NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm helpt je om patiëntgegevens en zorginformatie systematisch te beschermen. Van datalekken tot ongeautoriseerde toegang, van ransomware tot menselijke fouten.
In deze gids lees je alles wat je moet weten: van de wettelijke verplichting tot de kosten, van voorbereiding tot het kiezen van een certificeerder. Praktische informatie voor zorgaanbieders die hun informatiebeveiliging op orde willen brengen.
1. Wat is NEN 7510?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging specifiek voor de zorgsector. De norm beschrijft eisen voor een Information Security Management System (ISMS) met aanvullende maatregelen die relevant zijn voor het verwerken van gezondheidsinformatie.
Kort gezegd: NEN 7510 helpt je om patiëntgegevens en zorginformatie systematisch te beschermen tegen verlies, diefstal en ongeautoriseerde toegang.
1.1 De norm in twee delen
NEN 7510 bestaat uit twee delen:
| Deel | Inhoud | Type |
|---|---|---|
| NEN 7510-1 | Eisen voor het ISMS | Normatief (hierop wordt geaudit) |
| NEN 7510-2 | Praktijkrichtlijnen en uitleg | Informatief (hulpmiddel) |
1.2 Huidige versie: NEN 7510:2024
De huidige versie is NEN 7510:2024, gepubliceerd in december 2024. Deze vervangt de versie uit 2017. Belangrijkste wijzigingen: betere aansluiting op ISO 27001:2022, nieuwe beheersmaatregelen voor cloud computing en cyberdreigingen, en aansluiting op NIS2-vereisten.
Transitiedeadline: 20 februari 2027. Bestaande certificaathouders moeten vóór die datum gecertificeerd zijn tegen de nieuwe versie.
1.3 Relatie met ISO 27001
NEN 7510 is gebaseerd op ISO 27001, de internationale norm voor informatiebeveiliging. Beide normen delen dezelfde structuur en PDCA-cyclus (Plan-Do-Check-Act). Het verschil zit in de scope en aanvullende eisen.
| Aspect | ISO 27001 | NEN 7510 |
|---|---|---|
| Scope | Alle sectoren wereldwijd | Nederlandse zorgsector |
| Beheersmaatregelen | 93 controls | 93 + zorgspecifieke aanvullingen |
| Focus | Algemene informatiebeveiliging | Patiëntgegevens, medische apparatuur |
| Erkenning | Internationaal | Nederland |
Praktisch: Heb je al ISO 27001? Dan kun je NEN 7510 er relatief eenvoudig aan toevoegen. De certificeringsaudit kan gecombineerd worden.
1.4 NEN 7512 en NEN 7513
Naast NEN 7510 zijn er twee aanvullende normen:
| Norm | Onderwerp | Certificeerbaar |
|---|---|---|
| NEN 7512 | Veilige gegevensuitwisseling tussen zorgaanbieders | Nee |
| NEN 7513 | Logging van toegang tot patiëntdossiers | Nee |
NEN 7512 en NEN 7513 zijn verdiepingen op NEN 7510. Ze zijn niet apart certificeerbaar, maar worden wel getoetst als onderdeel van de NEN 7510 audit. Beide normen zijn kosteloos beschikbaar (afgekocht door VWS).
2. Waarom NEN 7510 certificeren?
Werken volgens NEN 7510 is wettelijk verplicht. Certificering is dat niet. Toch kiezen steeds meer zorgorganisaties voor een certificaat. De vraag is: helpt het jouw organisatie?
2.1 De wettelijke verplichting
Belangrijk: Het Besluit elektronische gegevensverwerking door zorgaanbieders (van kracht sinds 15 december 2018) verplicht alle zorgaanbieders om aantoonbaar te werken volgens NEN 7510.
Dit geldt voor elke organisatie die zorg verleent en daarbij elektronisch patiëntgegevens verwerkt.
De wet eist dat je werkt volgens de norm. De wet eist niet dat je gecertificeerd bent. Maar hoe toon je anders aan dat je voldoet?
2.2 Vier redenen om te certificeren
1. Aantoonbare compliance
Een certificaat is de meest concrete manier om aan de IGJ, zorgverzekeraars en ketenpartners te laten zien dat je informatiebeveiliging op orde is. Geen discussie, geen interpretatie.
2. Eis van ketenpartners
Zorgverzekeraars vragen steeds vaker naar NEN 7510 certificering bij contractering. Ook samenwerkingsverbanden en verwijzers kunnen het eisen.
3. Structuur en verbetering
Het certificeringstraject dwingt je om informatiebeveiliging structureel aan te pakken. Niet een eenmalige actie, maar een continue cyclus van verbetering.
