NEN7510: Meer dan een vinkje

    - - - / 28 August 2025

    In de zorg draait alles om vertrouwen. Patiënten moeten erop kunnen vertrouwen dat hun medische gegevens veilig zijn. NEN7510 is dé norm voor informatiebeveiliging in de zorg en biedt daarvoor een kader. Toch zien veel organisaties NEN7510 slechts als een vinkje voor compliance, een administratief “moetje”. Met de 2024-herziening, de NIS2/Cyberbeveiligingswet en strenger toezicht van de Inspectie voor Gezondheidszorg en Jeugd (IGJ) is dat niet langer genoeg. Alleen informatiebeveiliging “op papier” in orde hebben is niet genoeg, het moet ook in de praktische zin in de hele organisatie geïmplementeerd zijn.

    In dit blog lees je waarom NEN7510 meer is dan een afvinklijst, welke lessen er zijn uit recente incidenten en hoe je de norm kunt gebruiken als fundament voor veilige en betrouwbare zorg.

    Wat is NEN7510:2024?

    NEN7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De nieuwste versie sluit aan op ISO2001:2022 en legt nadruk op de bescherming van medische persoonsgegevens. Wat maakt de norm bijzonder? De norm is:

    • zorg specifiek: gericht op risico’s zoals interoperabiliteit, medische apparatuur en ketensamenwerking;
    • verankerd in wetgeving: expliciet opgenomen in de Wet aanvullende bepalingen voor persoonsgegevens zorg (Wabvpz); en
    • aan toezicht onderhevig: de IGJ ziet actief en strenger toe op naleving.

    Er zijn een aantal nieuwe zaken opgenomen in de 2024-versie:

    • Er is meer nadruk op actuele dreiging (zoals ransomware).
    • Er zijn strengere eisen voor leveranciers en cloud/Software-as-a-Service diensten.
    • De eisen rondom continuïteit en herstel zijn versterkt.
    • Er wordt aangesloten op NIS2.

    Waarom een vinkjesmentaliteit tekortschiet

    In veel organisaties wordt NEN7510 nog gezien als administratief “moetje”. Maar papieren compliance biedt geen bescherming. Twee recente incidenten laten dit zien:

    1. NHS ransomware-aanval, Verenigd Koninkrijk (2024)

    Door een ransomware aanval bij een softwareleverancier vielen spoedzorgsystemen uit, waardoor zorg zeer vertraagd of niet kon plaatsvinden. Minstens één overlijden werd aan de uitval gekoppeld. De les: de keten moet ook weerbaar zijn. [1] 

    2. Clinical Diagnostics (juli 2025)

    Bij een aanval lekten gegevens van bijna 500.000 vrouwen uit het bevolkingsonderzoek. De maatschappelijke schade is enorm. Het incident roept vragen op over technische weerbaarheid, ketenbeveiliging en vooral crisiscommunicatie. Ook hier bleek dat compliance zonder implementatie onvoldoende is.

    Er zijn een aantal risico’s bij een afvinkaanpak:

    • er wordt een schijnveiligheid gecreëerd voor bestuurders;
    • er is geen eigenaarschap buiten de IT-afdeling;
    • er is geen lerend vermogen na incidenten.

    Van vinkjes naar veerkracht

    Wie NEN7510 als strategisch raamwerk inzet, bouwt aan veerkracht. De norm vraagt om een risico gebaseerde aanpak, waarbij je de volgende stappen doorloopt:

    1. Identificeer de risico’s die jouw organisatie loopt.
    2. Pas maatregelen toe die echt relevant zijn.
    3. Prioriteer verbeteringen op impact en waarschijnlijkheid.

    Daarbij ligt de nadruk op continuïteit van zorg, medische apparatuur, ketensamenwerking en beschikbaarheid van dossiers.

    Gedrag en bewustzijn

    Techniek alleen is niet genoeg. Veel incidenten ontstaan door menselijk handelen: slechte wachtwoorden, phishing of onveilige apps. Daarom vraagt NEN7510 om structurele aandacht voor bewustzijn en training, zoals e-learnings, crisisoefeningen en phishing-simulaties.

    NEN7510 is gebaseerd op de Plan-Do-Check-Act cyclus. Deze cyclus dwingt organisaties om voortduren te evalueren en aan te passen aan nieuwe dreigingen en technologie.

    Van compliance naar vertrouwen

    Informatiebeveiliging is niet alleen een IT vraagstuk. Bestuurders moeten aantoonbaar eigenaar zijn van informatiebeveiliging, verantwoordelijkheden moeten helder belegd worden, en leveranciers moeten actief aangestuurd worden. NEN7510 sluit hiermee aan bij bredere digitale weerbaarheidsdoelen.

    Het doel van NEN7510 om zorgorganisaties een kader te geven voor informatiebeveiliging zodat medische en andere persoonsgegevens veilig worden verwerkt, opgeslagen en gedeeld. Patiënten moeten weten dat hun gegevens veilig zijn, zorgprofessionals moeten kunnen vertrouwen op betrouwbare systemen en organisaties moeten continuïteit kunnen garanderen bij incidenten.

    Compliance is dus geen einddoel, maar een voorwaarde voor veilige zorg en samenwerking binnen netwerken.

    Praktische tips:

    Een volwassen implementatie van NEN7510 hoeft niet ingewikkeld of zwaar te zijn. Het begint met bewustwording, prioriteit en een goede eerste stap. Hieronder een aantal praktische tips:

    1. Doe een nulmeting/maturity scan. Met de maturity scan van bijvoorbeeld Z-Cert kan je inzicht krijgen in sterktes en zwaktes.
    2. Betrek medewerkers én bestuur: maak beveiliging onderdeel van overleggen en trainingen.
    3. Integreer processen: sluit NEN7510 aan bij al bestaande processen zoals bijvoorbeeld Harmonisatie Kwaliteitsbeoordeling in de Zorgsector (HKZ).
    4. Leer van incidenten: registreer en analyseer elk incident en vertaal dit naar verbetermaatregelen.

    NEN7510 is geen vinkje voor compliance, maar een fundament voor veilige en betrouwbare zorg. Door de norm te benaderen als strategisch raamwerk in plaats van een afvinklijst, vergroot je niet alleen de digitale weerbaarheid, maar ook het vertrouwen van patiënten en professionals. Dat maakt informatiebeveiliging niet een last, maar een strategisch voordeel.

    Wij helpen je graag verder:

    NEN7510 is een krachtige basis voor veilige zorg. Maar de implementatie ervan vraagt tijd, kennis en draagvlak en dat is soms een uitdaging.

    ICTRecht ondersteunt zorginstellingen bij elke stap:

    • maturity scan op de NEN7510;
    • risicoanalyses;
    • begeleiding bij implementatie of herinrichting van NEN7510;
    • training en awareness voor medewerkers en bestuurders; en
    • interne audits en ondersteuning bij externe audits.

    Wil je weten waar jouw organisatie staat? Of zoek je hulp bij het naar een hoger niveau tillen van informatiebeveiliging? Neem gerust contact met ons op voor een vrijblijvend gesprek. Samen zorgen we ervoor dat informatiebeveiliging in de zorg meer wordt dan een vinkje.

    Neem contact op

    [1] https://www.infosecurity-magazine.com/news/patient-death-linked-nhs-cyber/
    Terug naar overzicht

    Melanie van Leeuwen

    Compliance Consultant
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram