Hoe moeilijk is het om ook NEN 7510 te halen als je al ISO 27001 hebt?

Als je al ISO 27001-gecertificeerd bent, is NEN 7510 halen relatief goed te doen. De twee normen overlappen voor zo’n 70 tot 80 procent, wat betekent dat je bestaande managementsysteem al een sterke basis vormt. Het extra werk zit vooral in de zorgspecifieke aanvullingen die NEN 7510 vereist. Heb je vragen over jouw specifieke situatie? Neem gerust contact op en we kijken samen wat er nodig is. In dit artikel beantwoorden we de meest gestelde vragen over het combineren van beide normen.

Wat zijn de grootste verschillen tussen ISO 27001 en NEN 7510?

Het grootste verschil is de doelgroep en het toepassingsgebied. ISO 27001 is een generieke internationale norm voor informatiebeveiliging die van toepassing is op elke sector. NEN 7510 is specifiek ontwikkeld voor de Nederlandse zorgsector en bouwt voort op ISO 27001, maar voegt zorgspecifieke eisen en maatregelen toe die aansluiten op de bijzondere aard van medische informatie.

Concreet betekent dit dat NEN 7510 extra aandacht vraagt voor de bescherming van patiëntgegevens, de beschikbaarheid van zorginformatie en de samenwerking tussen zorgverleners. Waar ISO 27001 werkt met een breed raamwerk van beheersmaatregelen, vertaalt NEN 7510 die naar de zorgcontext. Denk aan eisen rondom toegang tot elektronische patiëntdossiers, logging van wie welke gegevens heeft ingezien, en de continuïteit van zorgprocessen bij een IT-incident.

Daarnaast kent NEN 7510 een eigen normstructuur met aanvullende beheersmaatregelen die niet in ISO 27001 voorkomen. Deze maatregelen zijn vastgelegd in NEN 7510-2, het bijbehorende uitvoeringsdeel van de norm. Voor organisaties in de zorg zijn dit geen optionele extra’s, maar verplichte onderdelen van een volwassen informatiebeveiligingsbeleid.

Hoeveel extra werk kost NEN 7510 als je al ISO 27001 hebt?

Als je al ISO 27001-gecertificeerd bent, is de extra inspanning voor NEN 7510 beperkt. Je bestaande managementsysteem, risicoanalyse, beleidsstructuur en interne auditcyclus zijn al op orde. De aanvullende werkzaamheden richten zich op de zorgspecifieke maatregelen uit NEN 7510-2 en het aantonen dat je beleid aansluit op de zorgregelgeving.

In de praktijk gaat het dan om een aantal gerichte aanpassingen:

• Het aanvullen van je Verklaring van Toepasselijkheid (Statement of Applicability) met de NEN 7510-specifieke beheersmaatregelen
• Het aanscherpen van procedures rondom toegangsbeheer voor patiëntgegevens
• Het inrichten of uitbreiden van logging en audittrails
• Het aantonen van bewustwording bij medewerkers over de omgang met medische informatie
• Het borgen van de continuïteit van zorgkritische systemen in je bedrijfscontinuïteitsplan

De tijdsinvestering hangt af van hoe volwassen je huidige ISMS al is en hoe goed je bestaande maatregelen al aansluiten op de zorgcontext. Voor een organisatie met een goed ingericht ISO 27001-systeem is een doorlooptijd van enkele maanden realistisch voor de aanvullende implementatie.

Welke NEN 7510-eisen vallen buiten de scope van ISO 27001?

NEN 7510-2 bevat een reeks aanvullende beheersmaatregelen die specifiek gelden voor de zorgsector en geen directe tegenhanger hebben in ISO 27001. Dit zijn de eisen waarop je als ISO 27001-gecertificeerde organisatie het meeste aanvullende werk moet verrichten.

