3 juni 2026

NEN 7510 certificering: de definitieve gids voor informatiebeveiliging in de zorg

Alles over NEN 7510 certificering: van de audit en het stappenplan tot de relatie met de AVG. Zorg voor optimale informatiebeveiliging in uw zorginstelling.

Inleiding: Waarom NEN 7510 de standaard is voor de Nederlandse zorg

Patiëntgegevens zijn het meest waardevolle én het meest kwetsbare bezit in de zorgsector, en de cijfers liegen er niet om.

De zorgsector registreerde in 2024 een zeer hoog aantal datalekmeldingen in Nederland. Volgens de Autoriteit Persoonsgegevens gaat het om maar liefst 6.873 meldingen: een alarmerend record dat aantoont hoe groot de digitale kwetsbaarheid in de zorg werkelijk is. Van huisartsenpraktijken tot ziekenhuizen: geen enkele organisatie die met patiëntdata werkt, is immuun voor de gevaren van cyberaanvallen, menselijke fouten en onbeveiligde systemen.

6.873 datalekmeldingen in de zorgsector in 2024. Daarmee staat de zorg op de ongewenste eerste plaats in Nederland.

De zorg draagt een bijzondere verantwoordelijkheid. Patiënten delen hun meest persoonlijke informatie, zoals diagnoses, medicatie en psychische aandoeningen, in het vertrouwen dat zorgverleners zorgvuldig met die gegevens omgaan. Dat vertrouwen is niet vrijblijvend: de wet verplicht zorgorganisaties actief te zorgen voor een passend niveau van informatiebeveiliging. Precies hier speelt NEN 7510 certificering een centrale rol.

NEN 7510 is de Nederlandse norm specifiek ontwikkeld voor informatiebeveiliging in de zorgsector. De norm biedt zorgorganisaties een gestructureerd kader om patiëntgegevens aantoonbaar te beschermen en tegelijkertijd te voldoen aan wettelijke verplichtingen zoals de AVG en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). De Inspectie Gezondheidszorg en Jeugd (IGJ) beschouwt naleving van NEN 7510 dan ook als een concrete invulling van de wettelijke zorgplicht.

Wat NEN 7510 onderscheidt van generieke beveiligingsnormen, is de specifieke focus op de zorgsector. Waar internationale normen zoals ISO 27001 een breed fundament bieden voor informatiebeveiliging in alle sectoren, vertaalt NEN 7510 die principes naar de dagelijkse realiteit van zorgverleners: elektronische patiëntendossiers, medische apparatuur, ketenpartners en de gevoelige aard van gezondheidsinformatie.

Deze gids is uw definitieve startpunt als u NEN 7510 certificering wilt begrijpen, aanvragen of implementeren. Of u nu een zorginstelling, ICT-leverancier in de zorg of beleidsverantwoordelijke bent, u vindt hier praktische informatie over:

De kernbegrippen en terminologie rondom NEN 7510
De organisaties die verplicht of vrijwillig moeten certificeren
Het stapsgewijze traject richting certificering
De kosten, doorlooptijden en veelgemaakte fouten

Voordat we het certificeringstraject zelf induiken, is het essentieel om de taal van NEN 7510 te begrijpen. Begrippen als ISMS, BIV-classificatie en verwerkersovereenkomst komen voortdurend terug. Wie die termen niet beheerst, loopt al snel vast. In de volgende sectie zetten we daarom de belangrijkste kernbegrippen helder uiteen.

Kernbegrippen van NEN 7510: Een begrippenlijst voor de zorg

Wie de taal van NEN 7510 beheerst, begrijpt direct wat er tijdens een audit op het spel staat en waarom deze norm verder gaat dan een simpele checklist.

ISMS (Information Security Management System) Het ISMS is het gestructureerde raamwerk van beleid, processen en maatregelen waarmee een organisatie haar informatiebeveiliging beheert, bewaakt en continu verbetert. Dit vormt de operationele motor achter alles wat NEN 7510 voorschrijft. Praktisch gezien gaat het niet om één document, maar om een levend systeem dat risico’s identificeert en aanpakt. Wilt u meer verdieping over hoe zo’n managementsysteem technisch is opgebouwd, dan biedt onze pagina over beveiligingsadvies een goed startpunt.

Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV) Deze drie pijlers vormen samen het fundament van informatiebeveiliging: beschikbaarheid zorgt ervoor dat zorgverleners altijd toegang hebben tot patiëntdata, integriteit garandeert dat gegevens correct en ongewijzigd zijn, en vertrouwelijkheid beschermt informatie tegen onbevoegde inzage. In de zorgsector zijn alle drie even kritisch, aangezien een storing in één pijler directe gevolgen kan hebben voor de patiëntveiligheid.

NEN 7513 NEN 7513 is een aanvullende norm die specifiek gaat over het vastleggen van wie wanneer toegang heeft gehad tot een patiëntendossier, ook wel de loggingsnorm genoemd. Dit is een van de 8 zorgspecifieke controls die NEN heeft toegevoegd bovenop de internationale ISO 27001-standaard, welke nergens anders in generieke beveiligingsnormen voorkomen. Tijdens een NEN 7510 audit wordt naleving van NEN 7513 doorgaans expliciet getoetst.

