NEN 7510 certificering

Werk je met patiëntgegevens of andere persoonlijke gezondheidsinformatie? Dan moet informatiebeveiliging aantoonbaar op orde zijn. NEN 7510 helpt om dat gestructureerd in te richten.

QVOX helpt zorgorganisaties en andere organisaties in de zorgketen bij het opzetten, verbeteren en aantoonbaar maken van een werkend informatiebeveiligingsmanagementsysteem. Praktisch, overzichtelijk en passend bij de organisatie.

Vraag een gratis adviesgesprek

 

Wat is NEN 7510?

NEN 7510 is de norm voor informatiebeveiliging in de zorg. De norm helpt organisaties om vertrouwelijkheid, integriteit en beschikbaarheid van gezondheidsinformatie beheerst te organiseren. Daarbij gaat het niet alleen om IT-maatregelen, maar ook om sturing, verantwoordelijkheden, risicoafwegingen, audits en verbetering.

De norm sluit aan op de opzet van ISO 27001, maar is uitgewerkt voor de zorgpraktijk. Juist dat maakt NEN 7510 relevant voor organisaties die werken met medische gegevens, cliëntinformatie en andere gevoelige gezondheidsinformatie.

Voor wie is NEN 7510 relevant?

NEN 7510 is relevant voor zorginstellingen en andere organisaties die persoonlijke gezondheidsinformatie verwerken. Dat geldt niet alleen voor zorgaanbieders, maar ook voor andere partijen in de zorgketen, zoals leveranciers, gemeenten en dienstverleners die toegang hebben tot deze gegevens of die verwerken in systemen en processen.

In de praktijk is NEN 7510 vooral relevant als:

  • medische of cliëntgegevens worden verwerkt;
  • gegevens worden uitgewisseld met zorgverleners of ketenpartners;
  • informatiebeveiliging aantoonbaar moet zijn richting IGJ, opdrachtgevers of samenwerkingspartners;
  • certificering nodig is voor vertrouwen, contracten of aanbestedingen;
  • een organisatie al met ISO 27001 werkt en een zorgspecifieke verdieping nodig heeft.

NEN 7510 en ISO 27001: wat is het verschil?

ISO 27001 is de internationale basisnorm voor een managementsysteem voor informatiebeveiliging. NEN 7510 bouwt daarop voort, maar maakt de norm specifiek voor de zorg. De structuur is vergelijkbaar, maar NEN 7510 sluit beter aan op de context van persoonlijke gezondheidsinformatie, zorgprocessen en sectorale eisen.

Voor zorgorganisaties is ISO 27001 alleen daarom vaak niet genoeg. Er is meestal een norm nodig die beter past bij de eisen uit de zorgpraktijk. NEN benoemt ook expliciet de relatie met onder meer Wabvpz, Wegiz en de komende Cyberbeveiligingswet als Nederlandse implementatie van NIS2.

Wat vraagt NEN 7510 in de praktijk?

NEN 7510 vraagt om meer dan losse beveiligingsmaatregelen. De norm vraagt om een samenhangende aanpak. Dat betekent onder meer:

  • een duidelijke scope;
  • inzicht in risico’s;
  • beleid en verantwoordelijkheden;
  • passende technische en organisatorische maatregelen;
  • logging, toegangsbeheer en incidentmanagement waar nodig;
  • interne audits en evaluatie;
  • aantoonbare verbetering.

De kern is dat informatiebeveiliging niet afhankelijk mag zijn van losse acties of individuele kennis. Het moet zijn ingebed in hoe de organisatie werkt en stuurt.