4. Vertrouwen
Patiënten en samenwerkingspartners vertrouwen erop dat hun gegevens veilig zijn. Een certificaat ondersteunt dat vertrouwen.
2.3 Voor wie is NEN 7510 relevant?
Dit omvat onder andere:
- Ziekenhuizen en klinieken
- Huisartsenpraktijken
- GGZ-instellingen
- Verpleeg- en verzorgingshuizen
- Thuiszorgorganisaties
- Fysiotherapeuten en paramedici
- Tandartspraktijken
- Apotheken
- Laboratoria
Secundaire doelgroep: leveranciers aan de zorg
- ICT-dienstverleners aan zorginstellingen
- Softwareleveranciers voor de zorg (EPD, HIS)
- Hostingproviders voor zorgdata
- Leveranciers van medische apparatuur
2.4 Wanneer certificering misschien niet nodig is
Eerlijk advies: Certificering is niet voor iedereen de beste eerste stap.
Kleine praktijken (eenmanszaken, duo-praktijken) kunnen beginnen met een zelf-assessment en interne audits. De norm verplicht werken volgens NEN 7510, niet certificering. Je kunt compliance aantonen via gedocumenteerde interne controles.
Organisaties zonder druk van buitenaf die geen certificaat nodig hebben voor contracten of aanbestedingen kunnen overwegen om eerst intern op orde te komen en later te certificeren.
3. Het NEN 7510 certificeringsproces
Van besluit tot certificaat doorloop je zes stappen. Reken op twee tot achttien maanden, afhankelijk van je organisatiegrootte en startpositie.
3.1 De zes stappen naar certificering
-
Scope bepalen — Welke locaties, systemen en processen vallen onder het ISMS? Bij de meeste zorgorganisaties is dit de gehele organisatie.
-
Risicoanalyse uitvoeren — Identificeer risico’s voor patiëntgegevens en zorginformatie. Welke bedreigingen zijn er? Wat zijn de gevolgen? Dit is het hart van NEN 7510.
-
ISMS opzetten — Implementeer beheersmaatregelen, stel beleid op, train medewerkers, documenteer processen.
-
Bewijsperiode doorlopen — Werk minimaal drie maanden volgens je ISMS. Auditors willen bewijs dat het systeem in de praktijk werkt.
-
Interne audit en directiebeoordeling — Controleer zelf of alles werkt en laat de directie het ISMS formeel beoordelen.
-
Externe audit — De certificeerder voert de audit uit in twee fases. Bij succes ontvang je het certificaat.
3.2 Tijdlijn per organisatietype
| Organisatietype | Doorlooptijd | Audit duur |
|---|---|---|
| Kleine praktijk (goed voorbereid) | 2-4 maanden | 1-2 dagen |
| Kleine praktijk (vanaf nul) | 4-6 maanden | 1-2 dagen |
| Middelgrote zorginstelling | 6-12 maanden | 2-3 dagen |
| Groot ziekenhuis | 12-18 maanden | 4-5 dagen |
3.3 Wie doet wat?
| Partij | Rol |
|---|---|
| Jij / informatiebeveiliging | Risicoanalyse, ISMS opzetten, interne audits |
| IT-afdeling | Technische maatregelen, logging, monitoring |
| Functionaris Gegevensbescherming | AVG-afstemming, privacy-aspecten |
| Consultant (optioneel) | Begeleiding, gap-analyse, templates |
| Certificeerder | Audit uitvoeren, certificaat afgeven |
Goed om te weten: Een consultant is niet verplicht. Organisaties met ervaren IT- en compliancemensen doen het regelmatig zelf.
4. Wat kost NEN 7510?
De kosten variëren sterk per organisatiegrootte. Een kleine huisartsenpraktijk betaalt veel minder dan een groot ziekenhuis.
Vuistregel: Kleine praktijk €5.000-€8.000 eerste jaar, middelgrote instelling €8.000-€15.000 eerste jaar.
4.1 Kostenposten overzicht
| Kostenpost | Indicatie |
|---|---|
| Voorbereiding en gap-analyse | €1.000 - €3.000 |
| Certificeringsaudit (jaar 1) | €3.000 - €10.000 |
| Surveillance-audit (per jaar) | €2.000 - €4.000 |
| Hercertificering (elke drie jaar) | €3.000 - €8.000 |
| Consultant (optioneel) | €5.000 - €20.000 |
4.2 Prijsindicatie per organisatiegrootte
| Organisatietype | Eerste jaar | Jaarlijks daarna |
|---|---|---|
| Kleine praktijk (huisarts, fysiotherapeut) | €5.000 - €8.000 | €2.000 - €3.000 |
| Middelgrote zorginstelling | €8.000 - €15.000 | €3.000 - €5.000 |
| Groot ziekenhuis/GGZ | €15.000 - €35.000+ | €5.000 - €10.000+ |
Prijzen indicatief, excl. btw, excl. consultant en interne uren.
