NEN 7510 vs ISO 27001: wat is het verschil?
Zowel NEN 7510 als ISO 27001 gaan over informatiebeveiliging. De IGJ en Autoriteit Persoonsgegevens kijken primair naar NEN 7510 in de zorg. Welke norm past bij jou? En kun je ze combineren?
Het korte antwoord
NEN 7510 is de Nederlandse norm voor informatiebeveiliging specifiek in de zorg. Het is gebaseerd op ISO 27001, maar toegespitst op patiëntgegevens.
ISO 27001 is de internationale norm voor informatiebeveiliging, toepasbaar in elke sector. Het biedt een breed raamwerk zonder sectorspecifieke eisen.
| Aspect | NEN 7510 | ISO 27001 |
|---|---|---|
| Scope | Zorgsector | Alle sectoren |
| Herkomst | Nederlands (NEN) | Internationaal (ISO) |
| Focus | Patiëntgegevens | Informatie algemeen |
| Wettelijke basis | Ja, via zorgwetgeving | Geen |
| Internationale erkenning | Beperkt (Nederland) | Wereldwijd |
De relatie tussen beide normen
NEN 7510 is geen losse norm. Het is gebouwd op ISO 27001. De structuur is identiek: dezelfde hoofdstukken, dezelfde terminologie, grotendeels dezelfde eisen. Ongeveer 80% overlapt.
Wat NEN 7510 toevoegt zijn zorgspecifieke eisen. De basis van ISO 27001 wordt aangevuld met regels die specifiek relevant zijn voor de bescherming van patiëntgegevens.
Wat NEN 7510 toevoegt
Logging van toegang tot patiëntgegevens NEN 7513 specificeert dat je moet vastleggen wie wanneer welke patiëntgegevens heeft bekeken of gewijzigd. Dit gaat verder dan de algemene logging-eisen van ISO 27001.
Toegang op basis van behandelrelatie In de zorg mag alleen iemand met een behandelrelatie toegang hebben tot patiëntgegevens. Dit principe moet in je toegangsbeheer zijn verankerd.
Medische apparatuur Medische apparatuur met netwerkverbinding valt ook onder informatiebeveiliging. NEN 7510 vraagt hier specifieke aandacht voor.
Patiëntrechten Patiënten hebben recht op inzage en informatie over wie hun gegevens heeft bekeken. Je systeem moet dit ondersteunen.
Gegevensuitwisseling in de keten De zorg werkt in ketens. NEN 7512 specificeert de vertrouwensbasis voor uitwisseling met andere zorgpartijen.
Wat identiek is
De managementeisen zijn nagenoeg gelijk. Beide normen vragen om context en scope bepalen, beleid vaststellen, risicoanalyse uitvoeren, maatregelen implementeren, mensen trainen, monitoren en verbeteren.
Als je één van beide hebt, heb je een solide basis voor de ander.
Wanneer kies je NEN 7510?
Kies NEN 7510 als je een zorgaanbieder bent: ziekenhuis, huisarts, apotheek, GGZ, verpleeghuis, thuiszorg. De norm is specifiek voor jouw sector en wordt verwacht door toezichthouders en samenwerkingspartners.
Kies NEN 7510 als je diensten levert aan de zorg en je klanten het eisen. Grote zorginstellingen vragen steeds vaker NEN 7510 van hun IT-leveranciers, softwareontwikkelaars en beheerpartijen.
Kies NEN 7510 als je valt onder Nederlandse zorgwetgeving. De norm wordt gezien als de maatstaf voor “passende maatregelen” in de zin van de wet.
Wanneer kies je ISO 27001?
Kies ISO 27001 als je buiten de zorg opereert of de zorg slechts een klein deel van je klanten vormt. ISO 27001 is breder toepasbaar en geeft geen onnodige zorgspecifieke ballast.
Kies ISO 27001 als je internationale klanten hebt. ISO 27001 wordt wereldwijd herkend. NEN 7510 is alleen bekend in Nederland.
Kies ISO 27001 als je al andere ISO-normen hebt en wilt integreren. ISO 27001 past naadloos in een managementsysteem met ISO 9001, ISO 14001 en andere normen.
Wanneer kies je beide?
Sommige organisaties hebben beide nodig. Dit is logisch als je een zorgorganisatie bent die ook diensten levert buiten de zorg, als IT-leverancier met zowel zorgklanten als niet-zorgklanten, of wanneer je internationale erkenning nodig hebt én moet voldoen aan Nederlandse zorgwetgeving.
