ISO 27001 én NEN 7510: wanneer heb je beide nodig?
Je hebt ISO 27001 , of je werkt eraan, en je levert diensten aan de zorg. Dan komt de vraag: heb je óók NEN 7510 nodig? Deze pagina is geschreven vanuit jouw situatie als IT- of SaaS-leverancier. Het korte antwoord: steeds vaker wel. Grote zorginstellingen eisen NEN 7510 van leveranciers die patiëntgegevens verwerken, omdat de IGJ en de Autoriteit Persoonsgegevens de zorgnorm als toetsingskader gebruiken.
Dit is de vergelijking vanuit een ISO 27001-vertrekpunt. Ben je een zorgorganisatie die nog moet kiezen tussen de normen? Lees dan de hoofdvergelijking NEN 7510 vs. ISO 27001 voor de zorg.
Wanneer heb je naast ISO 27001 ook NEN 7510 nodig?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Hij is gebaseerd op ISO 27001, maar voegt zorgspecifieke eisen toe voor patiëntgegevens. Als jouw ISO 27001-certificaat je voldoende basis geeft, hangt het af van je klanten en wat je verwerkt of je daarnaast NEN 7510 moet aantonen.
| Jouw situatie | ISO 27001 | Ook NEN 7510? |
|---|---|---|
| SaaS aan zorg, verwerkt patiëntgegevens | Basis | Ja, vaak geëist |
| Hosting/beheer van zorgsystemen | Basis | Ja, vaak geëist |
| Tooling zonder toegang tot patiëntdata | Volstaat meestal | Meestal niet |
| Klanten buiten de zorg | Volstaat | Nee |
De kern: zodra je toegang hebt tot of patiëntgegevens verwerkt, verwachten zorgklanten de zorgspecifieke aanvullingen van NEN 7510 bovenop je ISO 27001.
Wat is NEN 7510?
NEN 7510 is ontwikkeld door het Nederlands Normalisatie-instituut (NEN) specifiek voor de zorgsector. De norm beschrijft hoe zorgorganisaties moeten omgaan met de beveiliging van gezondheidsinformatie.
NEN 7510 bestaat uit meerdere delen:
- NEN 7510-1: Het managementsysteem (vergelijkbaar met ISO 27001)
- NEN 7510-2: Beheersmaatregelen (vergelijkbaar met ISO 27002)
- NEN 7512: Vertrouwensbasis voor gegevensuitwisseling
- NEN 7513: Logging van toegang tot patiëntdossiers
Wettelijke status
NEN 7510 heeft een bijzondere status in Nederland. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg verwijst naar NEN 7510 als de norm waaraan zorgaanbieders moeten voldoen.
Dit betekent niet dat certificering wettelijk verplicht is, maar wel dat de inhoud van de norm als maatstaf geldt. De Inspectie Gezondheidszorg en Jeugd (IGJ) en de Autoriteit Persoonsgegevens kunnen NEN 7510 gebruiken als toetsingskader.
Voor zorgorganisaties is NEN 7510 niet vrijblijvend. De norm wordt gezien als de “stand van de techniek” voor informatiebeveiliging in de zorg. Als je niet voldoet en er gaat iets mis, kan dat juridische consequenties hebben.
De relatie tussen ISO 27001 en NEN 7510
NEN 7510 is geen losse norm - het is gebouwd op ISO 27001. De structuur is identiek, de terminologie is grotendeels gelijk, en veel eisen komen overeen.
Wat NEN 7510 toevoegt
NEN 7510 neemt ISO 27001 als basis en voegt zorgspecifieke eisen toe:
Patiëntgegevens als uitgangspunt Waar ISO 27001 spreekt over “informatie” in het algemeen, focust NEN 7510 specifiek op gezondheidsinformatie. De risicobeoordeling moet rekening houden met de bijzondere gevoeligheid van medische gegevens.
Specifieke beheersmaatregelen NEN 7510 voegt maatregelen toe die specifiek zijn voor de zorg:
- Logging van toegang tot patiëntdossiers (uitgewerkt in NEN 7513)
- Identificatie en authenticatie van zorgverleners
- Toegangsbeheer gebaseerd op behandelrelatie
- Beveiliging van medische apparatuur
Ketensamenwerking De zorg kent complexe ketens: huisartsen, ziekenhuizen, apothekers, verzekeraars. NEN 7510 besteedt extra aandacht aan de beveiliging van gegevensuitwisseling binnen deze keten.
Patiëntrechten Patiënten hebben recht op inzage in hun dossier en op informatie over wie hun gegevens heeft bekeken. NEN 7510 borgt dat deze rechten worden ondersteund.
De overlap
Ongeveer 80% van NEN 7510 overlapt met ISO 27001. Als je voldoet aan ISO 27001, heb je een stevige basis voor NEN 7510. Andersom geldt hetzelfde: wie NEN 7510 heeft, voldoet grotendeels aan ISO 27001.