Risico-analyse Een risico-analyse is het systematische proces waarbij een zorgorganisatie haar kwetsbaarheden en bedreigingen in kaart brengt. Denk hierbij aan een verloren laptop, een phishingaanval of onbeveiligde Wi-Fi in de wachtkamer. Vervolgens wordt bepaald welke maatregelen proportioneel en noodzakelijk zijn. Zonder een gedegen risico-analyse is iedere beveiligingsmaatregel in feite giswerk.

Verwerkersovereenkomst Een verwerkersovereenkomst is een juridisch bindende overeenkomst tussen een zorgorganisatie en haar IT-leveranciers, zoals een EPD-aanbieder of cloudprovider. Hierin is vastgelegd hoe patiëntdata wordt verwerkt, beveiligd en beschermd. Ontbreken deze afspraken, dan loopt de zorgorganisatie zowel onder de AVG als onder NEN 7510 een aanzienlijk compliancerisico.

In de praktijk hangen deze begrippen nauw samen: een goede risico-analyse voedt het ISMS, de BIV-classificatie bepaalt welke verwerkersovereenkomsten noodzakelijk zijn, en NEN 7513 borgt de traceerbaarheid van toegang. Wie dit fundament begrijpt, is klaar om de volgende vraag te beantwoorden: geldt NEN 7510 eigenlijk als een wettelijke verplichting voor uw organisatie?

Wie de taal van NEN 7510 beheerst, begrijpt direct wat er tijdens een audit op het spel staat.

Voordat u de diepte ingaat van certificering en wettelijke verplichtingen, is het essentieel dat een aantal begrippen helder op het netvlies staat. Hieronder vindt u de vijf kernconcepten die door de rest van dit artikel heen terugkomen.

**ISMS (Information Security Management System)**

Het ISMS is het gestructureerde raamwerk van beleid, processen en maatregelen waarmee een organisatie haar informatiebeveiliging beheert, bewaakt en continu verbetert. Het vormt de operationele motor achter alles wat NEN 7510 voorschrijft. Praktisch gezien gaat het niet om één document, maar om een levend systeem dat risico’s identificeert en aanpakt.

**Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV)**

Deze drie pijlers vormen samen het fundament van informatiebeveiliging: **beschikbaarheid** zorgt ervoor dat zorgverleners altijd toegang hebben tot patiëntdata, **integriteit** garandeert dat gegevens correct en ongewijzigd zijn, en **vertrouwelijkheid** beschermt informatie tegen onbevoegde inzage. In de zorgsector zijn alle drie even kritisch en een storing in één pijler kan directe gevolgen hebben voor patiëntveiligheid.

**NEN 7513**

NEN 7513 is een aanvullende norm die specifiek gaat over het vastleggen van wie wanneer toegang heeft gehad tot een patiëntendossier – ook wel loggingsnorm genoemd. **Dit is een van de zorgspecifieke controls die NEN heeft toegevoegd bovenop de internationale ISO 27001-standaard**, en die nergens anders in generieke beveiligingsnormen voorkomen. Tijdens een NEN 7510 audit wordt naleving van NEN 7513 doorgaans expliciet getoetst.

**Risico-analyse**

Een risico-analyse is het systematische proces waarbij een zorgorganisatie haar kwetsbaarheden en bedreigingen in kaart brengt – denk aan een verloren laptop, een phishingaanval of onbeveiligde Wi-Fi in de wachtkamer – en vervolgens bepaalt welke maatregelen proportioneel en noodzakelijk zijn. Zonder een gedegen risico-analyse is iedere beveiligingsmaatregel in feite giswerk.

**Verwerkersovereenkomst**

Een verwerkersovereenkomst is een juridisch bindende overeenkomst tussen een zorgorganisatie en haar IT-leveranciers, zoals een EPD-aanbieder of cloudprovider, waarin is vastgelegd hoe patiëntdata wordt verwerkt, beveiligd en beschermd. Ontbreken deze afspraken, dan loopt de zorgorganisatie zowel onder de AVG als onder NEN 7510 een aanzienlijk compliancerisico.

Wat is NEN 7510 en is het verplicht voor uw organisatie?

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg en voor de meeste zorgorganisaties is naleving geen vrije keuze, maar een wettelijke verplichting.

Nu de kernbegrippen helder zijn, rijst direct de praktische vraag: geldt dit ook voor ú? Het antwoord hangt af van uw organisatievorm, maar de juridische basis is voor iedereen in de zorg dezelfde.

De wettelijke driehoek: Wkkgz, AVG en NEN 7510

De verplichting om informatiebeveiliging serieus te nemen, komt voort uit drie overlappende kaders:

Wkkgz (Wet kwaliteit, klachten en geschillen zorg): verplicht zorgaanbieders om goede zorg te leveren, inclusief het zorgvuldig omgaan met patiëntinformatie.
AVG: verplicht elke verwerkingsverantwoordelijke tot passende technische en organisatorische maatregelen bij het verwerken van bijzondere persoonsgegevens. Gezondheidsdata valt daar altijd onder.
NEN 7510: vertaalt deze abstracte wettelijke eisen naar concrete, toepasbare maatregelen voor de zorgsector.

Wie voldoet aan NEN 7510, voldoet daarmee automatisch aan een groot deel van de Wkkgz- en AVG-verplichtingen op het gebied van informatiebeveiliging. Dat maakt de norm zo krachtig als compliance-instrument.

