Een NEN 7510 certificering haal je door een gestructureerd traject te doorlopen: van een nulmeting en risicoanalyse, via het opzetten van een informatiebeveiligingsmanagementsysteem (ISMS), tot een formele audit door een geaccrediteerde certificeringsinstelling. Het traject vraagt voorbereiding, interne betrokkenheid en aantoonbaar bewijs dat je organisatie informatiebeveiliging structureel heeft ingericht. In dit artikel beantwoorden we de meest gestelde vragen over het NEN 7510 certificeringstraject, zodat je weet wat je kunt verwachten. Heb je al een concreet beeld en wil je direct verder? Neem gerust contact op en we helpen je graag op weg.
Welke stappen zijn er in een NEN 7510 certificeringstraject?
Een NEN 7510 certificeringstraject bestaat uit een aantal vaste stappen: een nulmeting, het opzetten of verbeteren van je ISMS, een interne audit, een Stage 1-documentatiebeoordeling en een Stage 2-certificeringsaudit. Doorloop je alle stappen zorgvuldig, dan sluit je het traject af met een officieel certificaat dat drie jaar geldig is.
Hieronder zie je de stappen op een rij:
- Nulmeting (gap-analyse): Je brengt in kaart waar je organisatie nu staat ten opzichte van de NEN 7510-eisen. Dit laat zien welke maatregelen al aanwezig zijn en waar nog werk aan de winkel is.
- Risicoanalyse: Je identificeert de informatiebeveiligingsrisico’s die relevant zijn voor jouw organisatie en bepaalt welke beheersmaatregelen nodig zijn.
- Opzetten of aanpassen van het ISMS: Op basis van de risicoanalyse richt je beleid, procedures en technische maatregelen in. Denk aan toegangsbeheer, incidentbeheer en bewustzijnstraining voor medewerkers.
- Interne audit: Voordat de externe auditor langskomt, controleer je intern of het systeem werkt zoals bedoeld en of de documentatie op orde is.
- Stage 1-audit (documentatiebeoordeling): De externe auditor beoordeelt je beleidsdocumenten, risicoanalyse en ISMS-opzet. Eventuele tekortkomingen worden besproken voordat de echte certificeringsaudit plaatsvindt.
- Stage 2-audit (certificeringsaudit): De auditor toetst of je maatregelen in de praktijk werken. Dit is de bepalende stap voor het behalen van je certificaat.
- Certificaatuitgifte en jaarlijkse surveillance-audits: Na een positieve beoordeling ontvang je het certificaat. Elk jaar volgt een tussentijdse controle; na drie jaar een hercertificering.
Voor welke organisaties is NEN 7510 verplicht of relevant?
NEN 7510 is specifiek ontwikkeld voor organisaties in de Nederlandse zorgsector die persoonsgegevens verwerken. Hoewel de formele wettelijke verplichting per organisatietype kan verschillen, is een NEN 7510 certificering in de zorg in de praktijk vaak een harde eis vanuit opdrachtgevers, zorgverzekeraars of aanbestedingen.
De norm is in ieder geval sterk relevant voor:
- Ziekenhuizen, klinieken en GGZ-instellingen
- Huisartsenpraktijken en thuiszorgorganisaties
- ICT-leveranciers en softwarebedrijven die systemen leveren aan zorginstellingen
- Laboratoria en diagnostische centra
- Gemeenten en andere overheden die zorgdata verwerken
Voor IT-leveranciers in de zorg geldt dat steeds meer zorginstellingen NEN 7510 als inkoopeis stellen. Ook als je zelf geen zorginstelling bent, maar wel toegang hebt tot medische gegevens of zorgprocessen ondersteunt, is de norm direct van toepassing op jouw informatiebeveiliging.
Wat zijn de meest voorkomende struikelblokken bij een NEN 7510 audit?
De meest voorkomende struikelblokken bij een NEN 7510 audit zijn onvolledige documentatie, een risicoanalyse die niet aansluit op de praktijk, en een gebrek aan aantoonbare betrokkenheid van het management. Veel organisaties hebben de maatregelen technisch wel op orde, maar kunnen dit niet voldoende onderbouwen met bewijs.
Concreet zien we bij audits de volgende knelpunten regelmatig terugkomen:
- Documentatie niet actueel: Beleidsdocumenten zijn opgesteld maar nooit herzien of goedgekeurd door de directie.
- Risicoanalyse te generiek: De analyse sluit niet aan op de specifieke zorgprocessen of systemen van de organisatie.
- Onvoldoende bewijs van werking: Maatregelen zijn ingericht, maar er zijn geen logs, verslagen of andere bewijsstukken die aantonen dat ze ook daadwerkelijk worden uitgevoerd.
- Medewerkers onvoldoende bewust: Informatiebeveiliging is een papieren tijger als medewerkers niet weten wat de regels zijn of hoe ze incidenten moeten melden.
- Interne audits overgeslagen: Organisaties slaan de interne auditcyclus over, waardoor ze blind binnenstappen in de externe audit.
Goede voorbereiding en een eerlijke nulmeting aan het begin van het traject voorkomen de meeste van deze problemen.
Hoe lang duurt het om NEN 7510 gecertificeerd te worden?
De doorlooptijd voor een NEN 7510 certificering ligt gemiddeld tussen de zes en twaalf maanden. De exacte duur hangt af van de startpositie van je organisatie, de omvang van het ISMS dat opgebouwd moet worden en de beschikbare interne capaciteit om het traject te trekken.
