NEN 7510 vs ISO 27001: het verschil voor de zorg
Zowel NEN 7510 als ISO 27001 gaan over informatiebeveiliging. Het korte antwoord: NEN 7510 is ISO 27001 plus zorgspecifieke eisen voor patiëntgegevens. De IGJ en de Autoriteit Persoonsgegevens kijken in de zorg primair naar NEN 7510. Welke norm past bij jouw organisatie? En kun je ze combineren?
Deze pagina kijkt naar de keuze vanuit een zorgorganisatie. Ben je IT-leverancier die de zorg bedient en twijfelt tussen de twee normen? Lees dan de vergelijking vanuit ISO 27001-perspectief.
Wat is het verschil tussen NEN 7510 en ISO 27001?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging specifiek in de zorg. Het is gebaseerd op ISO 27001, maar toegespitst op patiëntgegevens.
ISO 27001 is de internationale norm voor informatiebeveiliging, toepasbaar in elke sector. Het biedt een breed raamwerk zonder sectorspecifieke eisen.
| Aspect | NEN 7510 | ISO 27001 |
|---|---|---|
| Scope | Zorgsector | Alle sectoren |
| Herkomst | Nederlands (NEN) | Internationaal (ISO) |
| Focus | Patiëntgegevens | Informatie algemeen |
| Wettelijke basis | Ja, via zorgwetgeving | Geen |
| Internationale erkenning | Beperkt (Nederland) | Wereldwijd |
| Logging-eisen | Specifiek via NEN 7513 | Algemeen |
| Toegangscontrole | Op basis van behandelrelatie | Risicogebaseerd |
| Certificaat | NEN 7510-certificaat | ISO/IEC 27001-certificaat |
Kortom: ISO 27001 is het fundament, NEN 7510 bouwt daar de zorgspecifieke verdieping op. Wie de zorg bedient, mist met alleen ISO 27001 een aantal eisen die toezichthouders en zorgklanten wél verwachten.
Wat is de overlap tussen NEN 7510 en ISO 27001?
NEN 7510 is geen losse norm. Het is gebouwd op ISO 27001. De structuur is identiek: dezelfde hoofdstukken, dezelfde terminologie, grotendeels dezelfde eisen. Ongeveer 80% overlapt.
De overlap zit vooral in het managementsysteem. Beide normen vragen je om context en scope te bepalen, beleid vast te stellen, een risicoanalyse uit te voeren, maatregelen te kiezen, mensen te trainen, te monitoren en te verbeteren. Die hele machinerie is identiek.
Ook veel beheersmaatregelen overlappen. Toegangsbeheer, encryptie, back-ups, incidentbeheer, leveranciersafspraken: dat staat in beide normen. Een huisartsenpraktijk die ISO 27001 al netjes heeft ingeregeld, heeft dus al het overgrote deel van NEN 7510 staan.
| Onderdeel | In ISO 27001? | In NEN 7510? |
|---|---|---|
| Managementsysteem (HLS) | Ja | Ja, identiek |
| Risicoanalyse en risicobehandeling | Ja | Ja, identiek |
| Verklaring van Toepasselijkheid | Ja | Ja, met zorgmaatregelen |
| Generieke beheersmaatregelen | Ja | Ja |
| Logging toegang patiëntdossier | Algemeen | Specifiek (NEN 7513) |
| Toegang op behandelrelatie | Nee | Ja |
| Beveiliging medische apparatuur | Niet expliciet | Ja |
| Patiëntrechten op inzage | Nee | Ja |
De resterende 20% is de zorgspecifieke verdieping. Die maakt het verschil tussen “informatie beveiligen” en “patiëntgegevens beveiligen”.
Wat voegt NEN 7510 toe aan ISO 27001?
De basis van ISO 27001 wordt aangevuld met regels die specifiek relevant zijn voor de bescherming van patiëntgegevens.
