Een NEN 7510 certificering is in Nederland niet wettelijk verplicht op basis van de NIS2-richtlijn of de Cyber Beveiligingswet (CBW). Toch geldt de norm in de zorg als de facto standaard voor informatiebeveiliging, en in de praktijk stellen opdrachtgevers, toezichthouders en inkoopprocessen steeds vaker eisen die op een certificering neerkomen. In dit artikel beantwoorden we de meest gestelde vragen over de NEN 7510 verplichting, zodat je precies weet waar je aan toe bent. Heb je direct een vraag? Neem gerust contact op en wij helpen je verder.
Welke normen schrijven NEN 7510 voor in de zorg?
NEN 7510 wordt in de Nederlandse zorg voorgeschreven door een combinatie van sectorspecifieke richtlijnen, toezichtkaders en inkoopvereisten. De norm is de Nederlandse vertaling van ISO 27001, aangevuld met zorgspecifieke beheersmaatregelen voor de bescherming van patiëntgegevens. Wettelijk verplicht is de certificering zelf niet, maar naleving van de norm is in veel gevallen wel vereist.
De Autoriteit Persoonsgegevens (AP) hanteert NEN 7510 als erkende maatstaf bij het beoordelen of zorginstellingen voldoende technische en organisatorische maatregelen hebben getroffen in het kader van de AVG. Zorgverzekeraars en inkooporganisaties zoals Zorginkoop Nederland nemen NEN 7510 steeds vaker op als contractuele eis. Daarnaast verwacht de Inspectie Gezondheidszorg en Jeugd (IGJ) dat zorginstellingen aantoonbaar invulling geven aan informatiebeveiliging, waarbij NEN 7510 de meest gehanteerde standaard is.
Voor specifieke deelsectoren, zoals ziekenhuizen en GGZ-instellingen, geldt bovendien dat brancheorganisaties zoals de NVZ en GGZ Nederland de norm actief aanbevelen. In de praktijk betekent dit dat een solide informatiebeveiligingsbeleid gebaseerd op NEN 7510 voor de meeste zorginstellingen geen keuze meer is, maar een noodzaak.
Verplicht de NIS2-richtlijn een NEN 7510 certificering?
Nee, de NIS2-richtlijn verplicht geen NEN 7510 certificering. NIS2 stelt eisen aan risicobeheer en beveiligingsmaatregelen voor essentiële en belangrijke entiteiten, maar schrijft geen specifieke norm of certificering voor. Organisaties mogen zelf bepalen hoe zij aantonen dat zij aan de beveiligingseisen voldoen.
NIS2 richt zich op sectoren als energie, transport, digitale infrastructuur en gezondheidszorg. Zorginstellingen die onder NIS2 vallen, zijn verplicht passende technische, operationele en organisatorische maatregelen te treffen. NEN 7510 is daarvoor een uitstekend kader, maar het behalen van een certificaat is geen formele verplichting vanuit de richtlijn zelf.
Wat NIS2 wel doet, is de lat voor informatiebeveiliging structureel hoger leggen. Organisaties die al NEN 7510 gecertificeerd zijn, voldoen doorgaans al aan een groot deel van de NIS2-vereisten. Een certificering kan daarmee indirect bijdragen aan het aantonen van compliance, ook al is het geen expliciete eis. De NIS2 NEN 7510 combinatie is dus strategisch sterk, ook zonder formele verplichting.
Schrijft de CBW een NEN 7510 certificering voor?
De Cyber Beveiligingswet (CBW), de Nederlandse implementatie van NIS2, verplicht evenmin een NEN 7510 certificering. De CBW legt zorgplichten op aan aanbieders van essentiële en belangrijke diensten, maar laat de keuze van het beveiligingskader vrij. Organisaties moeten aantoonbaar risicobeheer voeren, maar hoe zij dat doen, is aan henzelf.
Wat de CBW wel doet, is toezichthouders de bevoegdheid geven om te controleren of organisaties hun zorgplicht nakomen. In de zorg is dat de IGJ, in andere sectoren zijn dat sectorspecifieke toezichthouders. Als een organisatie geen erkend kader zoals NEN 7510 of ISO 27001 hanteert, wordt het aantonen van naleving een stuk lastiger. CBW NEN 7510 is dus geen verplicht koppel, maar wel een logische combinatie.
Bovendien introduceert de CBW meldplichten bij incidenten en kan de toezichthouder bij ernstige tekortkomingen handhavend optreden. Een NEN 7510 certificering biedt dan een aantoonbaar fundament dat het gesprek met de toezichthouder aanzienlijk eenvoudiger maakt.
Wat is het verschil tussen NEN 7510 en ISO 27001?
NEN 7510 is een Nederlandse norm die voortbouwt op ISO 27001, maar specifiek is ontwikkeld voor de gezondheidszorg. ISO 27001 is de internationale standaard voor informatiebeveiliging die van toepassing is op alle sectoren. Het belangrijkste verschil is dat NEN 7510 aanvullende beheersmaatregelen bevat die gericht zijn op de bescherming van patiëntgegevens en zorgprocessen.
Beide normen hanteren dezelfde basisstructuur: een managementsysteem voor informatiebeveiliging (ISMS) met een risicogebaseerde aanpak. NEN 7510 voegt daar zorgspecifieke vereisten aan toe, zoals eisen rondom toegangsbeheer tot elektronische patiëntendossiers, continuïteit van zorgverlening en de omgang met medische apparatuur die verbonden is met netwerken.
