Kosten en tijdlijn NEN 7510

Wat kost NEN 7510 certificering en hoelang duurt het? Je hebt een geaccrediteerde certificerende instantie nodig. Op deze pagina geven we realistische indicaties voor zorgorganisaties van verschillende groottes.

De kostencategorieën

De totale kosten van NEN 7510 certificering bestaan uit drie onderdelen: implementatiekosten, certificeringskosten en jaarlijkse onderhoudskosten.

Implementatiekosten zijn de kosten om je systeem op te zetten: risicoanalyse, documentatie, technische maatregelen, training. Dit is eenmalig, maar vaak de grootste kostenpost.

Certificeringskosten zijn de kosten voor de externe audit door de certificerende instantie. De initiële certificeringsaudit is uitgebreider dan de jaarlijkse toezichtaudits.

Onderhoudskosten zijn de doorlopende kosten om het systeem draaiende te houden: interne audits, updates, training, en de jaarlijkse toezichtaudit.

Kosten per organisatiegrootte

De kosten variëren sterk afhankelijk van de grootte en complexiteit van je organisatie. Hieronder geven we indicaties voor verschillende typen zorgorganisaties.

Klein (tot 25 fte)

Kleine zorgorganisatie (tot 25 fte)

Voorbeelden: huisartsenpraktijk, fysiotherapiepraktijk, kleine apotheek, zelfstandige behandelcentrum.

Kostenpost	Indicatie
Implementatie intern	100-200 uur
Externe begeleiding	€3.000 - €10.000
Technische maatregelen	€2.000 - €10.000
Certificeringsaudit initieel	€3.000 - €5.000
Totaal eerste jaar	€8.000 - €25.000
Toezichtaudit per jaar	€1.500 - €2.500
Onderhoud per jaar	€2.000 - €5.000

Doorlooptijd: 3-6 maanden

Kostenpost	Indicatie
Implementatie intern	300-600 uur
Externe begeleiding	€10.000 - €30.000
Technische maatregelen	€10.000 - €50.000
Certificeringsaudit initieel	€5.000 - €10.000
Totaal eerste jaar	€25.000 - €90.000
Toezichtaudit per jaar	€3.000 - €5.000
Onderhoud per jaar	€5.000 - €15.000

Kostenpost	Indicatie
Implementatie intern	1.000+ uur
Externe begeleiding	€30.000 - €100.000+
Technische maatregelen	€50.000 - €250.000+
Certificeringsaudit initieel	€10.000 - €25.000
Totaal eerste jaar	€90.000 - €375.000+
Toezichtaudit per jaar	€5.000 - €15.000
Onderhoud per jaar	€20.000 - €75.000

Deze bedragen zijn indicaties. De werkelijke kosten hangen af van je huidige situatie, de complexiteit van je IT-omgeving en de keuzes die je maakt. Vraag altijd specifieke offertes aan.

Wat bepaalt de kosten?

Huidige volwassenheid

Als je al een goed werkend informatiebeveiligingsbeleid hebt, is de stap naar NEN 7510 kleiner. Organisaties die starten vanaf nul hebben meer werk.

Heb je al ISO 27001? Dan is de meerkosten voor NEN 7510 beperkt: je voegt de zorgspecifieke eisen toe aan je bestaande systeem. Reken op 20-30% extra bovenop de ISO 27001 kosten.

Complexiteit van de IT-omgeving

Meer systemen betekent meer werk. Een organisatie met één EPD-systeem en standaard kantoorautomatisering is eenvoudiger dan een organisatie met tientallen gekoppelde systemen, medische apparatuur en een complexe infrastructuur.

Ook de mate van uitbesteding speelt mee. Beheer je alles zelf, of werk je met externe IT-dienstverleners? Bij uitbesteding moet je de leveranciers beoordelen en afspraken maken over informatiebeveiliging.

Aantal locaties

Meerdere locaties verhogen de complexiteit. Elke locatie moet worden meegenomen in de risicoanalyse en de audit. De certificeringskosten stijgen omdat de auditor meer locaties moet bezoeken.

Keuzes in begeleiding

Je kunt NEN 7510 volledig zelf implementeren, of externe hulp inschakelen. Zelf doen bespaart geld maar kost meer interne tijd en draagt risico op fouten. Externe begeleiding kost geld maar levert expertise en snelheid.

Een tussenweg is coaching: een adviseur begeleidt je team, maar je doet het werk zelf. Dit is vaak de beste balans tussen kosten en kwaliteit.

