NEN 7510 is wettelijk verplicht voor zorgaanbieders die persoonlijke gezondheidsinformatie verwerken. De norm bouwt op ISO 27001, met aanvullende zorg-specifieke eisen rondom patiëntgegevens, leveranciers (verwerkers) en klinische veiligheid. Wij begeleiden van nulmeting tot certificaat, vaak in combinatie met ISO 27001 voor maximale efficiëntie.
NEN 7510 (deel 1: eisen) volgt de structuur en eisen van ISO 27001 grotendeels. Het verschil zit in deel 2: zorg-specifieke beheersmaatregelen die rekening houden met patiëntveiligheid en de bijzondere aard van gezondheidsgegevens.
| Onderwerp | ISO 27001 | NEN 7510 (extra) |
|---|---|---|
| Toepassingsgebied | Alle organisaties | Zorgaanbieders & verwerkers van gezondheidsgegevens |
| Patiëntveiligheid | Niet expliciet | Verplicht onderdeel: risico-analyse moet impact op patiëntveiligheid meenemen |
| Identificatie van patiënten | Algemene toegangscontroles | Specifieke eisen aan unieke patiënt-identificatie en burgerservicenummer-gebruik |
| Gegevensuitwisseling tussen zorgverleners | Niet specifiek | Uitgewerkte eisen rondom autorisatie, logging en pseudonimisering |
| Audit logging | Algemeen | Specifiek voor toegang tot dossiers: wie las wat, wanneer |
| Leveranciers (verwerkers) | Algemeen leveranciersmanagement | Zorg-specifieke contracteisen en periodieke beoordeling |
| Geldigheid certificaat | 3 jaar | 3 jaar |
De wet Wabvpz wijst zorgaanbieders aan als FG-verplichten partij. Voor leveranciers (verwerkers) van zorggegevens geldt dat zij contractueel aan dezelfde eisen moeten voldoen. Zorgaanbieders zijn verplicht dat te toetsen.
Algemene en academische ziekenhuizen, ZBC's, revalidatiecentra, GGZ-instellingen en jeugdzorg. Eigenlijk: elke zorgaanbieder met substantiële digitale verwerking.
Ook eerstelijns zorgverleners vallen onder de norm. Voor kleine praktijken hanteren we een pragmatisch traject met beperkte scope.
Leveranciers van elektronische patiëntdossiers, ECD's en zorg-SaaS. Klanten vragen contractueel om aantoonbare NEN 7510-compliance.
Hosting-, beheer- en cloudpartijen die diensten leveren aan zorginstellingen. NEN 7510-certificering opent deuren bij zorgklanten.
De Wabvpz vereist dat je informatiebeveiliging "ingericht is conform" NEN 7510. Certificering is niet wettelijk verplicht. In de praktijk vragen toezichthouders (IGJ), zorgverzekeraars en samenwerkingspartners echter steeds vaker om een geldig certificaat als bewijs.
Deel 1 bevat de "eisen": wat moet je geregeld hebben (vergelijkbaar met ISO 27001 clausules 4–10). Deel 2 bevat de "beheersmaatregelen" met zorg-specifieke implementatiehandvatten (vergelijkbaar met ISO 27002, plus zorg-context). Certificering toetst tegen deel 1.
Voor een organisatie die al ISO 27001 heeft: circa 20% extra inspanning voor NEN 7510. Voor een organisatie die beide normen tegelijk wil halen: één geïntegreerd traject met circa 20% meerprijs t.o.v. enkel ISO 27001. Een aparte NEN 7510 zonder ISO is praktisch even duur als de combinatie. Daarom raden we combineren bijna altijd aan.
Ja, formeel valt iedere zorgaanbieder onder de Wabvpz. In de praktijk hanteert de IGJ proportionaliteit: een eenmanszaak hoeft geen volledig managementsysteem op te zetten, maar wel aantoonbaar de basics geregeld te hebben. We helpen met een pragmatisch "basis-NEN-7510"-pakket.
De eerste audit (jaar 0) bestaat uit fase 1 (documentaudit) en fase 2 (audit op locatie). Vervolgens jaarlijkse surveillance-audit, en in jaar 3 een hercertificeringsaudit. Wij bereiden je op elke audit voor en zijn aanwezig.
Plan een kennismaking. We doen een intake op basis van jouw zorgcontext en stellen een gericht traject voor, al dan niet in combinatie met ISO 27001.