Informatiebeveiliging en omgaan met privacy gevoelige informatie is dagelijks een onderwerp van gesprek. Het is voor iedere organisatie van belang, maar met name in de zorg staat het publiek op scherp. Privacygevoelige informatie gaat van de huisarts, naar de specialist, of zelfs meerdere, om vervolgens weer terug te komen bij de huisarts. Medische- en patiëntgegevens worden veelvuldig onderling uitgewisseld.
De eisen rondom informatiebeveiliging worden steeds strenger. In 2026 treedt de NIS2 in werking. Deze heeft ook veel invloed op de informatiebeveiliging binnen de zorg. In 2024 is de NEN 7510 norm voor het laatst bijgewerkt met het oog op adequate informatiebeveiliging. Volgens de wet dienen zorginstellingen deze NEN 7510:2024 toe te passen. Maar wat is dit nu eigenlijk, voor wie geldt de NEN 7510 en moet je verplicht een certificaat behalen?
Weet u wat de NEN 7510 inhoudt en aan welke eisen uw zorginstelling moet voldoen? In dit blogartikel bespreken we de NEN 7510 (certificering) inhoudt en wanneer u hieraan moet voldoen.
- Wat is NEN 7510 certificering?
- Wat houdt de NEN 7510 certificering in?
- Ontwikkeling van de norm
- Voor wie is de NEN 7510 certificering verplicht?
- Waarom een certificering voor de NEN 7510?
- Informatiebeveiliging in de zorg: waar moet het aan voldoen?
Weet je zeker of je voldoet aan de nieuwste editie van de NEN 7510:2024? Download ons gratis ebook en voldoe in 10 stappen aan de NEN 7510, zodat je zelfs gecertificeerd zou kunnen worden.

Wat is de NEN 7510 norm?
Kort gezegd is NEN 7510 een norm voor informatiebeveiliging, speciaal ontwikkeld voor de zorg. Denk hierbij aan ziekenhuizen, huisartsen, apothekers, verzorgingstehuizen et cetera. Het is voor alle zorgaanbieders wettelijk verplicht om de NEN 7510 toe te passen.
Wat houdt de NEN 7510 in?
Om aan het gewenste niveau van dienstverlening te kunnen voldoen, is het noodzakelijk dat zorgverleners op ieder gewenst moment over betrouwbare informatie kunnen beschikken. Tegelijkertijd is het van groot belang dat gevoelige informatie niet in handen van ongeautoriseerde partijen valt om de privacy van de patiënt te beschermen.
Doordat er zo veel diverse partijen samenwerken - denk aan zorgaanbieders, patiënten, verzekeraars, overheidsinstanties en andere belanghebbenden - is de informatiebeveiliging in de zorg zeer complex. Iedere partij speelt een rol in het verzamelen van gegevens, het opslaan, verwerken en transporteren van informatie.
De NEN 7510 geeft een kader waarbinnen iedere partij de voor zijn/haar proces relevant geachte informatiebeveiliging kan specificeren, inclusief de daarbij behorende maatregelen. Dankzij een overeenkomst tussen het ministerie van Volksgezondheid, Welzijn en Sport en NEN is de NEN 7510 norm kosteloos beschikbaar.
De NEN 7510 zelf is gebaseerd op de ISO 27001. Dit is een meer algemene internationale norm voor informatiebeveiliging. In principe beschrijft de NEN 7510 deze norm, plus zorgspecifieke maatregelen die hierbij toegepast moeten worden.
Ontwikkeling van de norm
In 2024 is de NEN 7510 norm aangepast en vernieuwd. De vernieuwde NEN 7510 past daarmee beter in de High Level Structure (HLS). Hierdoor kan de NEN 7510 beter gecombineerd worden met andere normen zoals de HKZ Zorg & Welzijn (kwaliteit) en bijvoorbeeld ISO normen zoals de ISO 14001 (milieu).
Informatiebeveiliging volgens de NEN 7510 richt zich op drie aspecten:
- Beschikbaarheid;
- Integriteit;
- Vertrouwelijkheid.
De norm noemt beheersmaatregelen om de risico’s ten aanzien van deze drie aspecten te beheersen.
Let op, door de alsmaar stijgende druk op gebied van cybersecurity worden normeringen vaker herzien en gewijzigd. Wilt u zekerheid hebben in of uw organisatie voldoet aan de nieuwste versie van de norm? Maak dan gebruik van een ISMS-tool.
Voor wie is de NEN 7510 norm verplicht?