Waar organisaties vaak op vastlopen

Organisaties die NEN 7510 invoeren lopen vaak vast op:

  • Te veel aandacht voor techniek
    Veel organisaties starten bij tools en maatregelen. Denk aan MFA, logging of back-ups. Belangrijk, maar zonder goede scope, eigenaarschap en risicobeoordeling blijft het los zand.
  • Onduidelijke scope
    Niet altijd is scherp welke onderdelen, locaties, processen of systemen binnen de certificering vallen. Dat maakt het traject onnodig lastig.
  • ISO 27001-basis, maar nog niet zorgspecifiek
    Soms is er al een ISMS, maar ontbreekt de vertaling naar de zorgcontext. Dan lijkt er veel te staan, terwijl de aansluiting op NEN 7510 nog te dun is.
  • Te weinig auditbewijs
    Beleid en procedures zijn vaak wel aanwezig. Alleen ontbreekt bewijs dat maatregelen werken, worden gevolgd en periodiek worden geëvalueerd.
  • Informatiebeveiliging ligt bij één persoon
    Als alles rust op één security officer, privacy officer of IT-manager, wordt borging kwetsbaar. NEN 7510 vraagt juist om bredere sturing en duidelijke verantwoordelijkheden.

Zo werkt een NEN 7510-traject

Een goed traject begint met inzicht. Welke gegevens worden verwerkt? Welke systemen en processen zijn kritisch? Welke eisen gelden vanuit wetgeving, toezicht, klanten en de organisatie zelf?

1. Scope en uitgangssituatie bepalen

We brengen in beeld wat onder de certificering moet vallen, wat al staat en waar de grootste hiaten zitten.

2. Risico’s en maatregelen in beeld brengen

Daarna volgt de analyse van risico’s, afhankelijkheden en bestaande beheersmaatregelen. Zo wordt duidelijk wat nodig is en wat niet.

3. ISMS inrichten en aanscherpen

We helpen bij het opzetten of verbeteren van het managementsysteem. Denk aan beleid, rollen, verantwoordelijkheden, risicobehandeling, documentatie en aantoonbaarheid.

4. Interne audit en managementreview

Voor certificering moet duidelijk zijn dat het systeem niet alleen bestaat, maar ook werkt. Interne audits en managementreview zijn daarbij vaste onderdelen.

5. Voorbereiding op certificering

Tot slot begeleiden we de organisatie richting de externe audit. We helpen bij de voorbereiding, het ordenen van bewijs en het scherp krijgen van resterende aandachtspunten.

Actuele normstatus

De actuele versies NEN 7510-1:2024 en NEN 7510-2:2024 zijn op 16 december 2024 gepubliceerd. NEN meldt daarnaast dat organisaties die al gecertificeerd zijn vanaf publicatie van het geactualiseerde certificatieschema twee jaar de tijd krijgen om over te stappen, waardoor bestaande certificaten uiterlijk 20 februari 2027 moeten zijn omgezet naar certificering tegen NEN 7510:2024.

Dat maakt het belangrijk om niet alleen naar de inhoud van het systeem te kijken, maar ook naar timing, overgang en auditplanning.

Wat levert NEN 7510 op?

NEN 7510 helpt om informatiebeveiliging in de zorg beter te organiseren en beter aan te tonen. Dat levert meestal op:

  • meer grip op risico’s en verantwoordelijkheden;
  • betere bescherming van patiënt- en cliëntgegevens;
  • duidelijkere sturing op informatiebeveiliging;
  • meer rust richting audits en inspecties;
  • sterkere basis voor samenwerking, contracten en vertrouwen;
  • betere aansluiting op andere kaders, zoals ISO 27001 en Cyberbeveiligingswet (NIS2).

De echte winst zit niet alleen in het certificaat, maar in een organisatie die informatiebeveiliging structureel beter beheerst.

Hoe QVOX ondersteunt bij NEN 7510 certificering

QVOX ondersteunt organisaties bij NEN 7510 op een manier die past bij de scope, de zorgcontext en de beschikbare capaciteit. Dat kan gaan om training en opleiding, tijdelijke projectondersteuning, interim inzet, begeleiding richting certificering of een beheercontract op maat.

