste (NEN 7510) niveau heeft. En dat wekt geen verbazing, want zeg nu zelf: is veilig omgaan met informatie in jouw organisatie ‘on top of mind’? In dit blog zoomen we in op ‘wat is NEN 7510’, de voordelen en enkele best practices!
Wat is NEN 7510?
NEN 7510 is dé Nederlandse norm voor informatiebeveiliging in de zorg. De norm biedt een duidelijke structuur en heldere richtlijnen voor het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van medische en persoonlijke gegevens (BIV). Juist omdat deze informatie zo gevoelig is, helpt NEN 7510 zorgorganisaties om risico’s te beheersen en gegevens veilig te verwerken, op te slaan en te delen.
De norm is gebaseerd op de internationale code voor informatiebeveiliging en sluit nauw aan op ISO 27001. Dat betekent dat organisaties die al met ISO-normen werken, eenvoudig kunnen uitbreiden naar NEN 7510. Centraal hierin staat het opzetten van een Information Security Management System (ISMS), waarmee je aantoont dat informatiebeveiliging in jouw organisatie structureel is geborgd.
Zorginstellingen, van ziekenhuizen en verpleeghuizen tot fysiotherapeuten en GGZ-instellingen, krijgen hiermee een praktische leidraad voor het formuleren, vastleggen en controleren van hun interne informatiebeveiliging. Niet alleen technische maatregelen zoals netwerkbeveiliging en encryptie spelen hierin een rol, maar ook bewustwording onder medewerkers. Want zonder beschikbaarheid van gegevens is goede zorg niet mogelijk. Kloppen gegevens niet? Dan kan dat leiden tot verkeerde diagnoses. En als vertrouwelijke data in verkeerde handen valt, ligt identiteitsfraude of imagoschade op de loer.
Ook ketenpartners, zoals softwareleveranciers of andere dienstverleners die toegang hebben tot patiëntgegevens, worden steeds vaker geacht om aan de eisen van NEN 7510 te voldoen. Met een NEN 7510 certificering toon je als organisatie aan dat je de beveiliging van gezondheidsdata serieus neemt. En dat is niet alleen noodzakelijk, maar ook essentieel voor het vertrouwen van patiënten en partners.
Is NEN 7510 verplicht?
Is NEN 7510 verplicht? Ja én nee. De norm is in Nederland niet wettelijk verplicht, maar wordt wel indirect afgedwongen via andere wet- en regelgeving.
- Vanuit de AVG (Algemene Verordening Gegevensbescherming) zijn organisaties verplicht om persoonsgegevens, en in de zorgsector dus medische gegevens, goed te beveiligen met technische én organisatorische maatregelen. NEN 7510 biedt daar een veelgebruikte leidraad voor.
Daarnaast zijn er sectorafspraken en onderzoeken die de norm in de praktijk wél verplicht maken. Zo is NEN 7510 sinds 2023 verplicht voor ziekenhuizen. Aanleiding hiervoor was een onderzoek van de Inspectie Gezondheidszorg en Jeugd (IGJ), waaruit bleek dat:
- ziekenhuizen te weinig deden aan het voorkomen van ICT-storingen;
- 12 van de 14 onderzochte ziekenhuizen last hadden van storingen met directe impact op de zorg;
- problemen ontstonden zoals gesloten SEH’s, niet-beschikbare patiëntendossiers en uitgestelde operaties.
Hoewel er geen blijvende gezondheidsschade is vastgesteld, onderstreepte het rapport het belang van structurele informatiebeveiliging.
Tot slot kan NEN 7510 ook een contractuele verplichting zijn. Denk aan:
- zorgverzekeraars die NEN 7510 eisen als voorwaarde voor samenwerking;
- brancheorganisaties die deze norm opnemen in hun eisen;
- opdrachtgevers of ketenpartners die informatiebeveiliging willen waarborgen.
Werk je met medische gegevens? Dan is de kans groot dat NEN 7510, direct of indirect, voor jouw organisatie verplicht is.
Voor wie is NEN 7510 verplicht
NEN 7510 is verplicht voor organisaties die medische of gezondheidsinformatie verwerken. Dit geldt niet alleen voor zorgaanbieders zelf, maar ook voor partijen die in de zorgketen actief zijn. De norm is van toepassing op organisaties die:
- medische persoonsgegevens verwerken (denk aan het BSN in combinatie met gezondheidsdata);
- zorgapplicaties of medische software ontwikkelen of leveren;
- administratieve of declaratieprocessen in de zorg ondersteunen;
- systemen of processen uitbesteden namens zorgorganisaties.
Concreet betekent dit dat NEN 7510 verplicht is voor onder andere:
- ziekenhuizen, huisartsenpraktijken, GGZ-instellingen en apotheken;
- leveranciers van zorgapplicaties en medische software;
- IT-dienstverleners in de zorg;
- tussenpartijen voor zorgadministratie en declaratie.
