NEN 7510 certificering

NEN 7510 is de Nederlandse standaard voor de certificering van informatiebeveiliging in de gezondheidszorg. Met een NEN 7510 certificaat laat je zien dat belangrijke gezondheidsinformatie bij jou in goede handen is. Je hebt maatregelen getroffen om de beschikbaarheid, integriteit en vertrouwelijkheid van deze gegevens te beschermen. En je bent voorbereid op incidenten, zoals een datalek. NEN 7510 is inmiddels eis voor vrijwel iedere organisatie in de gezondheidszorg. De Inspectie Gezondheid en Jeugd (IGJ) controleert hier op, zodat NEN 7510 tegenwoordig dé standaard is geworden voor iedere zorgorganisatie.

NEN 7510 behalen

Je kunt bij QVOX terecht voor een NEN 7510 beoordeling, die voldoet aan de eisen van IGJ. Maar je kunt bij QVOX ook terecht voor maatwerk advies om de volledige NEN 7510-certificering te behalen, afgestemd op jouw situatie en wensen. Daarvoor doorloop je de volgende stappen om de NEN 7510 certificering te behalen:

  • GAP-analyse: snel zicht in de acties die je moet nemen;
  • Risico analyse: de risico's op het gebied van IT, fysieke beveiliging, mens én organisatie inzichtelijk 
  • ISMS opzetten: een praktisch ISMS dat aan de certificeringseisen voldoet;
  • Beveiligingsmaatregelen implementeren: acties nemen met awareness en instructie op maat. Live of via e-learning;
  • Interne audit NEN 7510: een controle op alle normeisen van NEN 7510, zodat je weet waar je staat en goed voorbereid bent op de externe audit;
  • Directiebeoordeling: verplichte jaarlijkse evaluatie van het ISMS; 
  • Externe audit: de officiële certificeringsaudit

NEN 7510 audit

NEN 7510 biedt een raamwerk om op een systematische manier risico's voor informatiebeveiliging in kaart te brengen én daarvoor passende maatregelen te treffen. De NEN 7510 certificering kun je behalen door een externe audit te laten afnemen door een erkende certificerende instantie. QVOX werkt met alle erkende instanties en wij adviseren bij de keuze voor een passende certificerende instantie.  

NEN 7510 certificering

NEN-EN 15224 NEN 7510 certificering
Cyberrisico's voorkomen en voldoen aan IGJ eisen

Er is veel te doen om de Nederlandse norm voor informatiebeveiliging in de zorg: NEN 7510. De IGJ (Inspectie Gezondheidszorg en Jeugd) is begonnen met handhaven en neemt dit mee in inspecties.

In deze QTALK Podcast bespreken wij de ins en outs van deze norm. Waarom is er NEN 7510, wat is het en hoe belangrijk is het voor zorgorganisaties? 

Podcast NEN 7510

Ben jij goed voorbereid op cyberrisico's in jouw zorgorganisatie?

Hoe wil je aan de slag?
Opleidingen
Opleidingen:

In de QVOX Academy bieden we vakspecifieke opleidingen en trainingen aan om zo je kennis te vergroten en competenties te ontwikkelen. 

Projecten
Projecten:

In samenwerking met de specialisten van QVOX werk je projectmatig toe naar een certificering of realiseren we de gewenste verandering. 

Services
Services:

Hercertificering of onderhoud van het kwaliteitssysteem kun je aan ons uitbesteden. Met ons service contract houden we je scherp en brengen we in kaart waar kansen liggen. Zonder zorgen en met zekerheid van de kwaliteit zoals je die van ons bent gewend. 

Neem contact op met een van onze experts en volg ons spoor naar certificering en compliance. 

Verplicht voor zorgorganisaties

Organisaties en leveranciers in de gezondheidszorg moeten kunnen aantonen dat zij over de juiste informatiebeveiliging beschikken. Dit controleert de IGJ, Inspectie Gezondheidszorg en Jeugd. Bij het toetsen van de instelling worden eisen van de NEN 7510 als maatstaaf gebruikt.

Is de NEN 7510 verplicht voor toeleveranciers?

Toeleveranciers in de zorg zijn niet verplicht om met de norm te werken. De hoofddoelgroep zijn namelijk zorginstellingen. Vaak wordt er toch wel verwacht van toeleveranciers dat ook zij met NEN 7510 werken. De zorginstelling stelt dan een pakket aan eisen op en leveranciers dienen hier dan aan te voldoen.

De grootte van de organisatie maakt niet uit

De omvang van de organisatie is niet van belang. De norm geldt voor zowel de individuele zorgverlener als voor grote zorginstellingen en -organisaties die te maken hebben met informatiestromen van patiënten. De norm is niet alleen voor zorginstellingen, maar ook voor overige organisaties die persoonlijke gezondheidsinformatie verwerken. Ook gemeenten moeten zich houden aan de NEN 7510.

FAQ
FAQ

NEN 7510

Wat houdt de NEN 7510 in?