De NEN 7510 is dus een norm voor informatiebeveiliging specifiek gericht op de zorgsector in Nederland. Deze norm is verplicht voor alle zorginstellingen en andere organisaties die persoonsgegevens verwerken in de gezondheidszorg. Hieronder volgt een lijst met voorbeelden van zorginstellingen en organisaties die verplicht zijn om aan de NEN 7510 te voldoen:
- Ziekenhuizen en Klinieken
- Huisartsengroepen
- Apotheken
- Verpleeg- en Verzorgingshuizen
- Thuiszorgorganisaties
- GGZ-instellingen
- Jeugdzorginstellingen
- Arbodiensten
- Fysiotherapiepraktijken
- Tandartspraktijken
- Medisch-specialistische bedrijven
- Organisaties die medische gegevens verwerken
- Zorgverzekeraars
- Overheidsinstanties in de zorgsector
- Onderzoeksinstellingen in de zorgsector
- Zorginstellingen die hulpmiddelen aanbieden
Het is voor alle zorgaanbieders wettelijk verplicht om aan de NEN 7510 te voldoen. Het is niet verplicht het NEN 7510 certificaat te behalen. Hoewel u hiermee wel kunt aangeven aan derden dat daar geen twijfel over kan zijn.
Lees ook: In 10 stappen het NEN 7510 certificaat behalen met deze checklist
Waarom de NEN 7510 certificering?
Hoewel de NEN 7510-certificering niet verplicht is, zijn er goede redenen om deze toch te behalen. Het helpt je organisatie namelijk op meerdere fronten. Ten eerste straal je hiermee vertrouwen uit naar klanten, patiënten en partners. Het laat zien dat je serieus bezig bent met de bescherming van gevoelige informatie, wat je reputatie alleen maar ten goede komt.
Daarnaast kan de certificering je een stap voor geven op de concurrentie. In de zorgsector, waar veiligheid en vertrouwelijkheid hoog in het vaandel staan, kan dit het verschil maken bij het binnenhalen van nieuwe opdrachten. Klanten kiezen eerder voor een organisatie die aantoonbaar haar zaken op orde heeft.
Ook intern heeft het voordelen. Door de certificering word je gedwongen om je processen en procedures nog eens goed onder de loep te nemen en waar nodig te verbeteren. Dit leidt vaak tot efficiëntere werkwijzen en minder risico op fouten of datalekken. Mocht er toch iets misgaan, dan heb je in ieder geval de nodige voorzorgsmaatregelen getroffen, wat eventuele schade kan beperken.
Bovendien kom je met de NEN 7510-certificering ook beter tegemoet aan andere wet- en regelgeving, zoals de AVG. Hoewel het misschien wat werk vraagt om de certificering te behalen, wegen de voordelen zeker op tegen de inspanningen. Het is een investering in de toekomst van je organisatie, zowel qua veiligheid als qua marktpositie.
Lees ook: Voordelen van een NEN 7510 certificaat
Informatiebeveiliging in de zorg: waar moet het aan voldoen?
Goede informatiebeveiliging is van groot belang voor iedere organisatie. Maar in de zorgsector gaat het nog een stapje verder: daar draait het ook om medische gegevens. Hieronder lopen we de belangrijkste stappen door die de NEN 7510 voorschrijft.
1. Vaststelling informatiebeveiligingsbeleid
Begin met het vaststellen van het huidige informatiebeveiligingsbeleid. Kijk hierbij naar relevante onderwerpen voor de organisatie, de belanghebbenden en de rollen en verantwoordelijkheden. Je krijgt zo inzicht in de manier waarop persoonlijke en gevoelige informatie wordt verwerkt en opgeslagen, en kunt bepalen hoe je die het beste beschermt.
Aanvullingen informatiebeveiliging zorg:
-
Het informatiebeveiligingsbeleid dient na ieder ernstig beveiligingsincident opnieuw beoordeeld te worden.
-
Zorgorganisaties dienen een informatiebeveiligingsmanagement forum (IBMF) op te richten dat (bijna) maandelijks overlegt.
-
Er dient een speciale verantwoordelijke aangewezen te worden voor medische en gezondheidsgegevens.
-
De plichten rondom het bewerken van persoonlijke gezondheidsinformatie dienen gescheiden te zijn.
Lees ook: Het verschil tussen de NEN 7510 en de ISO 72001
Analyse processen en informatiesystemen
Breng alle bedrijfsprocessen, informatiesystemen en bronnen in kaart. Benoem daarbij de waarde en gevoeligheid van de verwerkte informatie, ook wel informatieclassificatie genoemd.