De managementeisen zijn nagenoeg identiek:
- Context en scope bepalen
- Leiderschap en beleid
- Risicobeoordeling en -behandeling
- Ondersteuning en competenties
- Uitvoering en operatie
- Evaluatie en verbetering
Als IT-leverancier: NEN 7510 toevoegen aan je ISO 27001?
Je hebt al ISO 27001. De vraag is dan niet “welke kies ik?”, maar “moet ik NEN 7510 toevoegen?”. Drie signalen wijzen op ja:
- Je verwerkt patiëntgegevens of hebt toegang tot zorgsystemen (EPD, HIS, beeldarchief).
- Een zorgklant vraagt in de aanbesteding of het contract expliciet om NEN 7510.
- Je wilt voorlopen op toekomstige eisen en je positie in de zorgmarkt versterken.
Zie je geen van deze signalen en bedien je vooral klanten buiten de zorg? Dan volstaat je ISO 27001 meestal. Twijfel je over de norm als zorgorganisatie zelf? De keuzevraag staat uitgewerkt op de pagina NEN 7510 vs. ISO 27001.
ISO 27001 en NEN 7510 beide behalen
Het goede nieuws: als je beide wilt, is dat efficiënt te combineren. Door de grote overlap kun je met één geïntegreerd systeem voldoen aan beide normen.
Gecombineerde aanpak
- Start met ISO 27001 - Dit geeft je de internationale basis
- Voeg NEN 7510-specifieke eisen toe - De zorgspecifieke aanvullingen
- Combineer de audit - Veel certificerende instanties bieden gecombineerde audits
Kosten en tijd
Een gecombineerde certificering kost niet het dubbele:
- De auditdagen overlappen grotendeels
- Je documentatie is geïntegreerd
- De voorbereidingstijd is efficiënter
Reken op ongeveer 30-50% extra kosten en tijd bovenop een enkele certificering, niet 100%.
Certificerende instanties
Niet alle certificerende instanties mogen NEN 7510 certificeren. Kies een instantie die beide normen aanbiedt en ervaring heeft in de zorgsector:
Tip: Vraag naar de ervaring van de auditor in de zorgsector. Een auditor die de zorgcontext begrijpt, kan meer waarde toevoegen dan iemand die alleen de checklijst afloopt.
Veelgestelde vragen over ISO 27001 vs NEN 7510
Is NEN 7510 verplicht?
De norm zelf is niet wettelijk verplicht, maar de inhoud wordt gezien als de maatstaf voor informatiebeveiliging in de zorg. Certificering is vrijwillig, maar kan door opdrachtgevers of toezichthouders worden gevraagd.
Kan ik met ISO 27001 aantonen dat ik aan NEN 7510 voldoe?
Gedeeltelijk. ISO 27001 dekt veel van NEN 7510, maar niet de zorgspecifieke aanvullingen. Een auditor of toezichthouder die NEN 7510 verwacht, accepteert ISO 27001 mogelijk als basis maar kan aanvullende aantoning vragen.
Heb ik als IT-leverancier aan de zorg NEN 7510 nodig?
Steeds vaker wel. Grote zorginstellingen eisen NEN 7510 van hun leveranciers, vooral als je patiëntgegevens verwerkt of toegang hebt tot zorgsystemen. Check de eisen van je klanten.
Wat is Z-CERT?
Z-CERT is het Computer Emergency Response Team voor de zorgsector. Ze bieden ondersteuning bij cybersecurity-incidenten en delen dreigingsinformatie. Aansluiting is niet verplicht maar wel aan te raden voor zorgorganisaties.
Hoe verhoudt dit zich tot de AVG?
Zowel ISO 27001 als NEN 7510 helpen bij het voldoen aan de beveiligingseisen van de AVG. NEN 7510 gaat verder door ook de zorgspecifieke privacyaspecten te adresseren. Geen van beide is voldoende voor volledige AVG-compliance - je hebt ook beleid nodig voor rechtmatigheid, transparantie, en bewaartermijnen.
Samenvatting: heb je naast ISO 27001 ook NEN 7510 nodig?
| Jouw situatie als ISO 27001-houder | Advies |
|---|---|
| Leverancier met toegang tot patiëntgegevens | NEN 7510 toevoegen |
| Zorgklant eist NEN 7510 in contract | NEN 7510 toevoegen |
| Tooling zonder patiëntdata | ISO 27001 volstaat meestal |
| Geen zorgklanten | ISO 27001 volstaat |
| Twijfel als zorgorganisatie zelf | Lees NEN 7510 vs. ISO 27001 |
Meer informatie
- Wat is ISO 27001? – Introductie tot de norm
- Eisen van de norm – Wat vraagt ISO 27001?
- NEN 7510 vs. ISO 27001 – De hoofdvergelijking vanuit de zorg
- NEN 7510 bij NEN – Officiële norm
- Z-CERT – Cybersecurity voor de zorg