4.3 Wat beïnvloedt de prijs?
Vijf factoren bepalen je kosten:
- Aantal medewerkers (meer = meer audittijd)
- Aantal locaties (elke locatie wordt beoordeeld)
- Complexiteit IT-omgeving (EPD, koppelingen, medische apparatuur)
- Huidige volwassenheid (vanaf nul is duurder)
- Keuze certificeerder (prijzen verschillen 20-40%)
5. Voorbereiding op NEN 7510
Goede voorbereiding is het halve werk. De meeste tijd gaat zitten in de risicoanalyse en het opzetten van je ISMS, niet in de audit zelf.
5.1 Wat moet je intern regelen?
Daarna volgen deze stappen:
- Projectleider aanwijzen — Iemand met mandaat die het trekt
- Scope bepalen — Welke systemen, locaties, processen?
- Risicoanalyse uitvoeren — Focus op patiëntgegevens en zorgsystemen
- Maatregelen implementeren — Technisch én organisatorisch
- Medewerkers trainen — Awareness over informatiebeveiliging
- Bewijsperiode starten — Minimaal drie maanden werken volgens ISMS
- Interne audit uitvoeren — Test of alles werkt
5.2 Welke documentatie is nodig?
| Document | Wat het is |
|---|---|
| Informatiebeveiligingsbeleid | Jouw visie en doelstellingen |
| Scope van het ISMS | Welke delen van je organisatie |
| Risicoanalyse en behandelplan | Geïdentificeerde risico’s en gekozen maatregelen |
| Verklaring van Toepasselijkheid | Welke controls je toepast en welke niet |
| Procesbeschrijvingen | Incidentbeheer, toegangsbeheer, etc. |
| Registraties | Bewijs van naleving (audits, incidenten, trainingen) |
Zorgspecifieke documentatie:
- Beleid voor toegang tot patiëntdossiers
- Logging-beleid (conform NEN 7513)
- Beleid voor gegevensuitwisseling (conform NEN 7512)
- Afspraken met verwerkers en onderaannemers
5.3 Drie veelgemaakte fouten
Fout 2: Papieren tijger
Je documenten moeten overeenkomen met de praktijk. Als je opschrijft dat je wekelijks toegangslogs controleert, moet je dat ook doen. Auditors vragen om bewijs.
Fout 3: Te laat starten met de bewijsperiode
Je moet minimaal drie maanden volgens je ISMS hebben gewerkt vóór de externe audit. Plan dit in.
Lees ook: Hoe bereid je je voor op een certificeringsaudit? — Praktische tips die ook voor NEN 7510 gelden.
6. De NEN 7510 audit
De externe audit is het moment van de waarheid. Als je goed voorbereid bent, is er weinig om je zorgen over te maken.
6.1 Fase een en twee
De audit bestaat uit twee delen:
Fase 1: Documentatie- en gereedheidscheck (vaak deels op afstand)
De auditor beoordeelt je ISMS-documentatie: beleid, risicoanalyse, Verklaring van Toepasselijkheid. Is alles aanwezig? Ben je klaar voor de praktijkaudit?
Fase 2: Praktijkaudit (op locatie)
De auditor komt langs, spreekt met medewerkers, bekijkt systemen en processen, controleert logging en registraties. Het draait om de vraag: komt papier overeen met praktijk?
De kern: De auditor zoekt bewijs dat je ISMS effectief is. Niet alleen dat procedures bestaan, maar dat ze werken.
6.2 Mogelijke uitkomsten
| Uitkomst | Wat gebeurt er? |
|---|---|
| Certificaat | Je voldoet aan de eisen |
| Kleine afwijkingen | Certificaat, maar punten oplossen voor volgende audit |
| Grote afwijkingen | Eerst oplossen, dan heraudit binnen 90 dagen |
| Niet voldaan | Traject opnieuw starten |
6.3 Tips voor een vlotte audit
- Ken je eigen systeem — Weet waar documenten staan en hoe processen werken
- Bereid medewerkers voor — Ze hoeven de norm niet te kennen, wel hun eigen taken
- Wees eerlijk — Auditors waarderen openheid meer dan perfectie
- Heb bewijs paraat — Logs, registraties, trainingsrecords
- Focus op patiëntgegevens — Daar ligt de nadruk in de zorgsector
7. Een NEN 7510 certificeerder kiezen
Niet elke certificeerder mag NEN 7510 certificeren. Je moet kiezen uit geaccrediteerde partijen met een specifieke erkenning voor deze norm.
7.1 Geaccrediteerde certificeerders voor NEN 7510
De volgende certificeerders zijn geaccrediteerd voor NEN 7510 in Nederland:
- Brand Compliance B.V.
