Wat is NEN 7510?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm beschrijft de eisen aan een managementsysteem voor informatiebeveiliging (ISMS) dat is toegesneden op de zorgsector. Het doel is dat de beschikbaarheid, integriteit en vertrouwelijkheid van gezondheidsinformatie aantoonbaar geborgd zijn — van het elektronisch patientdossier tot de communicatie tussen zorgverleners onderling.
NEN 7510 is geen losstaand bouwwerk, maar bouwt voort op de internationale normen ISO/IEC 27001 en ISO/IEC 27002. Daar voegt de norm een set zorgspecifieke beheersmaatregelen aan toe. Denk aan striktere eisen rond toegang tot patientgegevens, het vastleggen van wie wanneer welk dossier raadpleegt, en de borging van patientveiligheid wanneer onjuiste of ontbrekende toegang directe gevolgen kan hebben voor de behandeling.
De norm is bedoeld voor iedereen die persoonlijke gezondheidsinformatie verwerkt of beheert. In de praktijk gaat het om een brede groep organisaties:
- ziekenhuizen, GGZ-instellingen, huisartsen en huisartsenposten;
- verpleeg- en verzorgingshuizen en thuiszorgorganisaties;
- tandartsen, apotheken, fysiotherapeuten en andere praktijken;
- leveranciers van zorgsoftware, EPD-systemen en e-health-toepassingen;
- IT-dienstverleners en verwerkers die voor zorgaanbieders werken.
De actuele versie is NEN 7510:2024, gepubliceerd eind 2024. Deze vervangt de eerdere uitgave (NEN 7510-1:2017, met aanvulling A1:2020) en is beter afgestemd op de modernere ISO 27001:2022, inclusief nieuwe aandacht voor cloud computing en actuele cyberdreigingen.
Is NEN 7510 verplicht?
Dit is misschien wel de belangrijkste vraag, en het antwoord is genuanceerd. De norm zelf is wettelijk verplicht; certificering is dat niet. Zorgaanbieders zijn sinds 2008 verplicht om aantoonbaar te voldoen aan NEN 7510.
Die verplichting volgt niet rechtstreeks uit de norm, maar uit wetgeving die ernaar verwijst. De kern ligt bij de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en het bijbehorende Besluit elektronische gegevensverwerking door zorgaanbieders. Dat besluit bevestigt de al bestaande verplichting om de normen NEN 7510, NEN 7512 en NEN 7513 toe te passen bij het elektronisch verwerken van zorggegevens.
Toezichthouders nemen dit serieus. De Inspectie Gezondheidszorg en Jeugd (IGJ) en de Autoriteit Persoonsgegevens (AP) verwijzen bij toezicht en handhaving naar NEN 7510. Een zorgorganisatie die niet kan aantonen dat de informatiebeveiliging op orde is, loopt dus niet alleen een security-risico, maar ook een toezicht- en compliancerisico.
Omdat de wet vraagt om aantoonbaar voldoen, kiezen veel organisaties voor een formeel certificaat van een geaccrediteerde instelling. Dat is de meest overtuigende manier om tegenover de inspectie, ketenpartners en patienten te laten zien dat de beveiliging structureel geborgd is.
NEN 7510, NEN 7512 en NEN 7513: de samenhang
NEN 7510 staat zelden alleen. De norm vormt het overkoepelende kader, met twee aanvullende normen die specifieke onderdelen verder uitwerken. Het is belangrijk om de drie uit elkaar te houden.
| Norm | Waar gaat het over? | Status |
|---|---|---|
| NEN 7510 | Het managementsysteem voor informatiebeveiliging in de zorg als geheel | Certificeerbaar |
| NEN 7512 | Het vertrouwensniveau bij elektronische gegevensuitwisseling tussen zorgpartijen, patienten en verzekeraars | Onderdeel van de NEN 7510-audit |
| NEN 7513 | Logging: het vastleggen van handelingen in elektronische patientdossiers | Onderdeel van de NEN 7510-audit |
NEN 7512 en NEN 7513 zijn dus geen losse certificaten. Ze worden meegenomen binnen de NEN 7510-audit en concretiseren twee thema's die in de zorg extra zwaar wegen: betrouwbare gegevensuitwisseling en de mogelijkheid om achteraf precies te herleiden wie welk dossier heeft ingezien. Vooral dat laatste — logging conform NEN 7513 — is in de praktijk een terugkerend aandachtspunt bij audits en bij onderzoek na incidenten.
NEN 7510 versus ISO 27001
NEN 7510 en ISO 27001 worden vaak in een adem genoemd, en dat is logisch: NEN 7510 is grotendeels gebaseerd op ISO 27001 en ISO 27002. De structuur, de PDCA-cyclus en veel beheersmaatregelen zijn identiek. Toch zijn er belangrijke verschillen die bepalen welke norm bij een organisatie past.
| Aspect | NEN 7510 | ISO 27001 |
|---|---|---|
| Reikwijdte | Nederlandse norm, specifiek voor de zorg | Internationale norm, sectoronafhankelijk |
| Focus | Patientveiligheid en bescherming van medische gegevens | Informatiebeveiliging in brede zin |
| Extra maatregelen | Zorgspecifieke controls (toegang, logging, gegevensuitwisseling) | Generieke set beheersmaatregelen |
| Juridische status | Wettelijk verankerd via de Wabvpz | Geen wettelijke verplichting |
| Erkenning | Erkend door IGJ en AP voor de zorg | Wereldwijd erkend, gangbaar in tenders |
De kern van het verschil: ISO 27001 is breed en internationaal, NEN 7510 is gericht en wettelijk verankerd voor de Nederlandse zorg. Een zorgorganisatie die uitsluitend ISO 27001 behaalt, voldoet daarmee nog niet automatisch aan alle zorgspecifieke eisen die de wet vraagt.