Waarom de IGJ NEN 7510 als dwingend kader gebruikt

De Inspectie Gezondheidszorg en Jeugd (IGJ) hanteert NEN 7510 niet als vrijblijvende richtlijn, maar als toetsingskader bij toezicht en inspecties. De IGJ benadrukt expliciet dat het voldoen aan NEN 7510 geen optionele keuze is; zorgaanbieders zijn wettelijk verplicht passende maatregelen te nemen. In de praktijk betekent dit dat een inspecteur bij een datalek of klacht direct toetst of uw organisatie aantoonbaar werkt conform deze norm.

‘Werken volgens’ versus ‘gecertificeerd zijn’

Er bestaat een belangrijk onderscheid dat in de praktijk vaak voor verwarring zorgt:

Werken volgens NEN 7510 betekent dat u de maatregelen uit de norm implementeert, maar dit niet extern laat toetsen. U bent zelf verantwoordelijk voor de invulling en kunt dit niet onafhankelijk aantonen.
Gecertificeerd zijn betekent dat een geaccrediteerde certificerende instelling heeft vastgesteld dat uw ISMS voldoet aan de norm. Dit levert een officieel certificaat op dat geldig is voor een bepaalde periode.

Voor de IGJ telt aantoonbaarheid. Certificering biedt daarin de sterkste positie. Maar ook wie (nog) niet gecertificeerd is, moet kunnen laten zien dat de norm wordt nageleefd.

Verplichtingen per organisatietype

Type organisatie	Wettelijke basis	Certificering verplicht?
Ziekenhuizen & UMC’s	Wkkgz + AVG + NTA 7516	Ja, in de meeste gevallen
GGZ-instellingen	Wkkgz + AVG	Sterk aanbevolen / sectorafspraak
Huisartsenpraktijken	AVG + NHG-richtlijnen	Werken-volgens verplicht
Kleine zorgpraktijken	AVG	Proportionele toepassing
Leveranciers (ICT/SaaS)	AVG (verwerker)	Afhankelijk van contractuele eisen

Kleine praktijken hoeven niet alles wat een ziekenhuis moet inrichten, maar het principe van passende maatregelen geldt onverkort. Proportionaliteit is toegestaan; vrijstelling is dat niet.

De relatie tussen NEN 7510, de AVG en de Cyberbeveiligingswet (NIS2)

NEN 7510, de AVG en de Cyberbeveiligingswet zijn geen losstaande verplichtingen. Wie ze als één samenhangend geheel benadert, bespaart tijd, geld en compliance-hoofdpijn.

In de praktijk worstelen veel zorgorganisaties met hetzelfde probleem: meerdere wettelijke kaders die overlappen, maar elk hun eigen documentatie, maatregelen en rapportages lijken te vereisen. Toch is die overlap juist een voordeel als u de verbanden begrijpt.

NEN 7510 en de AVG: accountability als verbindende schakel

De AVG verplicht organisaties te kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben genomen om persoonsgegevens te beschermen, het zogenoemde accountability-beginsel. Een geldig nen 7510 certificaat levert precies dat bewijs. De norm dwingt u immers tot een gedocumenteerd Information Security Management System (ISMS), risicoanalyses en aantoonbare beheersmaatregelen. Dat is niet alleen intern nuttig: de AVG-Helpdesk voor Zorg en Welzijn bevestigt dat NEN 7510 en de AVG sterk op elkaar aansluiten en dat naleving van de norm bijdraagt aan het aantonen van AVG-compliance.

Van NEN 7510:2024 naar de NIS2-zorgplicht

Met de inwerkingtreding van de Cyberbeveiligingswet – de Nederlandse implementatie van de Europese NIS2-richtlijn – is de druk op zorginstellingen verder toegenomen. Zorgorganisaties vallen in toenemende mate onder de categorie ‘essentiële entiteiten’, met bijbehorende zorgplicht voor risicobeheer en incidentmelding. Het Ministerie van VWS heeft hierbij een belangrijke opening gecreëerd: organisaties die voldoen aan NEN 7510:2024 worden geacht te voldoen aan de zorgplicht onder de Cyberbeveiligingswet. Dit maakt certificering feitelijk tot een ‘safe harbor’ – een aantoonbaar veilige positie bij toezicht door de Inspectie Gezondheidszorg en Jeugd of andere toezichthouders.

Certificering als schild bij inspecties

In de zorg is toezicht nooit ver weg. Een gecertificeerde organisatie treedt een inspectie fundamenteel anders tegemoet dan een niet-gecertificeerde: de bewijslast is al geleverd. Auditors en toezichthouders hoeven niet vanaf nul te toetsen. Het certificaat bewijst dat een onafhankelijke derde partij de beveiligingsmaatregelen heeft gevalideerd. Dat geeft bestuurders en privacy-officers een stevige positie, en vermindert de kans op hersteltrajecten of boetes aanzienlijk.

Voorkom dubbel werk met een integrale aanpak

De slimste aanpak is één geïntegreerd ISMS dat tegelijkertijd aan AVG, NEN 7510 en de Cyberbeveiligingswet voldoet. Concreet betekent dit:

Risicoanalyses die zowel NEN 7510-controls als AVG-verplichtingen adresseren
Beleidsdocumenten die voor meerdere kaders tegelijk geldig zijn
Incidentregistraties die voldoen aan zowel de AVG-meldplicht als NIS2-rapportagevereisten
Bewustwordingstrainingen die alle wetgevende eisen in één programma bundelen

Meer achtergrond over informatiebeveiliging in de zorg en hoe normen op elkaar inwerken, helpt bij het opzetten van zo’n geïntegreerde structuur. Wie dit fundament eenmaal heeft staan, is klaar voor de volgende stap: de concrete invoering. Precies daarover gaat het volgende deel van deze gids.

