NEN 7510 — informatiebeveiliging in de zorg
NEN 7510 is de Nederlandse norm voor informatiebeveiliging speciaal voor de zorgsector. De norm is gebaseerd op ISO 27001, maar aangevuld met eisen die specifiek gelden voor het omgaan met medische en persoonsgegevens. De huidige versie is NEN 7510:2024; organisaties moeten uiterlijk 20 februari 2027 zijn overgestapt en (indien van toepassing) hergecertificeerd op deze versie. IT-Checklist legt hier de basis uit.
🛡️ NEN 7510 en NIS2 overlappen
De zorgsector valt ook onder de Cyberbeveiligingswet (NIS2). Werk je al volgens NEN 7510, dan heb je een groot deel van de risicobeheersing die NIS2 vereist al op orde.
Voor wie is NEN 7510 relevant?
De norm geldt voor iedere organisatie die persoonlijke gezondheidsinformatie verwerkt: huisartsenpraktijken, GGZ- en GGD-instellingen, ziekenhuizen, fysiotherapiepraktijken, zorg-ICT-leveranciers en andere ketenpartners. Ook als kleine zorgpraktijk of ZZP’er in de zorg kun je hiermee te maken krijgen zodra je met een zorgverzekeraar of ziekenhuis samenwerkt.
Praktische eerste stappen
- Breng in kaart welke patiëntgegevens je verwerkt en waar.
- Doe een risicoanalyse: wat kan er misgaan en wat is de impact?
- Stel een informatiebeveiligingsbeleid op en wijs verantwoordelijkheden toe.
- Regel basismaatregelen: toegangsbeheer, back-ups, updates en een incidentprocedure.
Doe eerst onze gratis IT-check om te zien welke basismaatregelen je al op orde hebt.
Is NEN 7510-certificering verplicht?
Zorgaanbieders die elektronisch persoonsgegevens over de gezondheid uitwisselen, zijn wettelijk verplicht om aantoonbaar aan NEN 7510 te voldoen (vastgelegd via de Wabvpz/Wegiz en de Wet kwaliteit, klachten en geschillen zorg). Een formeel certificaat is niet in alle gevallen wettelijk verplicht, maar zorgverzekeraars en ketenpartners eisen het in de praktijk steeds vaker als voorwaarde voor contracten.
Wat kost NEN 7510-certificering voor een huisarts of fysiotherapiepraktijk?
Voor een kleine zorgpraktijk (huisarts, fysiotherapeut, GGZ-praktijk) liggen de kosten doorgaans rond € 5.000–€ 8.000 in het eerste jaar (begeleiding plus certificeringsaudit), en daarna zo'n € 2.000–€ 3.000 per jaar voor de jaarlijkse controleaudit. Grotere zorginstellingen investeren aanzienlijk meer. Begin met een nulmeting om een realistische inschatting voor jouw praktijk te krijgen.
Hoe lang duurt een NEN 7510-certificeringstraject?
Voor een kleine praktijk duurt het traject meestal twee tot zes maanden, van de eerste risicoanalyse tot de certificeringsaudit. Bij grotere zorgorganisaties met meerdere locaties of systemen kan dit langer duren.
Hoe verhoudt NEN 7510 zich tot de AVG?
De AVG (privacywetgeving) stelt algemene eisen aan de omgang met persoonsgegevens, terwijl NEN 7510 een concreet beheersysteem beschrijft om informatiebeveiliging in de zorg aantoonbaar op orde te krijgen. Voldoen aan NEN 7510 helpt je dus ook om aan belangrijke AVG-verplichtingen (zoals 'passende technische en organisatorische maatregelen') te voldoen, maar vervangt de AVG niet.