NEN7510: waarom deze norm ertoe doet in de zorg

Voor organisaties in en rond de zorg is NEN7510 geen theoretische nice to have, maar een keiharde voorwaarde. Van ziekenhuizen en huisartsen tot IT-leveranciers in de zorgketen: iedereen die met medische gegevens werkt, krijgt er vroeg of laat mee te maken. Toch wordt NEN7510 nog vaak vooral weggezet als ‘de zorgvariant van ISO27001’. Technisch kun je dat misschien zo noemen, maar in de praktijk schiet die omschrijving eigenlijk tekort. NEN7510 raakt namelijk direct aan zorgcontinuïteit, patiëntveiligheid en ketensamenwerking. Wie dat verschil begrijpt, maakt betere keuzes en voorkomt een hoop gedoe bij audits, aanbestedingen en incidenten. In dit artikel lopen we langs wat NEN7510 nu echt vraagt, hoe de norm zich verhoudt tot ISO27001 én wanneer welke norm voor jouw organisatie logisch is.

Wat NEN7510 vraagt in de dagelijkse praktijk

NEN7510 is gebaseerd op ISO27001 en voegt zorgspecifieke eisen toe. Dat brengt dus allerlei praktische toepassingen met zich mee. Zo vraagt NEN7510 bijvoorbeeld dat toegang tot patiëntgegevens niet alleen technisch geregeld is, maar ook inhoudelijk valt te verantwoorden. Wie mag wat zien, waarom, hoe lang en hoe toon je dat aan als iemand het komt controleren? Dat gaat verder dan een rolmatrix in een systeem; het vraagt om afspraken, training én toetsing.

Ook continuïteit krijgt een andere lading. In veel sectoren is een uur downtime vooral erg vervelend. In de zorg kan een uitgevallen systeem direct effect hebben op behandelingen, triage en medicatie. NEN7510 verwacht daarom dat medische informatie beschikbaar blijft, óók als er iets misgaat. Niet alleen in een papieren werkelijkheid, maar juist en vooral aantoonbaar getest.

Daar komt de keten bij. Zorgverlening is zelden een solo-activiteit. Data gaat langs huisartsen, ziekenhuizen, laboratoria, e-health platforms en IT-dienstverleners. NEN7510 kijkt daarom nadrukkelijk verder dan de muren van je eigen organisatie. Hoe heb je afspraken met leveranciers geborgd? Welke eisen stel je aan systemen waar jouw patiëntgegevens in landen? En hoe zorg je dat incidenten in de keten tijdig bij jou bekend zijn?

Tot slot vraagt NEN7510 om volwassen logging en monitoring. Loggen is technisch gezien snel aangezet, een vinkje aanzetten en klaar. Maar de norm wil zien dat je logs gebruikt om misbruik, fouten en ongewoon gedrag op te sporen en dat je daar ook echt op acteert. Dat is dus geen vinkje, dat is een levend proces.

Kort gezegd: NEN7510 vraagt niet zozeer om een extra stapel documenten, maar vooral om zichtbaar gedrag, volwassen processen en aantoonbaar eigenaarschap.

ISO27001 als basis: waarom die nog steeds nodig is

ISO27001 blijft de internationale norm voor informatiebeveiliging. De norm geeft structuur: je brengt je context in kaart, doet een risicoanalyse, kiest passende beheersmaatregelen en richt een Information Security Management System (ISMS) in dat je continu verbetert.

Voor veel zorgorganisaties is ISO27001 de ruggengraat onder hun beveiligingsbeleid. De bekende thema’s komen voorbij: toegangsbescherming, patchbeleid, leveranciersmanagement, incidentrespons, bewustwording en continuïteit. Wie ISO27001 serieus heeft ingevoerd, heeft daarmee dus al een stevige basis.

Maar een basis is nog geen eindstation. ISO27001 vertelt je niet wat goede zorgcontinuïteit is, hoe medicatieprocessen digitaal geborgd moeten worden, of wat voldoende is voor logging rondom patiëntdossiers. Daar begint NEN7510. Wil je die basis van ISO 27001 dus verder uitwerken, dan ligt het voor de hand om vanuit ISO27001 verder te denken richting NEN7510 en vanuit daar je ISMS op te bouwen. Voor organisaties buiten de zorg is een puur ISO27001-ISMS genoeg. Voor zorgpartijen en hun ketenpartners meestal niet.

Hoe NEN7510 zich echt onderscheidt van ISO27001

Een belangrijk verschil eerst: ISO27001 is internationaal en sector-onafhankelijk, NEN7510 is Nederlands en zorgspecifiek. Dat betekent onder meer het volgende:

• De norm kijkt anders naar risico. ISO27001 vertrekt vanuit algemene risico’s voor informatie. NEN7510 verbindt die risico’s direct aan patiëntveiligheid en zorgcontinuïteit. Een uitgevallen systeem is niet alleen een risico voor data, maar ook voor behandeling.

• De norm gaat expliciet de keten in. Waar ISO27001 vaak stopt bij "leveranciersmanagement", gaat NEN7510 door: hoe veilig is de hele zorgketen waarin jouw gegevens rondgaan en welke afspraken liggen daar onder?

• De norm maakt logging en verantwoording concreter. NEN7510 legt nadruk op wie, wanneer, wat heeft gedaan in een dossier en hoe je dat achteraf kunt reconstrueren. Niet alleen als er iets misgaat, maar ook als onderdeel van regulier toezicht.