Kostenverdeling over de tijd

Jaar 1: Implementatie en certificering

Het eerste jaar is het duurste. Je bouwt het systeem, implementeert maatregelen en doorloopt de certificeringsaudit. Het grootste deel van de kosten valt in dit jaar.

Jaar 2 en 3: Onderhoud

Na certificering dalen de kosten. Je onderhoudt het systeem, voert interne audits uit en doorloopt de jaarlijkse toezichtaudit. De kosten zijn een fractie van het eerste jaar.

Jaar 4: Hercertificering

Na drie jaar volgt hercertificering. De audit is uitgebreider dan de toezichtaudit, maar minder dan de initiële certificering. Reken op kosten vergelijkbaar met 60-70% van de initiële audit.

Doorlooptijd

Factoren die de doorlooptijd beïnvloeden

Beschikbare capaciteit: Hoeveel tijd kunnen mensen vrijmaken? Een projectleider die 50% beschikbaar is, werkt sneller dan iemand die er 10% aan kan besteden.

Besluitvorming: Hoe snel worden beslissingen genomen? Trage besluitvorming vertraagt het hele traject.

Technische implementatie: Sommige maatregelen kosten tijd om te implementeren, bijvoorbeeld nieuwe systemen voor logging of toegangsbeheer.

Externe afhankelijkheden: Wacht je op leveranciers? Dat vertraagt.

Realistische planning

Organisatiegrootte	Minimaal	Gemiddeld	Uitgebreid
Klein (tot 25 fte)	3 maanden	4-6 maanden	9 maanden
Middelgroot (25-100 fte)	6 maanden	9 maanden	12 maanden
Groot (100+ fte)	9 maanden	12-15 maanden	18+ maanden

Plan niet te krap. Onverwachte zaken kosten tijd: zieke projectleden, andere prioriteiten, tegenvallende leveranciers. Bouw minimaal 20% slack in je planning.

Certificeringskosten in detail

De certificerende instantie berekent kosten op basis van auditdagen. Het aantal auditdagen hangt af van de grootte van je organisatie, gemeten in fte en complexiteit.

Initiële certificeringsaudit

De initiële audit bestaat uit twee fasen:

Fase 1 (documentatiebeoordeling): 0,5 - 2 dagen, afhankelijk van complexiteit. Kan vaak remote.

Fase 2 (implementatie-audit): 1 - 10+ dagen on-site, afhankelijk van grootte.

Het dagtarief van een auditor ligt tussen €800 en €1.500, afhankelijk van de certificerende instantie.

Jaarlijkse toezichtaudit

Na certificering volgen jaarlijks toezichtaudits. Deze zijn korter dan de initiële audit: typisch 30-50% van de initiële auditdagen.

Vergelijk offertes

Vraag offertes aan bij meerdere certificerende instanties. Let niet alleen op prijs, maar ook op ervaring in de zorg, de achtergrond van de auditor en de flexibiliteit in planning.

Certificerende instanties voor NEN 7510:

Besparingen en subsidies

Combineren met ISO 27001

Als je ook ISO 27001 wilt of nodig hebt, combineer dan de trajecten. De overlap is groot (80%), dus je bespaart significant door het tegelijk te doen. Gecombineerde audits zijn efficiënter.

Samenwerken met collega-organisaties

Kleine zorgorganisaties kunnen samen optrekken. Deel de kosten van een adviseur, wissel kennis uit, leer van elkaars ervaringen. Zorgkoepels faciliteren dit soms.

Subsidies en regelingen

Specifieke subsidies voor NEN 7510 zijn er niet, maar algemene regelingen voor informatiebeveiliging of digitalisering in de zorg kunnen van toepassing zijn. Check bij je brancheorganisatie of regionale samenwerkingsverbanden.

Return on investment

NEN 7510 kost geld, maar levert ook wat op. Directe voordelen zijn toegang tot opdrachten die NEN 7510 vereisen, en minder toezichtlast van de IGJ.

Indirecte voordelen zijn moeilijker te kwantificeren maar reëel: betere beveiliging betekent minder kans op incidenten. Een ransomware-aanval of datalek kost een veelvoud van de certificeringskosten, nog los van reputatieschade.

De gemiddelde kosten van een datalek in de zorgsector liggen internationaal boven de €10 miljoen voor grote incidenten. NEN 7510 is dan een bescheiden investering.

Volgende stap

Lees het stappenplan voor de praktische aanpak, of bekijk de eisen van de norm om te begrijpen wat je moet implementeren.