Daarnaast wordt NEN 7510 vaak vereist als aansluitvoorwaarde in contracten met:
- zorgverzekeraars;
- brancheorganisaties;
- andere zorgpartners of ketenverantwoordelijken.
Werk je met gezondheidsinformatie – direct of via een interface of uitbesteding? Dan ontkom je er bijna niet aan: NEN 7510 is de norm waarmee je aantoont dat je de beveiliging van patiëntgegevens serieus neemt.
Wat zijn de voordelen van NEN 7510?
Zoals gezegd kan NEN 7510 een verplichtend karakter hebben en daardoor voelen als een ‘moetje’, maar het biedt organisaties ook wel degelijk voordelen. Hieronder een viertal voordelen van NEN 7510 opgesomd:
- Aantoonbare kwaliteit van informatiebeveiliging
- Meer opdrachten en hogere cliënttevredenheid
- Hogere medewerkersbetrokkenheid
- Kostenbesparing
Ieder voordeel zetten we hieronder voor je uiteen.
1. Aantoonbare kwaliteit van informatiebeveiliging
Met een certificaat maak je aantoonbaar dat je voldoet aan alle eisen van een bepaalde certificering omdat je organisatie hierop getoetst is door een onafhankelijke externe partij. Je maakt het externe belanghebbenden makkelijk om vast te stellen dat je organisatie aan hun eisen/verwachtingen voldoet. Het zorgmanagementsysteem geeft je organisatie richtlijnen om met de informatiebeveiliging binnen je organisatie aan de slag te gaan. Dankzij de Plan-Do-Check-Act (PDCA) cyclus blijf je op een structurele en continue manier aan informatiebeveiliging binnen je organisatie werken. De jaarlijks terugkerende audit is daarbij een stok achter de deur. Je blijft je prestaties evalueren en optimaliseren en staat periodiek stil bij je huidige niveau en je toekomstplannen.
Daarnaast betekent het behalen van de NEN 7510 certificering ook dat je voldoet aan de externe eisen die je worden opgelegd en de geldende wet- en regelgeving. Al met al: je onderzoekt, beoordeelt en beheert de risico’s binnen je organisatie op een structurele manier. En daarnaast formaliseer je de processen, procedures en documentatie voor gegevensbeveiliging. Dit zorgt voor verlaging van de kans op incidenten met alle negatieve (imago-, financiële en andere) schadelijke consequenties van dien.
“CAN denkt echt mee, ook als we even vastlopen of het overzicht kwijt zijn.”
Christel Lenderink – CB Zorg
2. Meer opdrachten en hogere cliënttevredenheid
Het behalen van een certificering kan leiden tot meer klanten. Waarom? Omdat certificeringen steeds meer geëist worden vanuit opdrachtgevers en aanbestedingen vanuit zorgverzekeraars of vanuit de gemeente bijvoorbeeld.
Je hebt direct een voordeel ten opzichte van je concurrent wanneer je kunt aantonen dat je beschikt over een NEN 7510 certificering. Dat heeft weer te maken met het vorige voordeel: aantoonbare kwaliteit. Je opdrachtgever kan ervan uitgaan dat de processen binnen je organisatie netjes en gestructureerd zijn ingericht en dat er zorgvuldig om wordt gegaan met gevoelige persoonsgegevens. Maar niet alleen wekt de certificering vertrouwen voor partijen zoals zorgverzekeraars of de gemeente, ook cliënten hechten veel waarde aan de garantie van zorgvuldige omgang met gevoelige gegevens. De certificering helpt je dus ook aan een positief imago en hogere cliënttevredenheid!

3. Hogere medewerkersbetrokkenheid
Je processen worden gestroomlijnd en er ontstaat transparantie binnen je gehele organisatie. Daardoor zijn je medewerkers op de hoogte van de werkwijze en worden ze gemotiveerd om bij te dragen aan het aandragen van verbetervoorstellen. Daarnaast is het ook zaak dat je een aanspreekcultuur creëert waarbij fouten/incidenten niet worden gestraft, maar juist in het teken staan van het verbeteren van de organisatie. Algemene kenmerken/voordelen van ISO/NEN normen als het gaat om interne ontwikkelingen zijn dan ook:
- Ontwikkeling binnen de organisatie wordt gestimuleerd;
- Medewerkers worden betrokken in het proces waardoor zij eerder geneigd zijn proactief bij te dragen aan verbetering;
- De directie is nauw betrokken;
- De mensen worden bewust gemaakt.
4. Kostenbesparing
Doordat je intensief aan de slag gaat met je processen, verhoog je de efficiëntie binnen alle lagen van je organisatie. Je krijgt dus meer voor elkaar in kortere tijd en met minder middelen. Daarmee gaat gepaard dat je tijdens de implementatie ook je kansen en risico’s in kaart brengt. Doordat je de risico’s hebt geïdentificeerd, kun je ook bijtijds bijsturen of zelfs risico’s voorkomen. Daarmee verhoog je de bedrijfszekerheid en voorkom je kosten als gevolg van je voorkomen risico’s. Kortom: de risico’s binnen je organisatie zijn kritisch onderzocht, beheerd en beoordeeld én je procedures, documentatie en processen voor gegevensbeveiliging zijn geformaliseerd.
