ISO 27001 vs. NEN 7510: welke kies je?
Werk je in de zorgsector of lever je diensten aan zorgorganisaties? Dan kom je twee normen tegen: ISO 27001 en NEN 7510 . De IGJ en Autoriteit Persoonsgegevens gebruiken NEN 7510 als toetsingskader. Beide normen gaan over informatiebeveiliging, maar ze zijn niet hetzelfde.
Het korte antwoord
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Het is gebaseerd op ISO 27001, maar toegespitst op de bescherming van patiëntgegevens.
ISO 27001 is de internationale norm voor informatiebeveiliging, toepasbaar op elke sector. Het biedt een breder raamwerk zonder sectorspecifieke eisen.
| Aspect | ISO 27001 | NEN 7510 |
|---|---|---|
| Scope | Alle sectoren | Zorgsector |
| Herkomst | Internationaal (ISO) | Nederlands (NEN) |
| Wettelijke basis | Geen | Ja, via zorgwetgeving |
| Focus | Informatiebeveiliging algemeen | Patiëntgegevens specifiek |
| Certificeerbaar | Ja | Ja |
Wat is NEN 7510?
NEN 7510 is ontwikkeld door het Nederlands Normalisatie-instituut (NEN) specifiek voor de zorgsector. De norm beschrijft hoe zorgorganisaties moeten omgaan met de beveiliging van gezondheidsinformatie.
NEN 7510 bestaat uit meerdere delen:
- NEN 7510-1: Het managementsysteem (vergelijkbaar met ISO 27001)
- NEN 7510-2: Beheersmaatregelen (vergelijkbaar met ISO 27002)
- NEN 7512: Vertrouwensbasis voor gegevensuitwisseling
- NEN 7513: Logging van toegang tot patiëntdossiers
Wettelijke status
NEN 7510 heeft een bijzondere status in Nederland. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verwijst naar NEN 7510 als de norm waaraan zorgaanbieders moeten voldoen.
Dit betekent niet dat certificering wettelijk verplicht is, maar wel dat de inhoud van de norm als maatstaf geldt. De Inspectie Gezondheidszorg en Jeugd (IGJ) en de Autoriteit Persoonsgegevens kunnen NEN 7510 gebruiken als toetsingskader.
Voor zorgorganisaties is NEN 7510 niet vrijblijvend. De norm wordt gezien als de “stand van de techniek” voor informatiebeveiliging in de zorg. Als je niet voldoet en er gaat iets mis, kan dat juridische consequenties hebben.
De relatie tussen beide normen
NEN 7510 is geen losse norm - het is gebouwd op ISO 27001. De structuur is identiek, de terminologie is grotendeels gelijk, en veel eisen komen overeen.
Wat NEN 7510 toevoegt
NEN 7510 neemt ISO 27001 als basis en voegt zorgspecifieke eisen toe:
Patiëntgegevens als uitgangspunt Waar ISO 27001 spreekt over “informatie” in het algemeen, focust NEN 7510 specifiek op gezondheidsinformatie. De risicobeoordeling moet rekening houden met de bijzondere gevoeligheid van medische gegevens.
Specifieke beheersmaatregelen NEN 7510 voegt maatregelen toe die specifiek zijn voor de zorg:
- Logging van toegang tot patiëntdossiers (uitgewerkt in NEN 7513)
- Identificatie en authenticatie van zorgverleners
- Toegangsbeheer gebaseerd op behandelrelatie
- Beveiliging van medische apparatuur
Ketensamenwerking De zorg kent complexe ketens: huisartsen, ziekenhuizen, apothekers, verzekeraars. NEN 7510 besteedt extra aandacht aan de beveiliging van gegevensuitwisseling binnen deze keten.
Patiëntrechten Patiënten hebben recht op inzage in hun dossier en op informatie over wie hun gegevens heeft bekeken. NEN 7510 borgt dat deze rechten worden ondersteund.
De overlap
Ongeveer 80% van NEN 7510 overlapt met ISO 27001. Als je voldoet aan ISO 27001, heb je een stevige basis voor NEN 7510. Andersom geldt hetzelfde: wie NEN 7510 heeft, voldoet grotendeels aan ISO 27001.
De managementeisen zijn nagenoeg identiek:
- Context en scope bepalen
- Leiderschap en beleid
- Risicobeoordeling en -behandeling
- Ondersteuning en competenties
- Uitvoering en operatie
- Evaluatie en verbetering
Wanneer welke norm?