Voor zorginstellingen is NEN 7510 de meest passende keuze, omdat de norm aansluit bij de sectorcontext en door toezichthouders en inkooppartijen wordt erkend. IT-bedrijven en andere organisaties buiten de zorg kiezen doorgaans voor ISO 27001 certificering. Sommige organisaties, zoals ICT-leveranciers die werken voor zorgpartijen, kiezen bewust voor beide normen om aan alle eisen te voldoen.
Wanneer is een NEN 7510 certificering praktisch verplicht?
Een NEN 7510 certificering is praktisch verplicht zodra opdrachtgevers, zorgverzekeraars of aanbestedende partijen dit als contractuele eis stellen. Dit is steeds vaker het geval bij ziekenhuizen, GGZ-instellingen, thuiszorgorganisaties en ICT-leveranciers die medische data verwerken. Zonder certificering loop je het risico opdrachten of contracten mis te lopen.
Concrete situaties waarin een NEN 7510 verplichting in de praktijk geldt, zijn onder andere:
- Inkooptrajecten van zorgverzekeraars waarbij NEN 7510 als minimumeis is opgenomen
- Aanbestedingen van overheidsinstellingen in de zorg waarbij aantoonbare informatiebeveiliging vereist is
- Samenwerkingsverbanden waarbij een zorginstelling eist dat ICT-leveranciers gecertificeerd zijn
- Toezichttrajecten waarbij de IGJ vraagt om een aantoonbaar informatiebeveiligingssysteem
- Verwerkersovereenkomsten waarbij de verwerkingsverantwoordelijke certificering als waarborg eist
Ook zonder expliciete eis kan een certificering praktisch noodzakelijk zijn. Als een incident plaatsvindt en er geen aantoonbaar beveiligingskader is, staan organisaties juridisch en reputatiegewijs veel zwakker. Een NEN 7510 certificering informatiebeveiliging is dan ook steeds vaker een strategische keuze, niet alleen een reactie op externe druk.
Hoe lang duurt een NEN 7510 certificeringstraject?
Een NEN 7510 certificeringstraject duurt gemiddeld zes tot twaalf maanden, afhankelijk van de omvang van de organisatie, de volwassenheid van de bestaande informatiebeveiliging en de beschikbare interne capaciteit. Kleinere organisaties met een goede uitgangspositie kunnen soms sneller door het traject, terwijl grotere instellingen meer tijd nodig hebben.
Het traject bestaat globaal uit drie fasen:
- Voorbereiding: Het inrichten of verbeteren van het ISMS, het uitvoeren van een risicoanalyse en het documenteren van beleid en procedures. Dit is doorgaans de langste fase.
- Initiële audit: De certificeringsaudit bestaat uit een documentatiebeoordeling (fase 1) gevolgd door een implementatieaudit op locatie (fase 2). Wij beoordelen daarbij niet alleen of aan de norm wordt voldaan, maar ook wat de organisatie al goed doet.
- Certificering en surveillance: Na een geslaagde audit ontvangt de organisatie het certificaat, dat drie jaar geldig is. Tussentijds vinden jaarlijkse surveillance-audits plaats om de continue naleving te borgen.
De doorlooptijd wordt sterk bepaald door de interne voorbereiding. Organisaties die al werken met ISO 27001 of een vergelijkbaar kader, hebben een duidelijk voordeel. Voor wie helemaal opnieuw begint, is een realistisch tijdpad van twaalf maanden verstandig.
Wil je weten wat een NEN 7510 certificeringstraject voor jouw organisatie inhoudt en hoe lang het in jouw situatie duurt? Neem contact op en we denken graag met je mee over een aanpak die past bij jouw organisatie en planning.
Veelgestelde vragen
Wat houdt een NEN 7510 certificering precies in voor een zorgorganisatie?
Een NEN 7510 certificering toont aan dat een zorgorganisatie aantoonbaar voldoet aan de Nederlandse norm voor informatiebeveiliging in de zorg, inclusief zorgspecifieke maatregelen voor de bescherming van patiëntgegevens. Het certificaat is drie jaar geldig en wordt tussentijds jaarlijks gecontroleerd via surveillance-audits om continue naleving te garanderen.
Hoe verschilt NEN 7510 van ISO 27001 en welke norm is geschikt voor mijn organisatie?
NEN 7510 bouwt voort op ISO 27001, maar bevat aanvullende maatregelen specifiek voor de gezondheidszorg, zoals eisen rondom elektronische patiëntendossiers en medische apparatuur. Voor zorginstellingen is NEN 7510 de meest passende keuze, terwijl ICT-leveranciers die voor zorgpartijen werken soms bewust kiezen voor beide normen.
Wanneer is het verstandig om te starten met een NEN 7510 certificeringstraject?
Het is verstandig om zo vroeg mogelijk te starten, zeker wanneer je organisatie betrokken is bij zorginkoop, aanbestedingen of samenwerkingsverbanden waarbij informatiebeveiliging een rol speelt. Een realistisch tijdpad is zes tot twaalf maanden, afhankelijk van de volwassenheid van je huidige beveiligingsbeleid en de beschikbare interne capaciteit.
Waarom is een NEN 7510 certificering ook zonder wettelijke verplichting belangrijk?
Zonder een erkend beveiligingskader zoals NEN 7510 is het aantonen van naleving bij toezichthouders zoals de IGJ of de AP aanzienlijk lastiger, zeker na een beveiligingsincident. Bovendien stellen zorgverzekeraars en opdrachtgevers de certificering steeds vaker als contractuele eis, waardoor het ontbreken ervan directe zakelijke gevolgen kan hebben.