Het stappenplan: In 4 fasen naar NEN 7510 certificering

Certificering hoeft geen jarenlang project te zijn. Met een heldere fasering kunt u het traject aanzienlijk versnellen en de doorlooptijd terugbrengen van jaren naar weken.

Nu duidelijk is hoe NEN 7510 en AVG elkaar versterken en welke wettelijke verplichtingen op uw organisatie van toepassing zijn, is de volgende vraag praktisch van aard: hóé pakt u dit aan? Onderstaand stappenplan biedt een bewezen routekaart.

1. Fase 1 – Inventariseren: nulmeting en GAP-analyse

De eerste stap is altijd inzicht verkrijgen. U brengt in kaart welke informatiesystemen, processen en gegevensstromen binnen uw organisatie aanwezig zijn. Vervolgens vergelijkt u de huidige situatie met de eisen uit de norm: wat is er al goed geregeld, en waar zitten de gaten?

Pro-tip: Betrek de ICT-afdeling én de zorginhoudelijke medewerkers bij de nulmeting. Beveiligingsrisico’s ontstaan vaak op de snijvlakken van techniek en werkproces, niet uitsluitend in de serverruimte.

2. Fase 2 – Organiseren: beleid opstellen en rollen verdelen

Op basis van de GAP-analyse stelt u beleidsdocumenten op: een informatiebeveiligingsbeleid, een risicobeheersplan en procedures voor incidentmelding. Minstens zo belangrijk is het verdelen van verantwoordelijkheden. Wie is de functionaris gegevensbescherming (FG)? Wie is eindverantwoordelijk voor het ISMS?

Pro-tip: Stel een klein stuurgroepje in met beslissingsbevoegdheid. Zonder draagvlak op directieniveau vertraagt implementatie vrijwel altijd.

3. Fase 3 – Implementeren: bewustwording en technische controls

Beleid op papier is onvoldoende, het moet ook leven in de organisatie. In deze fase voert u de technische maatregelen door (toegangsbeheer, versleuteling, logging) én investeert u in bewustwordingstraining voor medewerkers. Menselijk gedrag is immers de meest voorkomende oorzaak van datalekken in de zorg.

Pro-tip: Voer phishing-simulaties uit vóór én ná de training. Het verschil in resultaat is een krachtig argument voor het management én een tastbaar bewijs van voortgang richting de auditor.

4. Fase 4 – Evalueren: interne audit en management review

Voordat een externe certificerende instantie aan zet is, toetst u zelf hoe ver u staat. Een interne audit controleert of de geïmplementeerde maatregelen daadwerkelijk werken zoals bedoeld. De bevindingen worden besproken in een formele management review, waarbij de directie de effectiviteit van het ISMS beoordeelt en verbeteracties vaststelt.

Pro-tip: Documenteer de management review zorgvuldig. Certificerende instanties beoordelen niet alleen wat u doet, maar ook of u kunt aantonen dat uw systeem zichzelf verbetert.

Met fase 4 afgerond staat uw organisatie klaar voor de externe toets. Maar wat houdt die externe certificeringsaudit precies in, en hoe verschilt die van de interne audit die u zojuist heeft uitgevoerd? Dat komt in de volgende sectie aan bod.

De NEN 7510 audit: Wat kunt u verwachten van de certificerende instantie?

Een NEN 7510-audit is geen verrassingsbezoek, maar een gestructureerd proces dat u stap voor stap kunt voorbereiden.

Wie het nen 7510 implementatietraject zorgvuldig doorloopt, merkt dat de certificeringsaudit het logische sluitstuk is van een bewust opgebouwd systeem. Toch roept het auditproces bij veel zorgorganisaties nog onnodige spanning op. Dat is jammer, want wie begrijpt hoe een audit werkt, haalt er juist waarde uit.

Interne audit versus externe certificeringsaudit

Een interne audit voert u zelf uit – of laat u uitvoeren door een onafhankelijke collega of adviseur binnen de organisatie. Het doel is eerlijk zicht krijgen op de staat van uw informatiebeveiliging vóórdat een externe partij aan de deur staat. Een externe certificeringsaudit wordt uitgevoerd door een geaccrediteerde certificerende instantie. Alleen zij mogen een officieel NEN 7510-certificaat afgeven.

Fase 1: Documentatietoetsing

De externe audit verloopt in twee afzonderlijke fasen. In fase 1 beoordeelt de auditor uw documentatie: het informatiebeveiligingsbeleid, de risicoanalyse, de Verklaring van Toepasselijkheid (VvT) en de beheersmaatregelen die u heeft vastgelegd. Dit is in essentie een bureauaudit. De auditor stelt vast of uw papieren werkelijkheid klopt en of u gereed bent voor fase 2.

Fase 2: Praktijktoetsing

In fase 2 toetst de auditor of de praktijk overeenkomt met de documentatie. Worden de procedures daadwerkelijk gevolgd? Zijn medewerkers aantoonbaar getraind? Werkt het toegangsbeheer zoals beschreven? Dit is het moment waarop beleid en praktijk naast elkaar worden gelegd.