- BSI Group Nederland B.V.
- DEKRA Certification B.V.
- DNV Business Assurance B.V.
- Kiwa Nederland B.V.
- LRQA Nederland B.V.
- Noordbeek Certification B.V.
- TÜV NORD
7.2 Vijf criteria om op te letten
| Criterium | Waarom belangrijk |
|---|---|
| Accreditatie voor NEN 7510 | Anders is het certificaat niet geldig |
| Ervaring in de zorg | Een auditor die de zorgsector kent, voegt meer waarde toe |
| Prijs | Verschillen van 20-40% zijn normaal |
| Service | Vaste contactpersoon? Snelle reacties? |
| Klik met auditor | Je werkt minstens drie jaar samen |
7.3 Vragen om te stellen
Voordat je kiest, stel deze vragen:
- Bent u geaccrediteerd voor NEN 7510? (check bij de RvA)
- Wat is uw ervaring met mijn type zorgorganisatie?
- Heeft de auditor ervaring met onze systemen (EPD, HIS)?
- Wat zijn de totale kosten voor drie jaar?
- Hoe gaat u om met de transitie naar NEN 7510:2024?
De juiste keuze is niet per se de goedkoopste. Een auditor die de zorgsector begrijpt en constructieve feedback geeft, is meer waard dan een paar honderd euro besparing.
Lees ook: Hoe kies je de juiste certificeerder? 5 praktische tips — Algemene criteria die ook voor NEN 7510 gelden.
Klaar om te vergelijken? Bekijk ons overzicht van certificeerders en vind de partij die bij jouw zorgorganisatie past.
8. Veelgestelde vragen over NEN 7510
Is NEN 7510 verplicht?
Werken volgens NEN 7510 is wettelijk verplicht voor alle zorgaanbieders (Besluit elektronische gegevensverwerking). Certificering zelf is niet verplicht, maar het is de meest gangbare manier om naleving aan te tonen.
Wat kost NEN 7510 certificering?
Kleine praktijk (huisarts, fysiotherapeut): €5.000-€8.000 eerste jaar, daarna €2.000-€3.000 per jaar. Middelgrote zorginstelling: €8.000-€15.000 eerste jaar. De exacte prijs hangt af van organisatiegrootte en complexiteit.
Hoe lang duurt certificering?
Kleine praktijk: twee tot zes maanden. Middelgrote instelling: zes tot twaalf maanden. Groot ziekenhuis: twaalf tot achttien maanden. De audit zelf duurt een tot vijf dagen.
Wat is het verschil met ISO 27001?
NEN 7510 is gebaseerd op ISO 27001 maar bevat zorgspecifieke aanvullingen: bescherming van patiëntgegevens, medische apparatuur, en verwijzingen naar NEN 7512 (gegevensuitwisseling) en NEN 7513 (logging). ISO 27001 is internationaal, NEN 7510 is Nederlands en zorgspecifiek.
Kan ik beide normen combineren?
Ja. ISO 27001 en NEN 7510 delen dezelfde structuur. De audit kan gecombineerd worden. Dit is efficiënt voor organisaties die zowel internationale erkenning als zorgspecifieke compliance willen, zoals IT-leveranciers aan de zorg.
Wat zijn NEN 7512 en NEN 7513?
NEN 7512 beschrijft eisen voor veilige gegevensuitwisseling tussen zorgaanbieders. NEN 7513 gaat over logging van toegang tot patiëntdossiers. Beide zijn verdiepingen op NEN 7510 en worden getoetst als onderdeel van de NEN 7510 audit.
Wat verandert er in NEN 7510:2024?
De nieuwe versie sluit beter aan op ISO 27001:2022 en NIS2. Er zijn nieuwe beheersmaatregelen voor cloud computing en cyberdreigingen. Bestaande certificaathouders moeten vóór 20 februari 2027 overstappen.
Hoe vaak is een audit na certificering?
Elk jaar een surveillance-audit. Elke drie jaar een volledige hercertificering. Je certificaat is drie jaar geldig, mits je de jaarlijkse audits succesvol doorloopt.
Kan ik overstappen van certificeerder?
Ja, op elk moment. Je nieuwe certificeerder neemt je dossier over en plant een transfer-audit. Je certificaat blijft geldig tijdens de overstap.
Helpt NEN 7510 bij de AVG?
Ja. NEN 7510 helpt aantoonbaar te voldoen aan de AVG-eis van “passende technische en organisatorische maatregelen”. Het is geen garantie voor volledige AVG-compliance, maar dekt een groot deel van de beveiligingseisen voor patiëntgegevens.
Deze gids wordt regelmatig bijgewerkt. Laatst gecontroleerd: december 2025.