Als je beide wilt, kun je ze efficiënt combineren. De overlap is zo groot dat je met één geïntegreerd systeem aan beide normen kunt voldoen.
Beide certificeringen combineren
Eén systeem, twee certificaten
Je hoeft geen twee aparte systemen te bouwen. Start met de basis die beide normen delen: het managementsysteem volgens de High Level Structure. Voeg daar de ISO 27001 Annex A maatregelen aan toe. En completeer met de zorgspecifieke aanvullingen van NEN 7510.
Het resultaat is één geïntegreerd informatiebeveiligingsmanagementsysteem dat aan beide normen voldoet.
Gecombineerde audit
Kies een certificerende instantie die beide normen aanbiedt. Je kunt de audits combineren: één auditor beoordeelt je systeem tegen beide normen. De auditdagen overlappen grotendeels, dus je bespaart tijd en geld.
Niet alle instanties mogen beide normen certificeren. Check of de instantie geaccrediteerd is voor zowel ISO 27001 als NEN 7510.
Kosten en tijd
Een gecombineerde certificering kost niet het dubbele. Door de grote overlap reken je op ongeveer 30-50% extra kosten en tijd bovenop een enkele certificering. Je documentatie is geïntegreerd, de voorbereiding is efficiënter.
Conversie van ISO 27001 naar NEN 7510
Heb je al ISO 27001 en wil je NEN 7510 erbij? De stap is relatief klein.
Je hebt al het managementsysteem, de risicoanalyse, de maatregelen en de verbetercyclus. Wat je toevoegt zijn de zorgspecifieke aanvullingen.
Stap 1: Analyseer de delta. Welke NEN 7510-eisen heb je nog niet afgedekt? Focus op logging (NEN 7513), toegang op basis van behandelrelatie, medische apparatuur en patiëntrechten.
Stap 2: Pas je risicoanalyse aan. Zorg dat patiëntgegevens expliciet zijn meegenomen en dat de zorgspecifieke risico’s zijn beoordeeld.
Stap 3: Update je Verklaring van Toepasselijkheid met de aanvullende maatregelen uit NEN 7510-2.
Stap 4: Implementeer de ontbrekende maatregelen. Dit is typisch logging, aanpassingen in toegangsbeheer en documentatie van patiëntrechten.
Stap 5: Vraag de NEN 7510 audit aan. De auditor kan zich focussen op de delta ten opzichte van ISO 27001.
Reken op 2-4 maanden extra doorlooptijd en 20-30% extra kosten bovenop de ISO 27001 certificering.
Conversie van NEN 7510 naar ISO 27001
Andersom werkt vergelijkbaar. Met NEN 7510 heb je al een compleet informatiebeveiligingsmanagementsysteem. De structuur voldoet aan de ISO 27001 eisen.
Wat je checkt zijn de generieke ISO 27001 eisen die niet zorgspecifiek zijn. In de praktijk zijn er weinig gaps. De meeste organisaties met NEN 7510 voldoen al grotendeels aan ISO 27001.
De audit kan zich focussen op het bevestigen dat je generieke maatregelen ook buiten de zorgcontext werken.
Erkenning door opdrachtgevers
In Nederland
Nederlandse zorgorganisaties en toezichthouders verwachten NEN 7510. De IGJ, zorgverzekeraars en grote zorginstellingen kennen de norm en accepteren hem als bewijs.
ISO 27001 wordt ook geaccepteerd, maar een auditor of toezichthouder kan aanvullend vragen naar de zorgspecifieke aspecten die NEN 7510 wel en ISO 27001 niet expliciet afdekt.
Internationaal
Buiten Nederland is NEN 7510 onbekend. Internationale opdrachtgevers, ook in de zorg, vragen om ISO 27001.
Als je internationaal werkt, heb je ISO 27001 nodig voor erkenning. NEN 7510 voegt dan toe voor je Nederlandse zorgklanten.
Samenvatting: wanneer welke norm?
| Situatie | Advies |
|---|---|
| Zorgaanbieder in Nederland | NEN 7510 |
| IT-leverancier alleen aan zorg | NEN 7510 |
| IT-leverancier aan zorg én andere sectoren | Beide |
| Internationaal actief in zorg | Beide (ISO voor erkenning, NEN voor NL) |
| Geen zorgactiviteiten | ISO 27001 |
Meer informatie
- Wat is ISO 27001? - Introductie tot de internationale norm
- ISO 27001 vs NEN 7510 - Vergelijking vanuit ISO-perspectief
- Eisen van NEN 7510 - Wat vraagt de norm?
- Stappenplan NEN 7510 - Hoe begin je?