Organisaties die al werken met een raamwerk zoals ISO 27001 of die al een volwassen informatiebeveiligingsbeleid hebben, kunnen het traject soms in vier tot zes maanden doorlopen. Voor organisaties die vrijwel van nul beginnen, is twaalf maanden een realistischere inschatting.
Een belangrijke factor is de tijd die nodig is om het ISMS aantoonbaar te laten werken. Auditors willen niet alleen zien dat processen zijn ingericht, maar ook dat ze een bepaalde periode in de praktijk zijn toegepast. Reken daarvoor op minimaal drie tot zes maanden operationele werking voordat de Stage 2-audit plaatsvindt.
Wat kost een NEN 7510 certificering gemiddeld?
De kosten voor een NEN 7510 certificering bestaan uit twee delen: de kosten voor de voorbereiding (intern of met externe begeleiding) en de auditkosten van de certificeringsinstelling. De totale investering varieert sterk per organisatie, maar ligt voor een middelgrote zorgorganisatie doorgaans tussen de vijf- en vijftienduizend euro voor het volledige eerste certificeringstraject.
De auditkosten worden bepaald door factoren als:
- De omvang van de organisatie (aantal medewerkers, locaties)
- De complexiteit van de processen en systemen
- Het aantal auditdagen dat nodig is voor Stage 1 en Stage 2
Daarbovenop komen eventuele kosten voor externe consultancy, het aanpassen van systemen of het opleiden van medewerkers. Voor kleine organisaties of praktijken kunnen de totale kosten aanzienlijk lager uitvallen. Wil je een realistisch beeld van wat het traject voor jouw organisatie inhoudt? Bekijk dan onze certificeringsdiensten voor meer informatie.
Wat is het verschil tussen NEN 7510 en ISO 27001?
NEN 7510 is een Nederlandse norm die specifiek is ontwikkeld voor informatiebeveiliging in de zorgsector, terwijl ISO 27001 een internationale norm is die van toepassing is op alle soorten organisaties. NEN 7510 is gebaseerd op ISO 27001 en neemt de structuur en basisvereisten ervan over, maar voegt zorgspecifieke eisen en maatregelen toe die aansluiten op de Nederlandse zorgcontext.
Wat ze gemeen hebben
Beide normen vereisen een risicogebaseerde aanpak, een gedocumenteerd ISMS en aantoonbare betrokkenheid van het management. De opbouw van het managementsysteem is vrijwel identiek, wat betekent dat een organisatie die al ISO 27001 gecertificeerd is, een relatief kleine stap hoeft te zetten richting NEN 7510.
Waar ze van elkaar verschillen
NEN 7510 bevat aanvullende beheersmaatregelen die specifiek gericht zijn op de zorg, zoals vereisten rondom toegang tot patiëntgegevens, het omgaan met medische dossiers en de continuïteit van zorgprocessen. Daarnaast zijn er in Nederland sectorale afspraken en wet- en regelgeving, zoals de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, die nauw aansluiten op de NEN 7510-eisen. Voor zorginstellingen is NEN 7510 daarmee de meest passende en relevante norm, ook al biedt ISO 27001 een stevige basis.
Een NEN 7510 certificering halen vraagt om een doordachte aanpak, voldoende interne capaciteit en een certificeringspartner die de zorgcontext begrijpt. Wij begeleiden organisaties door het hele traject, van nulmeting tot certificaatuitgifte, met aandacht voor wat al goed gaat en wat nog versterkt moet worden. Neem contact op en plan een vrijblijvend kennismakingsgesprek om te bespreken wat een NEN 7510 traject voor jouw organisatie betekent.
Veelgestelde vragen
Wat houdt een nulmeting precies in bij de start van een NEN 7510 traject?
V: Wat houdt een nulmeting precies in bij de start van een NEN 7510 traject?nA: Een nulmeting brengt in kaart waar jouw organisatie nu staat ten opzichte van de NEN 7510-eisen en welke maatregelen al aanwezig zijn. Op basis hiervan weet je precies waar je energie en middelen op moet inzetten om het certificeringstraject succesvol te doorlopen.
Hoe zorg ik ervoor dat mijn organisatie klaar is voor de Stage 2-certificeringsaudit?
V: Hoe zorg ik ervoor dat mijn organisatie klaar is voor de Stage 2-certificeringsaudit?nA: Zorg dat je ISMS aantoonbaar werkt door processen minimaal drie tot zes maanden operationeel te hebben, interne audits uit te voeren en bewijs te verzamelen zoals logs en verslagen. Een goed voorbereide Stage 1-audit geeft je bovendien de kans om resterende tekortkomingen tijdig te verhelpen.
Waarom is NEN 7510 ook relevant voor ICT-leveranciers die zelf geen zorginstelling zijn?
V: Waarom is NEN 7510 ook relevant voor ICT-leveranciers die zelf geen zorginstelling zijn?nA: Als je als ICT-leverancier toegang hebt tot medische gegevens of zorgprocessen ondersteunt, ben je direct verantwoordelijk voor de beveiliging van die gegevens en stellen steeds meer zorginstellingen NEN 7510 als harde inkoopeis. Een certificering toont aan dat jouw informatiebeveiliging voldoet aan de zorgspecifieke eisen.
Wanneer is het slim om externe begeleiding in te schakelen voor een NEN 7510 certificering?
V: Wanneer is het slim om externe begeleiding in te schakelen voor een NEN 7510 certificering?nA: Externe begeleiding is vooral waardevol als je organisatie weinig ervaring heeft met informatiebeveiliging, beperkte interne capaciteit heeft of het traject zo efficiënt mogelijk wil doorlopen. Een ervaren partner helpt je veelgemaakte fouten te vermijden en verkort de doorlooptijd aanzienlijk.