De ondersteuning kan bestaan uit een nulmeting of GAP-analyse, het opzetten of verbeteren van een ISMS, het aanscherpen van governance, risicomanagement, rollen, processen en documentatie, en het selecteren en invoeren van passende beheersmaatregelen. Ook ondersteunt QVOX bij interne audits, managementreview en de voorbereiding op de certificerende audit.

Daarbij sluit QVOX aan op de manier waarop de organisatie al werkt. Bijvoorbeeld met bestaande tooling zoals Microsoft 365 SharePoint, AFAS Control Framework, of met eigen applicaties als dat beter past.

De adviseurs van QVOX werken vanuit teamverband. Zo blijven rollen zuiver, is er scheiding tussen advies en interne audit en blijft de continuïteit in het traject geborgd. QVOX is gecertificeerd volgens ISO 9001 en ISO 27001 en ondersteunt sinds 1996 organisaties die behoefte hebben aan praktische en betrouwbare begeleiding.

Waarom organisaties voor QVOX kiezen

QVOX werkt vanuit vertrouwen en sluit aan op de doelen van de organisatie. We brengen snel terug wat echt belangrijk is, maken complexe vraagstukken beheersbaar en nemen verantwoordelijkheid in de uitvoering. Ook wanneer een traject onder tijdsdruk staat of inhoudelijk lastig is.

NEN 7510 certificering

NEN-EN 15224 NEN 7510 certificering
Het pad naar certificering

QVOX is een advies- en opleidingsbureau. We ondersteunen organisaties bij implementatie, verbetering, certificering en het beheer van managementsystemen. Ook na certificering helpen we met onderhoud, interne audits en doorontwikkeling. De certificering zelf wordt uitgevoerd door een onafhankelijke certificerende instelling.

Meer over QVOX
NEN 7510: wat is het, wat kost het en wat levert het op?

Wat vraagt NEN 7510 van zorgorganisaties? In deze aflevering leggen we uit wat de norm inhoudt, waarom de IGJ hierop toeziet en wat dit betekent voor organisaties in de zorg.

luister naar de podcast
Het pad naar certificering helder uitgelegd
Van normkeuze tot certificering: deze whitepaper neemt je stap voor stap mee in wat je moet regelen aan het begin van een certificeringstraject. Van de juiste norm en certificerende instelling tot grip op audits en de stappen daarna. Helder geschreven voor organisaties die praktische keuzes moeten maken en hun traject goed willen voorbereiden.
Download de whitepaper
Actuele normstatus

De actuele versies NEN 7510-1:2024 en NEN 7510-2:2024 zijn op 16 december 2024 gepubliceerd. NEN meldt daarnaast dat organisaties die al gecertificeerd zijn vanaf publicatie van het geactualiseerde certificatieschema twee jaar de tijd krijgen om over te stappen, waardoor bestaande certificaten uiterlijk 20 februari 2027 moeten zijn omgezet naar certificering tegen NEN 7510:2024.

Dat maakt het belangrijk om niet alleen naar de inhoud van het systeem te kijken, maar ook naar timing, overgang en auditplanning.

Meer weten?
Vraag een offerte aan
offerte aanvragen
Bel ons
+31 088 858 11 22
Hoe lang duurt een NEN 7510-traject?

De doorlooptijd hangt af van de startsituatie, de omvang van de organisatie, de scope en de volwassenheid van het bestaande systeem. Een traject verloopt sneller als:

  1. al een werkend ISMS aanwezig is;
  2. risico’s en maatregelen al goed zijn vastgelegd;
  3. rollen en eigenaarschap duidelijk zijn;
  4. interne capaciteit beschikbaar is.

Meer tijd is nodig als de basis nog moet worden opgebouwd of als de organisatie meerdere locaties, leveranciers of complexe zorgprocessen heeft.

Wat kost NEN 7510 certificering?

De kosten hangen vooral af van:

  1. de omvang van de scope;
  2. het aantal locaties of processen;
  3. de bestaande volwassenheid;
  4. de interne capaciteit;
  5. de mate van externe begeleiding;
  6. de certificatiekosten van de certificerende instelling.

