Alles wat je moet weten over NEN 7510

Wat is NEN 7510? De NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg, bedoeld voor zorgorganisaties, Ieveranciers van applicaties binnen zorgdomein, zorgverzekeraars en andere partijen in de zorgketen die medische of persoonlijke gezondheidsinformatie verwerken of uitwisselen. De norm biedt een kader voor het opzetten en onderhouden van een informatiebeveiligingsmanagementsysteem (ISMS) waarin de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens centraal staan.

Is NEN 7510 verplicht? Formeel gezien is de certificering zelf niet wettelijk verplicht, maar de norm zelf heeft een verplicht karakter voor organisaties die gezondheids-­ of patiëntgegevens verwerken. Organisaties moeten namelijk aantonen dat zij werken volgens de norm. Daarnaast verwijzen zorgwetgeving en regelingen naar de NEN 7510-norm als standaard voor goede informatiebeveiliging. Kortom: de NEN 7510 en daarmee de beheersing op de verwerking van persoonlijke gezondheidsinformatie is sterk in opkomst, omdat ketenpartners, toezichthouders en opdrachtgevers er steeds vaker op aandringen dat er aantoonbaar gewerkt wordt volgens de norm. De ketenverantwoordelijkheid binnen de verwerking van persoonlijke gezondheidsinformatie binnen de zorg wordt nog nadrukkelijker van belang op basis van de NIS2 regelgeving die in de 2e helft van 2026 wettelijk gaat gelden voor zorgorganisaties met meer dan 50 FTE.

In december 2024 is de herziening van de NEN 7510 gepubliceerd. De nieuwe versie (NEN 7510:2024) is aangepast zodat hij beter aansluit op de meest recente internationale normen zoals ISO/IEC 27001 en ISO/IEC 27002 en op het normontwerp ISO/IEC DIS 27799 voor de zorgsector. De vernieuwde norm bevat nieuwe of aangescherpte beheersmaatregelen, bijvoorbeeld op het gebied van cloudgebruik, bedrijfscontinuïteit en externe incidentrapportage. Voor organisaties die al gecertificeerd zijn geldt een transitieperiode om over te stappen op de versie 2024. Deze periode loopt tot 20 februari 2027.

Hoewel de certificering op basis van NEN7510 niet verplicht is, heeft het wel belangrijke voordelen. Door een NEN 7510 certificering te behalen laat een organisatie zien dat zij aantoonbaar werkt volgens de NEN 7510 norm. Dit geeft vertrouwen aan patiënten, ketenpartners en opdrachtgevers dat veiligheidsmaatregelen structureel zijn ingevoerd. Voor organisaties in de zorgketen, niet alleen zorgaanbieders, maar ook leveranciers van systemen, kan de certificering een onderscheidende factor zijn bij aanbestedingen of samenwerkingen.

Voor wie wil werken volgens de NEN 7510 norm is de eerste stap het bepalen van de scope en de doelstellingen voor de implementatie van deze norm.

Op basis van het huidige beleid en de processen wordt een 0-meting uitgevoerd waardoor duidelijkheid verkregen wordt over activiteiten die moeten worden uitgevoerd om te komen tot het werken op basis van de NEN7510 norm. Daarbij hoort het uitvoeren van een risicoanalyse. Daarna stel je het informatiebeveiligingsbeleid op, voer je beheersmaatregelen in op basis van de Verklaring van Toepasselijkheid (VvT) en zorg je voor monitoring, audits en voortdurende verbetering. Wil je de certificering behalen dan is daarna een externe audit door een gecertificeerde instelling noodzakelijk, waarbij wordt beoordeeld in hoeverre wordt voldaan aan de NEN7510 norm en het ISMS een basis vormt voor het verstrekken van dat NEN7510 certificaat.