Het beveiligen van (persoons)gegevens is in de zorg zo mogelijk nog belangrijker dan bij andere organisaties. Ziekenhuizen, dokters, laboratoria en verzekeraars managen gegevens van honderdduizenden patiënten en moeten onderling kunnen veilig delen en communiceren over die gegevens. Daarom zijn er normen opgesteld hoe al die partijen moeten omgaan met die gegevens. De belangrijkste is NEN7510.
Wat is de NEN 7510?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg en vormt de vertaling van ISO 27001 en ISO 27002 naar de zorgcontext, opgesteld door NEN, het Nederlands Normalisatie Instituut. De meest recente versie, NEN7 510-1:2024, is in december 2024 gepubliceerd, bouwt voort op ISO/IEC 27001:2022 en ISO/IEC 27002:2022.
De norm richt zich op het beschermen van de beschikbaarheid, integriteit en vertrouwelijkheid van gezondheidsinformatie door middel van een information security management system (isms). Nieuw in de 2024-versie is een minder prescriptieve benadering en een grotere nadruk op risicogebaseerde keuzes, zodat organisaties flexibeler kunnen aansluiten bij de complexiteit van hun ict-landschap en zero-trust benaderingen. Voor database- en security-architecten betekent dit dat niet alleen encryptie en toegangsbeheer verplicht zijn, maar dat er nadruk ligt op keteninteroperabiliteit, logging en monitoring om naleving aantoonbaar te maken. NEN 7510 is juridisch relevant omdat zorginstellingen sinds de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) verplicht zijn om conform deze norm te werken.
Wat staat er in de NEN 7510?
De norm bestaat uit twee delen.
- NEN 7510-1 bevat de certificeerbare eisen voor het isms, zoals risicomanagement, beleidsvoering en auditmechanismen. Dit is opgebouwd volgens de ISO-High Level Structure, maar aangevuld met zorgspecifieke verplichtingen (aangeduid met ‘HLT’-labels).
- NEN 7510-2 biedt richtlijnen voor beheersmaatregelen (vergelijkbaar met ISO 27002) en geeft concrete voorbeelden en best practices voor de zorgsector. Voor ict-professionals bevat de norm technische controls zoals: encryptie in rust en transit, rigoureuze toegangscontrole (rbac en mfa), logging en netwerkbeveiliging met segmentatie.
Nieuw in 2024 is de nadruk op risicogebaseerde implementatie: organisaties bepalen zélf welke maatregelen passend zijn, mits risico’s expliciet zijn afgewogen. Dit biedt meer vrijheid, maar vergt professioneel risicomanagement en documentatie. Voor databaseontwerpers zijn schema’s met audit-trails, dataclassificatie en outputvalidatie essentiële onderdelen van compliance.
Wat zijn de voordelen van NEN 7510?
NEN 7510 biedt niet alleen compliance-, maar ook strategische voordelen. Voor zorginstellingen vergroot de norm het vertrouwen bij patiënten, verzekeraars en toezichthouders. Organisaties die voldoen aan de norm beperken risico’s op datalekken en voldoen tegelijkertijd aan de Algemene verordening gegevensbescherming (AVG), Wabvpz en de komende NIS2-richtlijn.
Technisch gezien leidt toepassing van de norm tot robuustere architecturen: database-encryptie (AES-256), integriteitscontroles met checksums en verplichte logging zorgen voor forensische bewijsbaarheid bij incidenten. Voor soc-analisten helpt de norm bij het standaardiseren van siem-regels en incidentresponse-procedures. Voor management betekent het dat beveiliging structureel in de pdca-cyclus (‘plan, do, check, act’) wordt geborgd. Zo wordt informatiebeveiliging geen eenmalig project, maar een continu verbeterproces, wat essentieel is in een steeds digitalere zorgomgeving met iot-apparatuur, cloud-integraties en elektronische patiëntendossiers.
Voor wie is NEN 7510 van toepassing?
NEN 7510 geldt voor alle organisaties die omgaan met persoonlijke gezondheidsinformatie. Dat zijn niet alleen zorginstellingen (ziekenhuizen, huisartsen, laboratoria, GGZ), maar ook ict-dienstverleners, softwareleveranciers, hostingproviders en data-analysediensten die toegang hebben tot medische gegevens.
Concreet betekent dit dat bijvoorbeeld een cloudprovider die een epd host, of een bedrijf dat koppelingen ontwikkelt voor gegevensuitwisseling (HL7/FHIR-API’s), ook moet voldoen. Voor database-ontwerpers en security-specialisten betekent dit dat hun werk niet alleen technisch getoetst wordt, maar ook contractueel moet aansluiten bij de NEN 7510. Leveranciers worden door zorginstellingen vaak verplicht om een certificaat te hebben, zodat zij voldoen aan de ketenverantwoordelijkheid. Kortom: iédereen in de zorgketen die gegevens verwerkt of beschikbaar stelt, moet de principes van NEN 7510 toepassen.
