Een NEN 7510-certificering vernieuwen moet elke drie jaar gebeuren om geldig te blijven. Het herauditproces verschilt van de eerste certificering door de focus op verbeteringen en wijzigingen sinds de vorige audit. De kosten zijn meestal lager dan bij de initiële certificering, en de voorbereiding moet idealiter een jaar voor afloop beginnen. NEN 7510-certificering vereist tijdige planning om continuïteit te waarborgen.
Wat is de geldigheidsduur van een NEN 7510-certificaat?
Een NEN 7510-certificaat is drie jaar geldig vanaf de datum van uitgifte. Deze standaardtermijn geldt voor alle zorginstellingen en hun toeleveranciers die gecertificeerd zijn volgens de Nederlandse norm voor informatiebeveiliging in de zorg.
De driejarige cyclus is bewust gekozen omdat informatiebeveiliging in de zorgverlening een dynamisch vakgebied is. Technologieën veranderen snel, nieuwe bedreigingen ontstaan regelmatig en wet- en regelgeving wordt voortdurend aangepast. Een kortere periode zou te belastend zijn voor organisaties, terwijl een langere periode risico’s met zich meebrengt voor patiëntgegevens.
Voor zorgorganisaties betekent dit dat zij hun informatiebeveiliging in de zorg continu moeten onderhouden en verbeteren. Het certificaat dient als bewijs dat de organisatie op het moment van de audit voldeed aan de norm, maar de verantwoordelijkheid voor informatiebeveiliging blijft gedurende de hele certificeringscyclus bestaan.
Wanneer moet je beginnen met voorbereiden op vernieuwing van je certificering?
Begin twaalf tot achttien maanden voor het aflopen van je huidige certificaat met de voorbereiding op de heraudit. Deze tijdlijn geeft voldoende ruimte voor eventuele verbeteringen en voorkomt tijdsdruk die de kwaliteit van je informatiebeveiligingsmanagementsysteem kan beïnvloeden.
De praktische voorbereiding kent verschillende mijlpalen. Start ongeveer vijftien maanden voor afloop met een interne evaluatie van je huidige ISMS. Identificeer verbeterpunten en begin met de implementatie van noodzakelijke wijzigingen. Zes maanden voor afloop moet je contact opnemen met een geaccrediteerde auditinstelling om de heraudit in te plannen.
Organisaties die te laat beginnen met voorbereiden, lopen het risico dat hun certificaat afloopt voordat de heraudit is afgerond. Dit betekent dat zij tijdelijk niet gecertificeerd zijn, wat problemen kan veroorzaken bij contracten met ketenpartners en mogelijk vragen oproept bij de Inspectie Gezondheidszorg en Jeugd.
Wat zijn de kosten van vernieuwing van NEN 7510-certificering?
De kosten voor heraudit zijn doorgaans 20–30% lager dan bij de eerste certificering. Dit komt doordat de auditinstelling al bekend is met je organisatie en de focus ligt op wijzigingen en verbeteringen sinds de vorige audit, in plaats van op een complete beoordeling van alle processen.
Verschillende factoren beïnvloeden de auditkosten bij vernieuwing. De grootte van je organisatie speelt een belangrijke rol: meer medewerkers en locaties betekenen meer auditdagen. Ook het aantal wijzigingen in je ISMS sinds de vorige audit kan de kosten beïnvloeden. Organisaties die hun systeem goed hebben onderhouden, hebben meestal lagere herauditkosten.
De organisatiegrootte bepaalt het aantal benodigde auditdagen volgens vaste schema’s. Kleine zorgorganisaties met minder dan 25 medewerkers hebben meestal 2–3 auditdagen nodig, terwijl grotere instellingen met meerdere locaties tot 5–8 dagen kunnen vereisen. Certificering bij een ervaren auditinstelling zorgt voor efficiënte planning en kostenbeheer.
Hoe verschilt een heraudit van de eerste NEN 7510-certificering?
Een heraudit richt zich primair op wijzigingen en verbeteringen sinds de vorige audit, terwijl de eerste certificering alle aspecten van je ISMS volledig beoordeelt. De auditor controleert specifiek hoe je organisatie heeft gereageerd op eerdere bevindingen en welke ontwikkelingen hebben plaatsgevonden.
Bij een heraudit besteden auditors extra aandacht aan de effectiviteit van je managementbeoordelingen, interne audits en het behandelen van incidenten. Zij kijken naar trends in je informatiebeveiliging en beoordelen of verbeteracties daadwerkelijk tot betere beveiliging hebben geleid. Ook nieuwe risico’s door gewijzigde processen of technologie krijgen specifieke aandacht.
Het grote verschil zit in de diepgang per onderwerp. Processen die bij de vorige audit goed functioneerden en sindsdien ongewijzigd zijn, worden minder uitgebreid gecontroleerd. Daarentegen krijgen nieuwe ontwikkelingen, zoals de implementatie van nieuwe IT-systemen of wijzigingen in zorgprocessen, juist meer aandacht dan bij een eerste audit.
Een succesvolle heraudit vereist goede documentatie van alle wijzigingen en verbeteringen gedurende de certificeringscyclus. Organisaties die hun ISMS continu hebben onderhouden en verbeterd, ervaren de heraudit als een natuurlijk onderdeel van hun kwaliteitsmanagement. Voor vragen over je specifieke situatie kun je altijd contact opnemen voor persoonlijk advies over je heraudittraject.
Veelgestelde vragen
V: Wat gebeurt er als mijn NEN 7510-certificaat afloopt voordat de heraudit is voltooid?
A: Wanneer je certificaat afloopt voor de heraudit, ben je tijdelijk niet gecertificeerd. Dit kan contractuele problemen veroorzaken met ketenpartners en mogelijk vragen oproepen bij de IGJ over je informatiebeveiliging.
V: Hoe kan ik de kosten van mijn NEN 7510-heraudit zo laag mogelijk houden?
A: Onderhoud je ISMS continu gedurende de certificeringscyclus en documenteer alle wijzigingen zorgvuldig. Organisaties met goed onderhouden systemen hebben doorgaans 20-30% lagere herauditkosten dan bij de eerste certificering.
V: Welke documenten moet ik voorbereiden voor een succesvolle NEN 7510-heraudit?
A: Bereid documentatie voor van alle wijzigingen sinds de vorige audit, managementbeoordelingen, interne audits, behandelde incidenten en verbeteracties. Goede documentatie van ontwikkelingen gedurende de certificeringscyclus is essentieel voor een soepele heraudit.
V: Waarom duurt een NEN 7510-heraudit minder lang dan de eerste certificering?
A: De auditor richt zich bij heraudit op wijzigingen en verbeteringen sinds de vorige audit, niet op alle processen. Ongewijzigde, goed functionerende processen worden minder uitgebreid gecontroleerd, wat tijd bespaart.