De investering bestaat meestal uit interne inzet, begeleiding, auditkosten en eventuele verbeteracties. QVOX helpt om daarin scherpe keuzes te maken, zodat het traject beheersbaar blijft.

Is de NEN 7510 verplicht?

Hoewel de NEN 7510 op zichzelf geen wettelijke verplichting is, is naleving ervan in de praktijk vaak essentieel vanwege de eisen van de AVG, sectorale regelgeving, toezicht door de IGJ en contractuele verplichtingen. Zorginstellingen die niet aan de NEN 7510 voldoen, riskeren inspecties, verbetermaatregelen en mogelijke sancties van de IGJ, evenals juridische schade en reputatieschade.

Daarnaast draait het in de NEN 7510 ook om best practices en risicobeheersing, waarbij de zorgorganisatie een vooruitstrevende positie inneemt als het gaat om gegevensbescherming. Door de NEN 7510-norm te volgen, kunnen zorginstellingen de risico's op datalekken en andere beveiligingsincidenten beter beheersen. En, de implementatie van NEN 7510 geeft een duidelijk signaal aan patiënten en partners; een signaal van vertrouwen. 

OpWeg Coaching en QVOX

''QVOX heeft enorm bijgedragen aan het zichtbaar maken van de kwaliteit van de organisatie. Het is heel belangrijk dat een partner als QVOX iets toevoegt en dat je echt samen toewerkt naar een ideale situatie. Ik heb me niet alleen gecoacht gevoeld in mijn functie, maar ook gesteund in de verankering van kwaliteit en management in de organisatie. De directie onderstreept hoeveel het opgezette kwaliteitsmanagementsysteem haar eigen werkzaamheden heeft vereenvoudigd en verhelderd. Die toegevoegde waarde, daar draait het om.''

FAQ
FAQ

Veelgestelde vragen over ISO 27001-certificering behalen

Is NEN 7510 verplicht?

NEN 7510 is in de praktijk vaak de norm waaraan zorgorganisaties aantoonbaar moeten voldoen voor informatiebeveiliging. NEN en IGJ leggen daarbij nadruk op aantoonbare naleving door organisaties die persoonlijke gezondheidsinformatie verwerken.

Helpt NEN 7510 ook richting Cyberbeveiligingswet (NIS2)?

Ja. NEN beschrijft expliciet dat de herziene norm organisaties ondersteunt bij aansluiting op Cyberbeveiligingswet (NIS2) en dat NEN 7510-2 hiervoor een mapping bevat.

Wat is het verschil tussen NEN 7510 en ISO 27001?

ISO 27001 is de internationale basisnorm voor informatiebeveiliging. NEN 7510 is de zorgspecifieke uitwerking daarvan voor organisaties die gezondheidsinformatie verwerken.

Kun je NEN 7510 certificeren op een deel van de organisatie?

Ja. NEN geeft aan dat de organisatie zelf de scope van certificering bepaalt. Die kan gelden voor de hele organisatie of voor een afgebakend onderdeel, zolang de relevante primaire processen goed in scope zijn meegenomen.

Wat houdt de NEN 7510 in?

De NEN 7510 is de norm voor informatiebeveiliging in de zorg. De norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten treffen ter beveiliging van de informatievoorziening. Hiervoor geeft de norm een normatief raamwerk in de vorm van een managementsysteem voor informatiebeveiliging (NEN7510 deel 1) inclusief de beheersmaatregelen bij elk van de beheersdoelstellingen (NEN7510 deel 2). De norm geeft daarmee aanwijzingen voor het organisatorisch en technisch inrichten van de informatiebeveiliging en biedt zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende organisaties in de zorg.

Is NEN 7510 relevant als er al ISO 27001 is?

Ja. Voor organisaties in de zorg is NEN 7510 vaak de logische verdieping op ISO 27001, juist omdat de norm aansluit op de zorgcontext en gezondheidsinformatie.