De NEN 7510 is de norm voor informatiebeveiliging in de zorg. De norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. Hiervoor geeft de norm een normatief raamwerk in de vorm van een managementsysteem voor informatiebeveiliging (NEN7510 deel 1) inclusief de beheersmaatregelen bij elk van de beheersdoelstellingen (NEN7510 deel 2). De norm geeft daarmee aanwijzingen voor het organisatorisch en technisch inrichten van de informatiebeveiliging en biedt zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende organisaties in de zorg.

Waarom kies je als bedrijf of organisatie voor de NEN 7510?

De norm is bedoeld voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie die richtlijnen zoeken over dit onderwerp, evenals hun beveiligingsadviseurs, -consultants, -auditoren, -aanbieders en externe dienstverleners. Zij moeten kunnen aantonen dat zij over de juiste informatiebeveiliging beschikken en dienen zich daarbij te houden aan de eisen uit de NEN7510.

Is de NEN 7510 verplicht?

De norm is verplicht voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie. Toeleveranciers in de zorg zijn niet verplicht om met de norm te werken. Vaak wordt er toch wel verwacht van toeleveranciers dat ook zij met NEN 7510 werken. De zorginstelling stelt dan een pakket aan eisen op en leveranciers dienen hier dan aan te voldoen.

Certificering is alleen verplicht voor zogenaamde gegevensuitwisselingssystemen. De Inspectie Gezondheidszorg en Jeugd (IGJ) verwacht inmiddels wel dat zorginstellingen door middel van een onafhankelijke beoordeling kunnen aantonen dat zij voldoen aan de eisen uit de NEN 7510. Met certificering is dit eenvoudig aan te tonen.

Wat zijn de kosten van de NEN 7510?

De NEN7510 is gratis te verkrijgen bij de NEN evenals de aan de NEN7510 verbonden normen NEN7512, NEN7513 en NTA7516. De kosten van certificering verschillen per scope van een project. Meer informatie hierover kun je bij ons opvragen door contact met ons op te nemen.  

Wat zijn de voordelen van de NEN 7510?

De NEN 7510 kan gezien worden als een handboek voor het op een goede manier inrichten van informatiebeveiliging in de zorg. De NEN 7510 maakt het mogelijk om informatiebeveiliging op consequente wijze binnen zorggerelateerde omgevingen te implementeren, met specifiek aandacht voor de unieke uitdagingen die de zorg stelt. Door deze normen te volgen zorgen zorginstellingen ervoor dat de vertrouwelijkheid en integriteit van gegevens waarvoor zij verantwoordelijk zijn, gehandhaafd worden, dat kritische zorginformatiesystemen beschikbaar blijven en dat er rekenschap voor gezondheidsinformatie wordt afgelegd.

Hoe krijg je een de NEN 7510-certificaat?

Zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie kunnen zich certificeren tegen NEN 7510 deel 1 (het managementsysteem), waarvan het certificatieschema (NTA 7515) onder accreditatie is goedgekeurd. Hiermee staat het certificatieproces onder toezicht van de Raad voor Accreditatie (RvA), die zowel eisen stelt aan het certificatieproces als aan de certificerende organisatie.

Waar moet je op letten bij de NEN 7510 certificering?

Om een NEN 7510 certificering soepel en efficiënt te laten verlopen, hebben we een aantal tips.

  • Besteed aandacht aan de menselijke kant. Informatiebeveiliging wordt grotendeels met technische oplossingen gewaarborgd, maar een druk op de verkeerde knop door een medewerker kan een bedrijf platleggen. Houd hier rekening mee bij het minimaliseren van risico’s.
  • Beschrijf niet alleen de procedures, maar zorg ook voor goede controlemechanismen om te voorkomen dat procedures fout gaan.
  • Voorkom handmatige controles en automatiseer technische beheersmaatregelen, zoals wachtwoordbeheer en patchmanagement.
  • Zorg voor een goed calamiteitenplan en een back-up/terugval locatie om de informatie te beveiligen tegen bedreigingen van buitenaf.
  • Probeer niet alles zelf te doen. Een externe verantwoordelijke voor informatiebeveiliging heeft vaak meer kennis en impact dan iemand die intern verantwoordelijk wordt gemaakt.
  • Vertrouw niet blind op ICT-leveranciers, maar maak goede afspraken en zorg dat deze worden vastgelegd in een Service Level Agreement (SLA).
Alles wat je moet weten over certificering


We kennen inmiddels duizenden normen die je kunt laten certificeren. Normen voor producten, processen, organisaties en zelfs voor personen. Vaak heeft een certificering betrekking op een bepaald onderwerp. Bijvoorbeeld de manier waarop er met kwaliteit wordt omgegaan, maar ook voor thema's zoals milieu en duurzaamheid, informatiebeveiliging en veiligheid op de werkvloer bestaan normen en certificeringen. Wil je meer over het certificeringsproces leren? Download onze whitepaper. 

QVOX whitepaper "Certificering"