Logging van toegang tot patiëntgegevens NEN 7513 specificeert dat je moet vastleggen wie wanneer welke patiëntgegevens heeft bekeken of gewijzigd. Dit gaat verder dan de algemene logging-eisen van ISO 27001.
Toegang op basis van behandelrelatie In de zorg mag alleen iemand met een behandelrelatie toegang hebben tot patiëntgegevens. Dit principe moet in je toegangsbeheer zijn verankerd.
Medische apparatuur Medische apparatuur met netwerkverbinding valt ook onder informatiebeveiliging. NEN 7510 vraagt hier specifieke aandacht voor.
Patiëntrechten Patiënten hebben recht op inzage en informatie over wie hun gegevens heeft bekeken. Je systeem moet dit ondersteunen.
Gegevensuitwisseling in de keten De zorg werkt in ketens. NEN 7512 specificeert de vertrouwensbasis voor uitwisseling met andere zorgpartijen.
Is ISO 27001 voldoende voor de zorg of heb je NEN 7510 nodig?
Dit is de vraag waar veel zorgorganisaties op vastlopen. Het eerlijke antwoord: ISO 27001 is een sterke basis, maar voor de zorg meestal niet voldoende.
Toezichthouders en grote zorgklanten verwachten NEN 7510. De Wabvpz en de IGJ gebruiken NEN 7510 als de maatstaf voor “passende maatregelen”. Met alleen ISO 27001 mis je de logging van toegang tot patiëntdossiers (via NEN 7513), de toegang op basis van behandelrelatie en de patiëntrechten. Precies de punten die bij een datalek in de zorg het zwaarst wegen.
Een voorbeeld: een softwareleverancier voor huisartsen had ISO 27001. Toch vroeg een grote zorggroep om NEN 7510, omdat hun verwerkersovereenkomst de zorgspecifieke logging-eisen verplicht stelde. ISO 27001 dekte dat niet aantoonbaar af.
Vuistregel: werk je structureel met patiëntgegevens, dan is NEN 7510 het uitgangspunt. ISO 27001 voegt iets toe als je daarnaast internationale of niet-zorgklanten bedient.
Wanneer kies je NEN 7510 en wanneer ISO 27001?
De keuze hangt af van je klanten en je markt. Hieronder per situatie het advies.
Kies NEN 7510 als je een zorgaanbieder bent: ziekenhuis, huisarts, apotheek, GGZ, verpleeghuis, thuiszorg. De norm is specifiek voor jouw sector en wordt verwacht door toezichthouders en samenwerkingspartners. Kies NEN 7510 ook als je diensten levert aan de zorg en je klanten het eisen, of als je valt onder Nederlandse zorgwetgeving.
Kies ISO 27001 als je buiten de zorg opereert of de zorg slechts een klein deel van je klanten vormt. ISO 27001 is breder toepasbaar en geeft geen onnodige zorgspecifieke ballast. Kies ISO 27001 ook als je internationale klanten hebt, want NEN 7510 is alleen bekend in Nederland. En kies ISO 27001 als je al andere ISO-normen hebt: het past naadloos in een managementsysteem met ISO 9001 of ISO 14001.
| Situatie | Advies |
|---|---|
| Zorgaanbieder, alleen Nederland | NEN 7510 |
| IT-leverancier, alleen zorgklanten | NEN 7510 |
| Zorg én niet-zorgklanten | Beide |
| Internationaal actief in de zorg | Beide |
| Geen patiëntgegevens, geen zorg | ISO 27001 |
Kun je NEN 7510 en ISO 27001 combineren?
Ja, en voor veel organisaties is dat de slimste route. Het is logisch als je een zorgorganisatie bent die ook diensten levert buiten de zorg, een IT-leverancier met zowel zorgklanten als niet-zorgklanten, of als je internationale erkenning nodig hebt én moet voldoen aan Nederlandse zorgwetgeving.
Je hoeft geen twee aparte systemen te bouwen. De overlap is zo groot dat één geïntegreerd systeem aan beide normen voldoet. Start met de basis die beide delen: het managementsysteem volgens de High Level Structure. Voeg daar de ISO 27001 Annex A maatregelen aan toe. En completeer met de zorgspecifieke aanvullingen van NEN 7510.