Opstaptraject informatiebeveiliging
Door de toegenomen dreigingen en risico’s wordt informatiebeveiliging steeds belangrijker en daarmee stijgt dus ook de vraag om NEN 7510 certificering. Op korte of lange termijn dien je als organisatie dus stappen te zetten op gebied van informatiebeveiliging. Een implementatietraject is echter behoorlijk uitgebreid en diepgaand, waardoor je er zowel tijd als geld voor moet reserveren. Voor veel organisaties komt het behalen van de certificering daarom op een laag pitje te staan. En daarmee loop je dus risico’s die grote gevolgen kunnen hebben voor je organisatie.
Om dit tóch te voorkomen en nog niet direct met het volledige traject aan de slag te gaan, kun je kiezen voor een opstaptraject. De essentie is immers om allereerst de meest urgente risico’s af te dekken. Onze visie: overweeg om de norm of informatiebeveiliging ‘in stukjes te hakken’ en begin bij de belangrijkste zaken (de basics). Wil je hier meer over weten? Lees dan alles over het opstaptraject informatiebeveiliging of neem contact met ons op!
Het NEN 7510 managementsysteem
Vaak wordt bij het implementeren van een ISO/NEN norm al snel gedacht aan het opstellen van een handboek. Dat is niet gek, in het verleden werd om een verplichte structuur van vastlegging gevraagd. In het handboek werd dan alles wat je deed op het gebied van bescherming van medische persoonsgegevens gedocumenteerd. Je kunt je voorstellen dat dit resulteert in een dik en wollig praktijkboek met allerlei procedures, formulieren en checklists!
Tegenwoordig is dit gelukkig niet meer het geval. Het verplichte handboek is verleden tijd met de komst van de nieuwe generatie normen. Er wordt niet meer gesproken over een handboek, maar over ‘gedocumenteerde informatie’.
NEN 7510: best practices!
Ondanks dat iedere zorginstelling verschillend is, zijn er een aantal belangrijke ‘lessons learned’ die voor iedere NEN 7510 implementatie toe te passen zijn:
- Het is geen ‘ICT-feestje’. Betrek medewerkers nog voordat je gaat starten.
- Maak het zo simpel mogelijk en zorg dat het aansluit op je huidige manier van werken.
- Bepaal samen wanneer een risico acceptabel is en waarom.
- Maak de scope niet te groot. Bouw het later verder uit!
- Zorg voor bewustwording. Begin met de ‘simpele’ aspecten: veilig omgaan met wachtwoorden, clean desk, afsluiten van een scherm bij het verlaten van de werkplek, updates tijdig uitvoeren.
- Stel verwerkingsregisters op (dit is een eis vanuit AVG).
- Maak draaiboeken en calamiteitenplannen ter houvast bij panieksituaties.
- Ga je leveranciers goed na: heb je een PvE (pakket van eisen)? Zijn leveranciers gecertificeerd? Hoe gaan zij om met informatiebeveiliging?
- Maak een afweging tussen veiligheid en gebruikersgemak. Onthoud dat er geen voorgeschreven standaard kader is en dat er ruimte is om het voor jouw organisatie passen en werkbaar te maken.
- Zorg voor goede communicatie tussen de organisatie en auditoren om goed in te schatten welke medewerker aan welk interview moet deelnemen.
- Ga je certificeren voor andere normen (denk aan HKZ of ISO 9001 bijvoorbeeld), probeer dit dan te combineren met NEN 7510 in verband met overlap.
Van ‘wat is NEN 7510’ naar een start maken met!
Het implementeren van NEN 7510 vraagt om meer dan alleen het aanschaffen van de norm. Het is een serieus traject waarin draagvlak, samenwerking en bewustwording essentieel zijn. Een sterke interne kartrekker, betrokken stakeholders vanuit ICT, HR, directie en het primaire proces én medewerkers die snappen waarom informatiebeveiliging belangrijk is, dát is de sleutel tot succes. Begin klein, werk gestructureerd en maak risico’s concreet. Zo bouw je stap voor stap aan een solide en aantoonbaar werkend ISMS. Wil jij als zorgorganisatie of toeleverancier laten zien dat je zorgvuldig en professioneel omgaat met medische data? Laat het ons weten. Onze bevlogen adviseurs staan voor je klaar om je te helpen op weg naar een veilige, betrouwbare en NEN 7510-conforme organisatie.

Ik ben Laurens Hekkink, een toegewijde security expert bij Certificeringsadvies.nl. Mijn passie en expertise liggen in het waarborgen van bedrijfsbeveiliging en dataprivacy, en ik zet me in voor een veiligere digitale wereld.
laurens.hekkink@certificeringsadvies.nlEen managementsysteem NEN 7510 implementeren?
Al 500+ organisaties gingen je voor!
- Loop geen risico's
- Bescherm patiëntgegevens
- Voorkom datalekken