Hoe bereidt een organisatie zich voor op NEN 7510?
Voorbereiding start met het bepalen van de scope van de isms van de organisatie: welke processen, systemen en ketenpartners vallen eronder? Daarna volgt een risicoanalyse (dreigingsmodellering, impactanalyse, classificatie van gegevens). De maatregelen moeten gekozen worden op basis van risico’s, niet enkel als checklist.
Praktisch betekent dit voor ict-teams: implementatie van rbac, mfa, encryptie, netwerksegmentatie, siem-logging en back-up/restore tests. Database-ontwerpers moeten audit-trails en integriteitscontroles inbouwen, zoals hashing en digital signatures. Ook moeten processen voor patchmanagement, change control en incidentrespons aantoonbaar zijn ingericht.
Voor de organisatie is het cruciaal om medewerkers te trainen en awareness-programma’s uit te rollen. Het is ook aan te raden om als voorbereiding op audits vanaf het begin te zorgen voor volledige documentatie en interne controles, zoals mock-audits, uit te voeren.
NEN 7510 certificering
De organisatie moet er zelf voor zorgen dat ze voldoet aan de norm. Maar om andere partijen het vertrouwen te geven dat dit ook echt het geval is, kan men zich laten certificeren. De Raad voor Accreditatie (RvA) is het overheidsorgaan dat zulke certificerende instellingen accrediteert.
Hoe kan een organisatie zich certificeren?
Certificering gebeurt via een geaccrediteerde instelling, zoals BSI, DNV, en Kiwa. Het proces begint met een documentatie-audit: zijn beleid, procedures, risicoanalyse en soa (statement of applicability) aanwezig? Vervolgens voert de auditor een praktijk-audit uit: zijn maatregelen aantoonbaar geïmplementeerd? Dit omvat technische controles zoals pen-tests, log-reviews en controle op toegangsbeheer. Bij een positief resultaat wordt het certificaat toegekend voor drie jaar, met jaarlijkse surveillance-audits.
Voor organisaties met een ISO 27001-certificaat is de overstap kleiner: NEN 7510 kan daarop worden ‘gestapeld’, mits de zorgspecifieke maatregelen worden toegevoegd. Voor security-specialisten betekent dit concreet dat technische maatregelen aangetoond moeten worden met evidence based auditing: logbestanden, configuratie-exports en penetratietest-rapportages.
Waarom moet een organisatie een certificaat behalen?
Een NEN 7510-certificaat geeft onafhankelijk bewijs dat de isms van de organisatie effectief is en voldoet aan wet- en regelgeving. Het certificaat wordt door zorgverzekeraars, toezichthouder (de IGJ) en ketenpartners vaak als voorwaarde gesteld om samen te werken.
Voor technische professionals is het behalen van het certificaat ook belangrijk: het verplicht organisaties om structureel te investeren in monitoring, siem/soc-processen, encryptie en toegangsbeheer. Dit verhoogt de security-maturity van de organisatie. Bovendien helpt het bij ketenintegratie: leveranciers met een certificaat kunnen aantonen dat hun software, api’s, of hostingdiensten voldoen aan dezelfde beveiligingsstandaarden, waardoor interoperabiliteit en compliance eenvoudiger worden.
Is het voor een organisatie verplicht om een certificaat hebben?
Het werken volgens NEN 7510 is wettelijk verplicht, maar het certificaat zelf is formeel niet verplicht. De Wabvpz en het Besluit elektronische gegevensuitwisseling in de zorg schrijven voor dat zorginstellingen aantoonbaar moeten voldoen aan de norm, maar laten de keuze vrij hoe dat gebeurt. Certificering is wel de meest gebruikelijke en geaccepteerde manier om naleving te bewijzen.
In de praktijk vragen veel ziekenhuizen en zorgverzekeraars wél om het certificaat, zeker richting leveranciers van epd’s of cloud-diensten. Voor security-architecten betekent dit dat de organisatie in feite geen keuze heeft: zonder certificaat loop de organisatie het risico uitgesloten te worden van contracten of samenwerking.
Veel gestelde vragen over de NEN 7510
Hieronder een kort antwoord op overige veel gestelde vragen over NEN 7510.
Wat is de relatie tussen NEN 7510, NEN 7512 en NEN 7513?
Deze drie vormen samen een keten van beveiliging:
- ISMS (7510): legt de basis voor informatiebeveiliging en het isms.
- Veilige communicatie (7512): NEN 7512 richt zich op vertrouwensbasis voor gegevensuitwisseling en is ook verplicht, als onderdeel van NEN 7510. Deze norm definieert risicoklassen en afspraken tussen communicatiepartners, en gaat in op zaken als identiteitsverificatie, integriteit van berichten en risicobereidheid van organisaties.
- Traceerbaarheid (7513): NEN 7513 specificeert logging- en toegangsregistratie bij elektronische patiëntendossiers. Dit zorgt voor een volledig en betrouwbaar logbestand waarin iedere toegang en mutatie herleidbaar is, cruciaal voor forensisch onderzoek en accountability.