Waarom kies je als bedrijf of organisatie voor de NEN 7510?

De norm is bedoeld voor zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie die richtlijnen zoeken over dit onderwerp, evenals hun beveiligingsadviseurs, -consultants, -auditoren, -aanbieders en externe dienstverleners. Zij moeten kunnen aantonen dat zij over de juiste informatiebeveiliging beschikken en dienen zich daarbij te houden aan de eisen uit de NEN7510.

Wat zijn de voordelen van de NEN 7510?

De NEN 7510 kan gezien worden als een handboek voor het op een goede manier inrichten van informatiebeveiliging in de zorg. De NEN 7510 maakt het mogelijk om informatiebeveiliging op consequente wijze binnen zorggerelateerde omgevingen te implementeren, met specifiek aandacht voor de unieke uitdagingen die de zorg stelt. Door deze normen te volgen zorgen zorginstellingen ervoor dat de vertrouwelijkheid en integriteit van gegevens waarvoor zij verantwoordelijk zijn, gehandhaafd worden, dat kritische zorginformatiesystemen beschikbaar blijven en dat er rekenschap voor gezondheidsinformatie wordt afgelegd.

Hoe krijg je een de NEN 7510-certificaat?

Zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie kunnen zich certificeren tegen NEN 7510 deel 1 (het managementsysteem), waarvan het certificatieschema (NTA 7515) onder accreditatie is goedgekeurd. Hiermee staat het certificatieproces onder toezicht van de Raad voor Accreditatie (RvA), die zowel eisen stelt aan het certificatieproces als aan de certificerende organisatie.

Waar moet je op letten bij de NEN 7510 certificering?

Om een NEN 7510 certificering soepel en efficiënt te laten verlopen, hebben we een aantal tips.

  • Besteed aandacht aan de menselijke kant. Informatiebeveiliging wordt grotendeels met technische oplossingen gewaarborgd, maar een druk op de verkeerde knop door een medewerker kan een bedrijf platleggen. Houd hier rekening mee bij het minimaliseren van risico’s.
  • Beschrijf niet alleen de procedures, maar zorg ook voor goede controlemechanismen om te voorkomen dat procedures fout gaan.
  • Voorkom handmatige controles en automatiseer technische beheersmaatregelen, zoals wachtwoordbeheer en patchmanagement.
  • Zorg voor een goed calamiteitenplan en een back-up/terugval locatie om de informatie te beveiligen tegen bedreigingen van buitenaf.
  • Probeer niet alles zelf te doen. Een externe verantwoordelijke voor informatiebeveiliging heeft vaak meer kennis en impact dan iemand die intern verantwoordelijk wordt gemaakt.
  • Vertrouw niet blind op ICT-leveranciers, maar maak goede afspraken en zorg dat deze worden vastgelegd in een Service Level Agreement (SLA).
Wat zijn de stappen naar een NEN 7510 certificaat?

Je kunt bij QVOX terecht voor een NEN 7510 beoordeling, die voldoet aan de eisen van IGJ. Maar je kunt bij QVOX ook terecht voor maatwerk advies om de volledige NEN 7510-certificering te behalen, afgestemd op jouw situatie en wensen. Daarvoor doorloop je de volgende stappen om de NEN 7510 certificering te behalen:

  • GAP-analyse: snel zicht in de acties die je moet nemen;
  • Risico analyse: de risico's op het gebied van IT, fysieke beveiliging, mens én organisatie inzichtelijk 
  • ISMS opzetten: een praktisch ISMS dat aan de certificeringseisen voldoet;
  • Beveiligingsmaatregelen implementeren: acties nemen met awareness en instructie op maat. Live of via e-learning;
  • Interne audit NEN 7510: een controle op alle normeisen van NEN 7510, zodat je weet waar je staat en goed voorbereid bent op de externe audit;
  • Directiebeoordeling: verplichte jaarlijkse evaluatie van het ISMS; 
  • Externe audit: de officiële certificeringsaudit