Op zoek naar een baan in security of compliance?
Professionals die normen als NEN 7510, ISO 27001 en NIS2 kunnen vertalen naar de praktijk zijn zeer gewild. Bekijk de nieuwste vacatures in IT security en compliance in Nederland.
Bekijk IT Security VacaturesIn de praktijk kiezen veel zorgorganisaties en zorgleveranciers daarom voor een gecombineerde aanpak: ze richten een ISMS in dat zowel aan ISO 27001 als aan NEN 7510 voldoet. Omdat de onderliggende maatregelen elkaar grotendeels overlappen, levert die dubbele certificering relatief weinig extra werk op. In het certificatieschema is bovendien geborgd dat een organisatie die beide certificaten nastreeft niet met dubbele auditlasten wordt geconfronteerd.
Wat is er nieuw in NEN 7510:2024?
De herziening van 2024 is meer dan een cosmetische update. De norm is gemoderniseerd om aan te sluiten op een veranderd dreigingslandschap en op de nieuwste internationale normen. De belangrijkste wijzigingen:
- Betere aansluiting op ISO 27001:2022. De structuur en beheersmaatregelen volgen de vernieuwde ISO-norm, wat gecombineerde certificering eenvoudiger maakt.
- Nieuwe maatregelen voor cloud computing. Nu zorgorganisaties steeds meer in de cloud werken, krijgen clouddiensten en de bijbehorende risico's expliciet aandacht.
- Meer nadruk op actuele cyberdreigingen. De norm sluit beter aan op het type aanvallen waarmee de zorg in de praktijk te maken heeft, zoals ransomware en phishing.
- Samenhang met NIS2. De vernieuwde norm is afgestemd op de bredere Europese beveiligingseisen, waaronder die uit de NIS2-richtlijn.
Voor organisaties die al gecertificeerd zijn, geldt een overgangsperiode. Bestaande certificaathouders moeten uiterlijk 20 februari 2027 gecertificeerd zijn tegen de versie NEN 7510:2024. Wie nu aan het begin van een traject staat, doet er verstandig aan direct op de nieuwe versie te mikken.
Hoe verloopt een NEN 7510-certificering?
Het behalen van een NEN 7510-certificaat volgt een herkenbaar stappenplan, vergelijkbaar met een ISO 27001-traject. De doorlooptijd hangt af van de omvang van de organisatie en de volwassenheid van de bestaande beveiliging, maar globaal ziet het traject er zo uit:
| Fase | Activiteit |
|---|---|
| 1. Scoping | Bepalen welke systemen, processen en locaties binnen de certificering vallen |
| 2. Gap-analyse | In kaart brengen waar de organisatie nog niet aan de norm voldoet |
| 3. Implementatie | Inrichten van het ISMS, beleid, procedures en zorgspecifieke maatregelen |
| 4. Interne audit | Zelf toetsen of het systeem werkt en bijsturen waar nodig |
| 5. Certificeringsaudit | Toetsing in twee fasen door een geaccrediteerde certificerende instelling |
| 6. Onderhoud | Jaarlijkse controle-audits en hercertificering elke drie jaar |
Cruciaal detail: een NEN 7510-certificaat is alleen geldig als het wordt afgegeven door een certificerende instelling die is geaccrediteerd door de Raad voor Accreditatie (RvA). Auditors werken daarbij onder de standaard ISO/IEC 17021-1 voor het certificeren van managementsystemen, vaak in combinatie met een kwalificatie als Lead Auditor voor ISO 27001. Toezichthouders erkennen uitsluitend certificaten van geaccrediteerde instellingen — een certificaat van een niet-geaccrediteerde partij heeft dus geen formele waarde richting de IGJ.
Wat NEN 7510 betekent voor jouw carriere
De zorg digitaliseert in hoog tempo, de dreigingen nemen toe en de toezichthouder kijkt scherper mee. Die combinatie maakt informatiebeveiliging in de zorg tot een groeiend werkveld met een blijvende vraag naar gespecialiseerde professionals. Kennis van NEN 7510 is daarbij een waardevolle, onderscheidende toevoeging aan je profiel.
De norm raakt onder meer de volgende functies:
- (Information) Security Officer in de zorg: richt het ISMS in, bewaakt de beheersmaatregelen en is het aanspreekpunt bij audits;
- Functionaris Gegevensbescherming en privacy officer: bewaken de aansluiting tussen NEN 7510, de AVG en het verwerken van bijzondere persoonsgegevens;
- IT auditor en IT compliance auditor: toetsen of de organisatie aantoonbaar aan de norm voldoet, intern of namens een certificerende instelling;
- GRC- en compliance-professionals: verbinden NEN 7510 met andere kaders zoals ISO 27001, NIS2 en de eisen rond gegevensuitwisseling.
Wil je je in deze richting ontwikkelen, dan vormen brede securitynormen een logische basis. Een ISO 27001-fundament is direct toepasbaar op NEN 7510, en voor auditfuncties is de CISA certificering wereldwijd de toonaangevende kwalificatie. Combineer je die kennis met begrip van de zorgcontext — patientveiligheid, EPD-systemen en de wettelijke kaders — dan beschik je over een profiel waar in de zorgsector veel vraag naar is. Benieuwd hoe de salarissen zich ontwikkelen? Lees dan ook onze salaristrends voor 2026.