Wat is de relatie tussen NEN 7510 en NTA 7516?
Hoewel minder bekend, is NTA 7516 een Nederlandse Technische Afspraak die richtlijnen biedt voor het veilig uitwisselen van medische gegevens via e-mail en berichtenservices. Waar NEN 7510 op beleids- en organisatieniveau kaders schept, concretiseert NTA 7516 de technische en operationele eisen voor veilige communicatie, zoals end-to-end-encryptie, authenticatie en interoperabiliteit tussen systemen. De relatie is dus: NEN 7510 geeft het beleidskader, NTA 7516 vult dit technisch in voor messaging-toepassingen. Voor ict-professionals betekent dit concreet dat mailservers, g. ateways en berichtenapps moeten voldoen aan eisen zoals TLS 1.2/1.3-encryption, DKIM/SPF-validatie en logging conform NEN 7513.
Wat is het verschil tussen NEN 7510 en ISO 27001?
NEN 7510 is strenger en specifieker voor de zorg, ISO 27001 biedt een algemene basis. Hoewel NEN 7510 sterk leunt op ISO/IEC 27001, zijn er belangrijke verschillen. ISO 27001 is een internationale norm voor het opzetten van een isms en is sectoronafhankelijk. NEN 7510 is daarentegen een zorgspecifieke vertaling die de eisen van ISO 27001 combineert met Nederlandse wetgeving (Wabvpz, AVG) en zorgcontext. Een voorbeeld: waar ISO 27001 alleen de eis stelt tot toegangsbeheer, verplicht NEN 7510 zorginstellingen om toegangsregistratie in lijn met NEN 7513 te implementeren. Ook bevat NEN 7510 verplichtingen voor logging van patiëntgegevens, ketenafspraken met leveranciers en classificatie van medische data. Voor database-architecten betekent dit dat audittrails en fine-grained access control niet optioneel zijn, maar expliciet onderdeel van compliance. Voor security-teams ligt de nadruk op zorgspecifieke dreigingen zoals ransomware in epd’s, integriteit van medische apparatuur en interoperabiliteit van systemen.
Hoe verhoudt de norm zich tot NIS2?
De NIS2-richtlijn (Network and Information Security Directive) is Europese wetgeving die vanaf oktober 2024 in werking is getreden en vanaf 2025 afdwingbaar is. NIS2 verplicht ‘essentiële entiteiten’, waaronder ziekenhuizen en kritieke zorgverleners, om strikte cybersecuritymaatregelen en rapportageprocessen te implementeren. NEN 7510 sluit hier nauw op aan: het biedt de concrete operationele uitwerking waarmee Nederlandse zorgorganisaties aan NIS2 kunnen voldoen. Zo overlappen onderwerpen als incidentrespons, logging, risicomanagement en ketenbeveiliging grotendeels).
Het grote verschil is dat NIS2 wetgeving is, met zware boetes bij niet-naleving, terwijl NEN 7510 een norm is die compliance technisch vormgeeft. Voor security-architecten betekent dit dat implementatie van NEN 7510 praktisch gelijkstaat aan NIS2-compliance, mits ook aanvullende Europese verplichtingen zoals rapportage binnen 24 uur, supply chain security en multi-factor-authenticatie worden meegenomen. Database- en SOC-teams moeten dus niet alleen de techniek implementeren, maar ook processen inrichten voor snelle detectie en melding van incidenten.
Wat zijn enkele voorbeelden van NEN7510 in de praktijk?
- Database-encryptie: patiëntgegevens versleuteld met AES-256, inclusief sleutelbeheer via hsm’s.
- Audit-trails (NEN 7513): alle mutaties in een epd worden gelogd met timestamp, user-id en actie (raadpleging, wijziging, export). Logs zijn append-only en forensisch betrouwbaar.
- Toegangsbeheer: rolgebaseerde toegang (rbac) gecombineerd met contextafhankelijke controles, bijvoorbeeld alleen toegang tot dossiers tijdens een actieve behandelrelatie.
- Netwerkbeveiliging: microsegmentatie binnen het ziekenhuisnetwerk, isolatie van medische apparaten (iomt) met zero-trust-architectuur.
- Communicatie (NEN 7512/NTA 7516): berichtenuitwisseling via fhir-api’s met TLS 1.3 en mutual authentication, of e-mailversleuteling met end-to-end encryptie en key management.
- Back-up & herstel: dagelijkse back-ups van databases, inclusief test van restore-procedures; immutable storage tegen ransomware.
- Incidentrespons: soc-monitoring met siem die afwijkend gedrag, zoals grootschalige export van patiëntdata, automatisch detecteert en incidenten classificeert.
![[Afbeelding: Sergey Nivens/Shutterstock.com]](https://www.computable.nl/wp-content/uploads/2025/08/Hack-169-shutterstock_625003571-e1755092750780-375x250.jpg)