Kies NEN 7510 als je:
- Een zorgaanbieder bent (ziekenhuis, huisarts, apotheek, GGZ, verpleeghuis)
- Werkt met patiëntgegevens en dit je kernactiviteit is
- Diensten levert aan zorgorganisaties en zij NEN 7510 eisen
- Software ontwikkelt voor de zorgsector (EPD, HIS, etc.)
- Valt onder de zorgwetgeving en de IGJ
Kies ISO 27001 als je:
- Buiten de zorg opereert of de zorg slechts een klein deel van je klanten vormt
- Internationale klanten hebt die ISO 27001 herkennen maar niet NEN 7510
- Al andere ISO-normen hebt en wilt integreren
- Een IT-dienstverlener bent met klanten in meerdere sectoren
Kies beide als je:
- Een zorgorganisatie bent die ook diensten levert buiten de zorg
- Een IT-leverancier bent met zowel zorgklanten als niet-zorgklanten
- Internationale erkenning nodig hebt én moet voldoen aan Nederlandse zorgwetgeving
- Je wilt voorbereiden op toekomstige eisen van klanten
Beide certificeringen behalen
Het goede nieuws: als je beide wilt, is dat efficiënt te combineren. Door de grote overlap kun je met één geïntegreerd systeem voldoen aan beide normen.
Gecombineerde aanpak
- Start met ISO 27001 - Dit geeft je de internationale basis
- Voeg NEN 7510-specifieke eisen toe - De zorgspecifieke aanvullingen
- Combineer de audit - Veel certificerende instanties bieden gecombineerde audits
Kosten en tijd
Een gecombineerde certificering kost niet het dubbele:
- De auditdagen overlappen grotendeels
- Je documentatie is geïntegreerd
- De voorbereidingstijd is efficiënter
Reken op ongeveer 30-50% extra kosten en tijd bovenop een enkele certificering, niet 100%.
Certificerende instanties
Niet alle certificerende instanties mogen NEN 7510 certificeren. Kies een instantie die beide normen aanbiedt en ervaring heeft in de zorgsector:
Tip: Vraag naar de ervaring van de auditor in de zorgsector. Een auditor die de zorgcontext begrijpt, kan meer waarde toevoegen dan iemand die alleen de checklijst afloopt.
Veelgestelde vragen
Is NEN 7510 verplicht?
De norm zelf is niet wettelijk verplicht, maar de inhoud wordt gezien als de maatstaf voor informatiebeveiliging in de zorg. Certificering is vrijwillig, maar kan door opdrachtgevers of toezichthouders worden gevraagd.
Kan ik met ISO 27001 aantonen dat ik aan NEN 7510 voldoe?
Gedeeltelijk. ISO 27001 dekt veel van NEN 7510, maar niet de zorgspecifieke aanvullingen. Een auditor of toezichthouder die NEN 7510 verwacht, accepteert ISO 27001 mogelijk als basis maar kan aanvullende aantoning vragen.
Heb ik als IT-leverancier aan de zorg NEN 7510 nodig?
Steeds vaker wel. Grote zorginstellingen eisen NEN 7510 van hun leveranciers, vooral als je patiëntgegevens verwerkt of toegang hebt tot zorgsystemen. Check de eisen van je klanten.
Wat is Z-CERT?
Z-CERT is het Computer Emergency Response Team voor de zorgsector. Ze bieden ondersteuning bij cybersecurity-incidenten en delen dreigingsinformatie. Aansluiting is niet verplicht maar wel aan te raden voor zorgorganisaties.
Hoe verhoudt dit zich tot de AVG?
Zowel ISO 27001 als NEN 7510 helpen bij het voldoen aan de beveiligingseisen van de AVG. NEN 7510 gaat verder door ook de zorgspecifieke privacyaspecten te adresseren. Geen van beide is voldoende voor volledige AVG-compliance - je hebt ook beleid nodig voor rechtmatigheid, transparantie, en bewaartermijnen.
Samenvatting
| Situatie | Advies |
|---|---|
| Zorgaanbieder in Nederland | NEN 7510 (eventueel + ISO 27001) |
| IT-leverancier alleen aan zorg | NEN 7510 |
| IT-leverancier aan zorg én andere sectoren | Beide |
| Internationaal actief in zorg | Beide (ISO 27001 voor internationale erkenning) |
| Geen zorgactiviteiten | ISO 27001 |
Meer informatie
- Wat is ISO 27001? – Introductie tot de norm
- Eisen van de norm – Wat vraagt ISO 27001?
- NEN 7510 bij NEN – Officiële norm
- Z-CERT – Cybersecurity voor de zorg
- IGJ – Inspectie Gezondheidszorg en Jeugd