Omgaan met non-conformities

Vrijwel elke audit levert bevindingen op. Een non-conformity (tekortkoming) is geen afwijzing, maar een formeel signaal dat een maatregel ontbreekt of onvoldoende is geïmplementeerd. Er zijn twee gradaties:

Major non-conformiteit: een ernstige tekortkoming die certificering blokkeert totdat deze is opgelost.
Minor non-conformiteit: een kleinere afwijking waarvoor u binnen een afgesproken termijn een verbeterplan indient.

In de praktijk geldt: hoe beter uw interne audit was, hoe minder verrassingen fase 2 oplevert.

Checklist: Audit-ready in 10 punten

Informatiebeveiligingsbeleid is actueel en goedgekeurd door de directie
Risicoanalyse is gedocumenteerd en periodiek herzien
Verklaring van Toepasselijkheid is compleet en gemotiveerd
Beveiligingsmaatregelen zijn aantoonbaar geïmplementeerd
Medewerkers zijn aantoonbaar getraind en bewust van hun rol
Incidentenregister is bijgehouden en incidenten zijn afgehandeld
Leveranciersdossiers (contracten, SLA’s, verwerkersovereenkomsten, evt certificaten) zijn op orde
Interne audit is uitgevoerd en gedocumenteerd
Directiebeoordeling heeft plaatsgevonden
Corrigerende maatregelen uit eerdere audits zijn aantoonbaar opgevolgd

Een certificaat stelt de IGJ in staat om toezicht risico-gestuurd in te richten, wat de inspectiedruk voor gecertificeerde organisaties kan verlagen, wat een concreet operationeel voordeel is naast de betere beveiliging zelf.

Het auditproces legt bloot wat er écht speelt binnen

Informatiebeveiliging in de praktijk: Specifieke uitdagingen voor zorgverleners

Beleid op papier is één ding, de dagelijkse beveiligingspraktijk in een drukke zorgomgeving is een heel andere werkelijkheid. Waar de vorige secties het auditproces en de certificeringsfasen beschreven, gaat het hier om de concrete situaties die zorgverleners elke dag tegenkomen. Een goede nen 7510 checklist houdt altijd rekening met deze operationele realiteit, want de meeste beveiligingsincidenten ontstaan niet door technische mankementen, maar door menselijk handelen onder tijdsdruk.

Veilige communicatie over patiëntgegevens

E-mail is de zwakste schakel in de informatiebeveiliging van veel zorginstellingen. Reguliere e-mail is onversleuteld en daarmee principieel ongeschikt voor het versturen van patiëntgegevens. NEN 7510 vereist dat organisaties aantoonbaar gebruik maken van beveiligde communicatiekanalen. In de praktijk betekent dit de inzet van gespecialiseerde (Nederlands/Europese) zorgmailoplossingen – zoals bijvoorbeeld SecuMailer – die berichten versleutelen en de identiteit van afzender én ontvanger verifiëren. Toch blijkt dat medewerkers beveiligde mailopties regelmatig omzeilen wanneer ze tijdrovend zijn, wat de nadruk legt op gebruiksgemak als cruciaal onderdeel van een werkbaar beveiligingsbeleid.

Toegangsbeheer in gedeelde ruimtes

In gedeelde praktijkruimtes, zoals huisartsenposten, poliklinieken of gezondheidscentra, werken meerdere zorgverleners met dezelfde fysieke infrastructuur. Dit levert concrete dilemma’s op:

Wie heeft toegang tot welk patiëntendossier, en hoe wordt dat technisch afgedwongen?
Hoe voorkomt u dat een collega per ongeluk het dossier van een patiënt raadpleegt die niet bij hem of haar in behandeling is?
Wat gebeurt er met toegangsrechten wanneer een tijdelijk medewerker vertrekt?

In de praktijk is rolgebaseerde toegangscontrole (RBAC) de standaard aanpak: medewerkers krijgen uitsluitend toegang tot de gegevens die zij voor hun functie nodig hebben. Dit principe, ook wel need-to-know genoemd, vormt een kerneis binnen NEN 7510.

Logging: de stille bewaker van het dossier

Een van de meest onderschatte beveiligingsmaatregelen is systematische logging. Wie keek wanneer in welk dossier? Dit is niet alleen relevant bij vermoedens van misbruik, maar ook voor compliance: de IGJ kan bij toezicht vragen om aantoonbare auditlogs. Zonder betrouwbare logging is het onmogelijk om achteraf vast te stellen of een datalek heeft plaatsgevonden en welke gegevens zijn ingezien. Goed ingericht logbeheer maakt incidentonderzoek niet alleen mogelijk, maar ook geloofwaardig richting toezichthouders.

Continuïteit: als de systemen uitvallen

Volgens onderzoek van KPMG en NVZ stelt 90% van de ziekenhuis-CIO’s dat databeschikbaarheid de hoogste prioriteit heeft voor 2025, en dat is geen toeval. Systeemuitval in de zorg heeft directe gevolgen voor patiëntveiligheid. NEN 7510 vereist dan ook een uitgewerkt Business Continuity Plan (BCP): een scenario-gebaseerd draaiboek dat beschrijft hoe zorg doorloopt wanneer digitale systemen niet beschikbaar zijn. Denk aan papieren noodprocedures, back-uplocaties voor kritische data en heldere escalatielijnen.

Al deze praktijkvraagstukken brengen vanzelfsprekend kosten met zich mee, zowel direct als indirect.

Kosten en baten: Is een NEN 7510 certificaat de investering waard?