Aanvullingen informatiebeveiliging zorg:
- Persoonlijke gezondheidsinformatie dient als ‘vertrouwelijk’ te worden aangemerkt. Dit dient bij opstarten of inloggen van systemen of bij het inzien (op papier) direct zichtbaar te zijn.
3. Risicobeheersing starten
Binnen de zorgsector speelt risicobeheersing een sleutelrol. Breng alle potentiële dreigingen en risico's in kaart. Op basis van dit inzicht kun je maatregelen treffen en adequaat reageren op daadwerkelijke problemen.
Aanvullingen informatiebeveiliging zorg:
- Patiëntveiligheid dient expliciet als risico opgenomen te worden in de verschillende projecten.

Dit is een screenshot uit onze ISMS-tool Base27
4. Maatregelen implementeren
Zodra je weet welke risico's er zijn, bepaal je per risico de aanpak volgens de Plan-Do-Check-Act-cyclus:
- Beheersen: bepaal beheersmaatregelen om het risico effectief te verkleinen.
- Overdragen: draag het risico over, bijvoorbeeld door de potentiële schade te verzekeren.
- Ontwijken: zoek een andere oplossing waardoor het risico niet meer aanwezig is.
- Accepteren: laat het risico bestaan omdat het dreigingsniveau en de mogelijke schade acceptabel laag zijn.
Aanvullingen informatiebeveiliging zorg:
- Alle informatiesystemen en interfaces dienen te worden opgenomen in de inventarisatie.
- Persoonlijke gezondheidsinformatie dient altijd als vertrouwelijk te worden geclassificeerd.
- De toegang tot persoonlijke gezondheidsinformatie dient te worden gebaseerd op rollen en vereist formele registratie.
- Beveiligingseisen dienen te worden meegenomen bij de aanschaf of verbetering van informatiesystemen.
- Iedere zorgontvanger dient uniek te worden geregistreerd in het systeem. Dubbele registraties dienen te worden samengevoegd.
- Gezondheidsinformatiesystemen dienen altijd identificerende gegevens van de zorgontvanger te tonen.
- Openbare gezondheidsinformatie dient te worden beschermd en beheerd gedurende de volledige levenscyclus.
- Noodcommunicatiekanalen voor ICT-storingen dienen te worden gepland, geïmplementeerd en regelmatig getest.
- Informatiebeveiligingsincidenten dienen te worden gemeld conform wet- en regelgeving.
- Beveiligingsrollen en verantwoordelijkheden rondom persoonlijke gezondheidsinformatie dienen te worden opgenomen in functiebeschrijvingen.
- Medewerkers met toegang tot persoonlijke gezondheidsinformatie zijn verplicht deze vertrouwelijk te behandelen.
- Het management dient passende training te krijgen op het gebied van informatiebeveiliging, afgestemd op hun rol.
- Persoonlijke gezondheidsinformatie op verwijderbare media dient altijd versleuteld te worden opgeslagen.
- Het is verplicht om twee-factor authenticatie (2FA) toe te passen voor systemen met persoonlijke gezondheidsinformatie.
- Back-ups van persoonlijke gezondheidsinformatie dienen versleuteld te zijn.
- Netwerksegmenten dienen zo klein mogelijk te worden gehouden en dienen elkaar te authenticeren voordat toegang wordt verleend.
5. Resterend risico evalueren
Loop na het treffen van maatregelen de risico's nogmaals door om het restrisico te bepalen. Zo houd je zicht op de risico's die nog bestaan en waarvoor je het bewustzijn binnen de organisatie op peil moet houden.
NEN 7510 certificaat behalen?
Wilt u de NEN 7510 toepassen of zelfs een certificering behalen voor uw zorginstelling? Wij helpen u graag. Onze tool Base27 bewaakt en registreert uw processen rondom informatiebeveiliging. Het is een information security management system (ISMS) dat houvast geeft in de vele en vaak complexe aspecten van informatiebeveiliging. Met behulp van Base27 bent u in staat om snel de informatiebeveiliging conform de NEN 7510 norm op te zetten.
Hebt u nog vragen over informatiebeveiliging? Wilt u het beleid voor uw organisatie vaststellen of de bewustwording over informatiebeveiliging onder uw werknemers vergroten? Of wilt u direct uw NEN 7510 certificering behalen? Neem vrijblijvend contact met ons op. Wij staan graag voor u klaar en voeren graag een onafhankelijke beoordeling voor u uit.
Nederlands