Dat betekent dus niet dat NEN7510 ‘strenger’ is. De norm is vooral specifieker over wat veilige zorg vraagt van je systemen, mensen en processen.

Moet je voor ISO27001, NEN7510 of allebei kiezen?

Voor directies en IT-managers is dit vaak de kernvraag: wat is voor ons relevant en wat is verplicht?

Voor organisaties die géén medische gegevens verwerken, blijft ISO27001 in de logische keuze. Denk aan IT-dienstverleners buiten de zorg, zakelijke dienstverleners, SaaS-partijen zonder gezondheidsdata of organisaties die vooral werken met bedrijfsinformatie en persoonsgegevens zonder medische component.

Werk je in de zorg, of ben je een IT-leverancier die systemen beheert waarin medische gegevens verwerkt worden, dan verandert het plaatje. Voor zorginstellingen en partijen in de zorgketen is NEN7510 in de praktijk verplicht. Soms contractueel, soms vanuit wetgeving of toezichthouders, vaak vanuit beiden tegelijk.

Dan is er nog de groep die tussen die twee werelden in zit. Denk aan leveranciers die zowel zorgklanten als andere sectoren bedienen, of organisaties die internationaal actief zijn, maar ook Nederlandse zorgpartijen ondersteunen. Voor hen is een combinatie logisch: ISO27001 als internationale basis, NEN7510 als verdieping richting de zorg.

In alle eerlijkheid: de keuze zelf is meestal niet het lastigste onderdeel. De kunst zit in het inrichten van een ISMS dat beide perspectieven aankan zonder dubbel werk en zonder dat het een onvervalste papieren tijger wordt.

Waar organisaties in de zorg op vastlopen

In theorie is het verhaal netjes: je richt een ISMS in, voegt zorgspecifieke maatregelen toe en bent klaar voor de audit. Toch?

In de praktijk zien we dat organisaties op een paar terugkerende punten struikelen. Een paar herkenbare voorbeelden:

• Procedures bestaan, maar worden in de praktijk niet gevolgd, of alleen vlak voor een audit zichtbaar "opgeschoond".

• Logging is volop aanwezig, maar niemand heeft tijd of mandaat om die logs structureel te beoordelen.

• Leveranciers worden op papier kritisch geselecteerd, maar in de praktijk ontbreekt structurele toetsing van hun werking.

• Incidenten worden wel opgelost, maar niet altijd geregistreerd, geanalyseerd en gebruikt om processen te verbeteren.

• Bewustwording eindigt bij een jaarlijkse e-learning, terwijl dagelijkse routines nauwelijks veranderen.

• Continuïteitsplannen zijn keurig beschreven, maar nooit geoefend onder tijdsdruk of in realistische scenario’s.

NEN7510 maakt deze zwakke plekken zichtbaar. Niet om organisaties af te straffen, maar om te voorkomen dat medische zorg afhankelijk blijkt van goede bedoelingen in plaats van geborgde processen.

Hoe een volwassen NEN7510-aanpak eruit ziet

Een volwassen aanpak begint meestal niet bij een tool of een document, maar bij een eerlijke blik op waar je staat. Welke processen zijn cruciaal voor veilige zorg? Waar zijn de grootste digitale afhankelijkheden? Wie neemt eigenlijk beslissingen over risico’s?

Vanuit ISO27001 leg je vervolgens een basis: een duidelijk ISMS, een risicoanalyse, beheersmaatregelen die passen bij jouw context. NEN7510 geeft daar de zorgspecifieke inkleuring aan.

Dat zie je terug in:

• processen die zijn ingericht op continuïteit van zorg, niet alleen op beschikbaarheid van systemen;

• afspraken in de keten die concreet en toetsbaar zijn, niet alleen juridisch dichtgetimmerd;

• logging en monitoring die leidt tot acties, niet alleen tot rapportages;

• bewustwording die is gekoppeld aan echte zorgsituaties en voorbeelden uit de praktijk;

• audits die worden gebruikt om het niveau stap voor stap te verhogen, niet alleen om een certificaat te behouden.

Het certificaat kan daarbij een belangrijk doel zijn, bijvoorbeeld richting klanten of toezichthouders. Maar de grootste winst zit in de zekerheid dat je als organisatie beter bestand bent tegen incidenten en verstoringen.

De norm is nooit het doel

ISO27001 en NEN7510 zijn dus absoluut geen doelen op zichzelf. Het zijn hulpmiddelen om informatiebeveiliging, patiëntveiligheid en continuïteit beter te organiseren. De vraag is dus niet alleen of je "moet voldoen", maar vooral hoe je deze normen kunt inzetten om je organisatie sterker te maken.

De keuze tussen ISO27001 en NEN7510 is meestal snel gemaakt als je weet welke data je verwerkt en in welke keten je opereert. De echte uitdaging zit in de vertaling naar werkbare processen, helder eigenaarschap en een niveau van volwassenheid dat ook buiten een auditmoment zichtbaar is.

Wil je die keuze scherper maken, of weten of ISO27001 voor jouw organisatie voldoende is of dat NEN7510 in beeld komt? Dan is het logisch om vanuit je huidige situatie te kijken welke norm past en hoe je daar stap voor stap naartoe groeit. Vanuit daar kun je altijd doorpakken richting een concreet implementatieplan.