De kosten van NEN 7510-certificering zijn aanzienlijk, maar de kosten van een datalek in de zorg zijn dat veel meer. Wie de balans objectief opmaakt, ziet al snel dat het certificaat geen kostenpost is, maar een financieel verantwoorde keuze.

Directe kosten om rekening mee te houden:

Advies en begeleiding: Een externe consultant of implementatiepartner helpt bij de gap-analyse, beleidsdocumentatie en voorbereiding op de audit. De kosten variëren afhankelijk van de omvang van uw organisatie.
Auditfees: De initiële certificeringsaudit en de jaarlijkse surveillanceaudits vormen een vaste kostenpost. Gecertificeerde instanties hanteren tarieven die afhankelijk zijn van organisatiegrootte en complexiteit.
Technische aanpassingen: Denk aan toegangsbeveiliging, versleuteling van gegevensdragers, of aanpassingen aan netwerksegmentatie.

Indirecte kosten worden regelmatig onderschat. De tijdsinvestering van uw medewerkers is in de praktijk een van de zwaarste posten. Beleidsvorming, bewustwordingstrainingen, interne audits en het bijhouden van een risicoregister. Dit alles vraagt uren die uw personeel niet aan directe zorgverlening besteedt. Zeker in kleinere organisaties binnen nen 7510 zorg voelt dat gewicht.

Toch wegen de baten structureel zwaarder:

Voorkomen van boetes: De Autoriteit Persoonsgegevens kan bij een aantoonbaar beveiligingsincident boetes opleggen tot tientallen miljoenen euro’s. Een certificaat toont aan dat u aantoonbaar adequate maatregelen heeft getroffen.
Reputatieschade beperken: Patiënten vertrouwen u hun meest gevoelige gegevens toe. Een datalek schaadt dat vertrouwen blijvend en herstel kost meer dan preventie.
Efficiëntere processen: Gestandaardiseerde werkwijzen rond toegangsbeheer, incidentrespons en documentatie verminderen fouten en maken onboarding van nieuw personeel eenvoudiger.

Volgens het IBM Security Cost of a Data Breach Report 2024 bedragen de gemiddelde kosten van een datalek in de zorg wereldwijd €8,89 miljoen per incident. Daarmee is de zorgsector al jaren de duurste sector voor datalekken.

Dit cijfer maakt de business case helder. Investeer je tienduizenden euro’s in certificering, dan bescherm je jezelf tegen een potentieel catastrofale uitgavenpost.

Security by design is hierbij het sleutelbegrip. Wie informatiebeveiliging inbouwt in processen en systemen – in plaats van achteraf te repareren – betaalt structureel minder. Vergelijkbare principes gelden ook in andere sectoren. Het principe is universeel: preventie kost minder dan herstel.

Kortom, de vraag is niet of u zich NEN 7510-compliance kunt veroorloven, maar of u het risico kunt dragen om het niet te doen. In de volgende sectie beantwoorden we de meest gestelde praktijkvragen die bij zorgverleners leven rondom dit certificaat.

Veelgestelde vragen over NEN 7510 (FAQ)

NEN 7510 informatiebeveiliging roept in de praktijk steeds dezelfde vragen op. Hier zijn de meest gestelde, direct beantwoord.

Hoe lang is een NEN 7510 certificaat geldig?

Een certificaat is doorgaans drie jaar geldig, maar dat betekent niet dat u drie jaar lang niets hoeft te doen. Elk jaar vindt er een controle-audit plaats waarbij de certificerende instelling toetst of uw managementsysteem nog altijd functioneert zoals vereist. Na drie jaar volgt een volledige hercertificeringsaudit. Het certificaat is dus geen bewijs dat uw beveiliging ooit op orde was. Het is een doorlopende bevestiging dat zij dat nóg steeds is.

Moet ik ook ISO 27001 hebben als ik NEN 7510 heb?

Niet verplicht, maar het is goed om te begrijpen hoe de twee normen zich tot elkaar verhouden. NEN 7510 is gebaseerd op ISO 27001 en voegt daar zorg-specifieke vereisten aan toe. In de praktijk betekent dit: wie NEN 7510-gecertificeerd is, voldoet merendeels ook aan de structuur van ISO 27001. Andersom geldt dat echter niet automatisch, want ISO 27001 dekt de zorg-specifieke context niet. Voor zorgorganisaties die ook internationaal of sector-overstijgend werken, kan een gecombineerde aanpak relevant zijn.

Wat als mijn IT-leverancier niet NEN 7510 gecertificeerd is?

Dit is een veelvoorkomend en serieus aandachtspunt. Uw eigen certificering dekt immers alleen uw eigen organisatie, niet de systemen of processen van externe partijen. Wat u kunt doen:

Vraag om aantoonbaar bewijs van beveiligingsmaatregelen bij uw leverancier, zoals een ISO 27001-certificaat of een ingevulde vragenlijst over informatiebeveiliging.
Leg afspraken contractueel vast via een verwerkersovereenkomst met concrete beveiligingseisen.
Voer periodiek leveranciersbeoordelingen uit als onderdeel van uw eigen ISMS.

Zorgorganisaties zijn zelf verantwoordelijk voor de beveiliging van patiëntgegevens, ook wanneer die verwerking uitbesteed is. Een niet-gecertificeerde leverancier is dus een risico dat u actief moet adresseren.

Kan een kleine zzp-er in de zorg ook gecertificeerd worden?