De belangrijkste categorieën van zorgspecifieke eisen zijn:

• Patiëntidentificatie en toegangsbeheer: Strikte eisen over wie toegang heeft tot welke patiëntgegevens, inclusief noodtoegang en logging van alle inzages.
• Medische apparatuur en OT-beveiliging: Eisen rondom de beveiliging van medische hulpmiddelen die verbonden zijn met netwerken, een onderwerp dat in generieke ISO 27001-implementaties vaak onderbelicht blijft.
• Gegevensuitwisseling in de zorgketen: Specifieke eisen voor het veilig delen van patiëntinformatie tussen zorgverleners, zoals via het LSP of andere zorginformatiestelsels.
• Beschikbaarheid van zorgkritische systemen: Hogere eisen aan de continuïteit van systemen die direct betrokken zijn bij patiëntenzorg, met kortere hersteltijden dan in een gemiddeld ISO 27001-kader.
• Bewustwording zorgpersoneel: Specifieke aandacht voor het trainen van zorgprofessionals, ook degenen zonder IT-achtergrond, in veilig omgaan met patiëntgegevens.

Het is verstandig om deze aanvullende eisen al vroeg in kaart te brengen via een gapanalyse. Zo weet je precies waar je aanvullende maatregelen moet treffen voordat je de certificeringsprocedure ingaat.

Kan een gecombineerde audit voor ISO 27001 en NEN 7510 worden uitgevoerd?

Ja, een gecombineerde audit voor ISO 27001 en NEN 7510 is zeker mogelijk en wordt in de praktijk ook regelmatig uitgevoerd. Omdat NEN 7510 voortbouwt op ISO 27001, kunnen de overlappende onderdelen in één audittraject worden beoordeeld. Dit bespaart tijd, kosten en organisatorische belasting voor de te auditeren organisatie.

Bij een gecombineerde audit beoordeelt de auditor het managementsysteem één keer op de gemeenschappelijke eisen en vervolgens aanvullend op de NEN 7510-specifieke maatregelen. Het is wel belangrijk dat de auditinstelling geaccrediteerd is voor beide normen. Niet elke certificerende instelling heeft de bevoegdheid om NEN 7510-certificaten uit te geven, dus het is verstandig dit vooraf te verifiëren.

Wij voeren gecombineerde audits uit voor organisaties die beide certificeringen willen behalen of verlengen. De aanpak is erop gericht om de overlap maximaal te benutten, zodat de auditlast voor jouw organisatie zo beperkt mogelijk blijft zonder in te leveren op diepgang of kwaliteit. Meer informatie over onze aanpak vind je op onze pagina over informatiebeveiliging.

Wanneer is NEN 7510 verplicht voor een zorgorganisatie?

NEN 7510 is in Nederland verplicht voor zorgorganisaties die vallen onder de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en aanverwante wet- en regelgeving. In de praktijk geldt dit voor vrijwel alle organisaties die patiëntgegevens verwerken, waaronder ziekenhuizen, huisartsenpraktijken, klinieken, GGZ-instellingen en thuiszorgorganisaties.

De verplichting is niet altijd rechtstreeks opgenomen in één wet, maar vloeit voort uit een combinatie van bronnen:

• De NEN 7510-norm wordt in 2026 expliciet benoemd in toezichtkaders van de IGJ (Inspectie Gezondheidszorg en Jeugd)
• Zorgverzekeraars en opdrachtgevers in de zorg stellen NEN 7510-certificering steeds vaker als contracteis
• De AVG vereist passende technische en organisatorische maatregelen voor bijzondere persoonsgegevens, waaronder gezondheidsgegevens. NEN 7510 geldt als invulling van die eis in de zorgsector
• Bij aanbestedingen in de (semi-)publieke zorg is een NEN 7510-certificaat vaak een knock-outcriterium

Ook voor ICT-leveranciers die systemen leveren aan zorginstellingen en daarbij patiëntgegevens verwerken of beheren, is NEN 7510-certificering steeds vaker een harde eis vanuit hun zorgklanten. Het is dan ook verstandig om niet te wachten tot de verplichting formeel wordt opgelegd, maar proactief te handelen.

Wil je weten of NEN 7510 voor jouw organisatie verplicht is en hoe je het traject het slimst aanpakt, zeker als je al ISO 27001 hebt? Neem contact op en we helpen je snel op weg met een helder advies op maat.

Gerelateerde artikelen

• Wat is een beveiligingsarchitectuur volgens NEN 7510?
• Hoe implementeer je effectieve toegangsbeheersing?
• Hoe bereid je je voor op hercertificering?
• Welke documentatie is verplicht voor ISO 27001?
• Hoe onderhoud je ISO 27001 certificering?