Technisch gezien wel, maar het is de vraag of formele certificering proportioneel is. Voor een solopraktijk zonder medewerkers zijn de kosten en administratieve lasten van een volledig ISMS vaak niet in verhouding tot de omvang van de organisatie. In de praktijk kiezen veel zzp-ers en kleine zorginstellingen voor aantoonbare naleving zonder certificaat: een gedocumenteerd informatiebeveiligingsbeleid, een verwerkersregister en een bewuste keuze voor gecertificeerde softwareleveranciers. Sommige opdrachtgevers of zorggroepen verlangen echter expliciet een certificaat. Controleer dus altijd uw contractuele verplichtingen.

Nu de meest gestelde vragen beantwoord zijn, is het tijd voor een concrete vervolgstap: hoe weet u of uw organisatie er klaar voor is? De volgende checklist helpt u dat snel te beoordelen.

NEN 7510 Checklist: Bent u klaar voor de volgende stap?

Een eerlijke zelfevaluatie van vijf minuten laat zien waar uw organisatie staat en welke stappen prioriteit verdienen voordat u met certificering begint.

Na de kosten-batenafweging en de meest gestelde vragen is de logische volgende vraag: hoe ver bent u eigenlijk al? De onderstaande checklist is geen vervanging voor een formele gap-analyse, maar geeft u een direct en eerlijk beeld van uw huidige volwassenheidsniveau. Vink elk punt af dat aantoonbaar op orde is.

☐ 1. Er is een formeel, gedocumenteerd informatiebeveiligingsbeleid

Dit beleid beschrijft de doelstellingen, verantwoordelijkheden en kaders voor informatiebeveiliging binnen uw organisatie. Cruciaal hierbij: NEN 7510-1:2024 vereist aantoonbare betrokkenheid van de directie of praktijkhouder bij het ISMS. Een beleidsdocument dat alleen door de ICT-afdeling is ondertekend, volstaat niet. Is de directie formeel eigenaar en zijn er regelmatige directiebeoordelingen gepland?

☐ 2. Alle medewerkers zijn getraind in security awareness

Technische maatregelen falen als medewerkers phishing-mails openen of wachtwoorden delen. Een eenmalige introductietraining telt niet als afdoende bewijs. Toets of er een jaarlijkse trainingscyclus bestaat, of deelname wordt bijgehouden. Beoordeel of het bewustzijn periodiek wordt getoetst, bijvoorbeeld via gesimuleerde phishing-campagnes. In de praktijk is dit één van de meest onderbelichte gebieden bij kleinere zorginstellingen.

☐ 3. Er is een actueel, volledig overzicht van alle informatiesystemen

U kunt niet beschermen wat u niet kent. Een register van informatiesystemen – inclusief EPD, planningsoftware, communicatietools en koppelingen met externe partijen – vormt de basis van elk ISMS. Controleer of het overzicht recent is bijgewerkt (maximaal twaalf maanden oud) en of eigenaarschap per systeem is vastgelegd.

☐ 4. Incidenten worden systematisch geregistreerd én geëvalueerd

Een incidentenlog bijhouden is stap één; de echte waarde zit in de evaluatie achteraf. Worden incidenten gecategoriseerd, geanalyseerd op oorzaak en gebruikt om processen te verbeteren? De IGJ verwacht bij toezicht niet alleen dat incidenten zijn gemeld, maar ook dat er aantoonbaar van is geleerd.

☐ 5. Er is een aangewezen verantwoordelijke voor informatiebeveiliging (CISO, ISO of vergelijkbaar)

Informatiebeveiliging zonder eigenaar is een gedeelde verantwoordelijkheid die in de praktijk niemands verantwoordelijkheid wordt. Is er een functionaris, intern of extern, die de voortgang bewaakt, audits coördineert en rapporteert aan de directie?

Scoort u drie of minder vinkjes? Dan is een gestructureerde aanpak nodig voordat u een certificeringstraject start. Een eerste oriëntatiegesprek met een gespecialiseerde partner helpt om prioriteiten te stellen zonder dat de zorgverlening in het gedrang komt.

Scoort u vier of vijf? Dan ligt een sterke basis klaar en is de stap naar formele certificering realistisch haalbaar binnen twaalf tot achttien maanden.

De volgende sectie bundelt alle inzichten uit deze gids tot de kernpunten die u direct kunt meenemen.

Indien u een grondige check wilt doen, bekijk dan onze gratis security scan. Aan de hand van 27 vragen en 9 domeinen krijg u meer inzicht in de status van uw informatiebeveiliging. De gratis scan is gebaseerd op ISO 27001. Dit is weliswaar niet volledig dekkend voor NEN 7510, maar het geeft een prima startpunt.

Belangrijkste takeaways: NEN 7510 in een notendop

NEN 7510 is geen bureaucratische verplichting, maar de feitelijke norm waarop iedere zorgorganisatie in Nederland wordt beoordeeld. Qua toezicht, aansprakelijkheid én patiëntveiligheid.

Na alle voorgaande secties is het waardevol om de kern nog eens scherp te stellen. Want de essentie van NEN 7510 laat zich terugbrengen tot vijf fundamentele inzichten die bepalend zijn voor uw strategie.

NEN 7510 is de normatieve basis voor IGJ-toezicht. De Inspectie Gezondheidszorg en Jeugd toetst zorgorganisaties expliciet aan deze norm. Wie aantoonbaar voldoet – bij voorkeur met een certificaat – staat bij een inspectie aanmerkelijk sterker dan wie zich uitsluitend beroept op eigen beleid.
Certificering is een fundament voor NIS2 en AVG. Een geldig NEN 7510-certificaat toont aan dat uw organisatie passende technische en organisatorische maatregelen heeft genomen, exact de formulering die zowel de AVG als de NIS2-richtlijn hanteert. Daarmee vermindert u aanzienlijk uw aansprakelijkheidsrisico bij een datalek of cyberincident. De AVG-Helpdesk voor Zorg en Welzijn bevestigt dit verband expliciet. Let wel op dat u voor zowel AVG en NIS2 aanvullende maatregelen moet nemen. NEN 7510 is hierin niet volledig dekkend.
Een pragmatisch stappenplan voorkomt verstoring van de zorgverlening. In de praktijk blijkt dat organisaties die informatiebeveiliging stap voor stap invoeren minder hinder ondervinden in hun primaire processen. De meest actuele versie NEN 7510:2024 sluit bovendien aan bij internationale ISO-standaarden, zodat uw inspanningen breder toepasbaar zijn.
De kosten van certificering wegen niet op tegen de risico’s van niet-handelen. Een gemiddeld datalek in de zorg leidt tot directe herstelkosten, boetes van de Autoriteit Persoonsgegevens én reputatieschade die moeilijk te kwantificeren valt. Vergeleken met die risico’s is investeren in een gestructureerd beveiligingsprogramma financieel verantwoord beleid.
Samenwerking met een gespecialiseerde partner versnelt het traject aanzienlijk. Organisaties die kiezen voor begeleiding door een ervaren partner, doorlopen het certificeringstraject gemiddeld sneller en met minder interne belasting. Kennis van de normvereisten, auditorverwachtingen en sectorspecifieke risico’s is niet iets dat een zorgorganisatie zomaar intern opbouwt.

Onthoud dit als niets anders blijft hangen: NEN 7510-compliance en eventueel NEN 7510-certificering is geen eindbestemming, maar een continue cyclus van verbeteren. Elke stap in die cyclus vergroot het vertrouwen van patiënten, partners en toezichthouders.

De vraag is niet langer óf uw organisatie deze weg moet bewandelen. De vraag is hoe u dat het slimst aanpakt, met wie, en wanneer u begint. Dat is precies wat de conclusie van dit artikel concreet maakt.

Conclusie: Van compliance-druk naar een veilige zorgpraktijk

Goede informatiebeveiliging is geen last bovenop de zorgverlening, maar ís onderdeel van goede zorgverlening.

Patiënten vertrouwen u hun meest persoonlijke gegevens toe op momenten dat zij kwetsbaar zijn. Dat vertrouwen verdient een stevige basis: systemen die niet falen, processen die geborgd zijn en mensen die weten wat zij moeten doen wanneer er iets misgaat. NEN 7510 biedt precies dat fundament. Het is de taal waarin toezichthouders zoals de IGJ spreken over informatiebeveiliging, de norm waarop samenwerkingspartners u beoordelen en het bewijs dat uw organisatie patiëntgegevens serieus neemt.

Een gecertificeerde status doet meer dan een auditrapport opleveren, het versterkt actief uw reputatie. Zorginkopende partijen, gemeenten en ziekenhuizen vragen steeds vaker om aantoonbare compliance voordat zij een samenwerking aangaan. Met een NEN 7510-certificaat in handen hoeft u die vraag nooit meer met een uitgebreid dossier te beantwoorden: het certificaat spreekt voor zichzelf. Dat scheelt tijd in aanbestedingstrajecten, vergroot het vertrouwen bij patiënten en positioneert uw organisatie als betrouwbare partner in een sector waar reputatie alles is.

De weg naar certificering hoeft geen jarenlange missie te zijn. In de praktijk zien veel zorgorganisaties op tegen de omvang van het traject, en dat is begrijpelijk. Maar met de juiste begeleiding is de tijdlijn aanzienlijk korter dan verwacht. Novins helpt organisaties NEN 7510-compliant te worden in weken in plaats van jaren, via een bewezen aanpak in vier stappen:

Gap-analyse: inzicht in waar uw organisatie nu staat ten opzichte van de norm
Risicoanalyse en maatregelenselectie: pragmatische keuzes die passen bij uw context
Implementatie en documentatie: van beleid tot werkinstructie, zonder overbodige bureaucratie
Interne audit: als aantoonbaarheidstoets en/of als grondige voorbereiden op de (externe) certificeringsaudit

Dit is geen generiek adviestraject, maar maatwerk voor de zorg. Novins kent de specifieke uitdagingen van huisartsenpraktijken, ggz-instellingen, thuiszorgorganisaties en ziekenhuizen en vertaalt de norm naar stappen die uw team daadwerkelijk kan uitvoeren.

De eerste stap kost u niets dan een gesprek. Een vrijblijvende gap-analyse geeft u binnen korte tijd een helder beeld van uw huidige beveiligingsniveau, de belangrijkste risico’s en de concrete acties die nodig zijn om de norm te halen. Geen verplichtingen, geen verrassingen, wel een eerlijk startpunt. Wilt u weten hoe uw organisatie omgaat met informatieveiligheid en waar de blinde vlekken zitten? Dan is dit het moment om die vraag professioneel te laten beantwoorden.

Neem vandaag contact op met Novins en vraag uw gap-analyse aan. Want informatiebeveiliging begint niet bij een certificaat, maar bij de beslissing om uw informatie en die van uw patiënten de bescherming te bieden die zij verdienen.