Het resultaat is één informatiebeveiligingsmanagementsysteem met twee certificaten.
Gecombineerde audit
Kies een certificerende instantie die beide normen aanbiedt. Je kunt de audits combineren: één auditor beoordeelt je systeem tegen beide normen. De auditdagen overlappen grotendeels, dus je bespaart tijd en geld.
Niet alle instanties mogen beide normen certificeren. Check of de instantie geaccrediteerd is voor zowel ISO 27001 als NEN 7510.
Kosten en tijd
Een gecombineerde certificering kost niet het dubbele. Door de grote overlap reken je op ongeveer 30-50% extra kosten en tijd bovenop een enkele certificering. Je documentatie is geïntegreerd, de voorbereiding is efficiënter.
Conversie van ISO 27001 naar NEN 7510
Heb je al ISO 27001 en wil je NEN 7510 erbij? De stap is relatief klein.
Je hebt al het managementsysteem, de risicoanalyse, de maatregelen en de verbetercyclus. Wat je toevoegt zijn de zorgspecifieke aanvullingen.
Stap 1: Analyseer de delta. Welke NEN 7510-eisen heb je nog niet afgedekt? Focus op logging (NEN 7513), toegang op basis van behandelrelatie, medische apparatuur en patiëntrechten.
Stap 2: Pas je risicoanalyse aan. Zorg dat patiëntgegevens expliciet zijn meegenomen en dat de zorgspecifieke risico’s zijn beoordeeld.
Stap 3: Update je Verklaring van Toepasselijkheid met de aanvullende maatregelen uit NEN 7510-2.
Stap 4: Implementeer de ontbrekende maatregelen. Dit is typisch logging, aanpassingen in toegangsbeheer en documentatie van patiëntrechten.
Stap 5: Vraag de NEN 7510 audit aan. De auditor kan zich focussen op de delta ten opzichte van ISO 27001.
Reken op 2-4 maanden extra doorlooptijd en 20-30% extra kosten bovenop de ISO 27001 certificering.
Conversie van NEN 7510 naar ISO 27001
Andersom werkt vergelijkbaar. Met NEN 7510 heb je al een compleet informatiebeveiligingsmanagementsysteem. De structuur voldoet aan de ISO 27001 eisen.
Wat je checkt zijn de generieke ISO 27001 eisen die niet zorgspecifiek zijn. In de praktijk zijn er weinig gaps. De meeste organisaties met NEN 7510 voldoen al grotendeels aan ISO 27001.
De audit kan zich focussen op het bevestigen dat je generieke maatregelen ook buiten de zorgcontext werken.
Verschillen in de praktijk: waar merk je het?
Op papier lijken de normen sterk op elkaar. In de dagelijkse praktijk merk je het verschil op een paar concrete plekken.
Toegangsbeheer. Onder ISO 27001 regel je toegang op basis van risico en functie. Onder NEN 7510 moet toegang tot een patiëntdossier herleidbaar zijn naar een behandelrelatie. Een doktersassistent kan niet zomaar elk dossier openen, alleen die van patiënten in zijn werkproces.
Logging. ISO 27001 vraagt logging in algemene zin. NEN 7510 verwijst naar NEN 7513: elke keer dat iemand een dossier opent, wijzigt of print, wordt dat vastgelegd en is het opvraagbaar door de patiënt.
De auditor. Een ISO 27001-auditor toetst je managementsysteem. Een NEN 7510-auditor vraagt door op zorgspecifieke punten: laat je logging zien, hoe regel je de behandelrelatie, hoe beveilig je infuuspompen of beademingsapparatuur in het netwerk?
Verwerkersovereenkomsten. Zorgklanten verwijzen in hun contracten naar NEN 7510, niet naar ISO 27001. Lever je software of beheer aan de zorg, dan lopen deals soms vast op exact dit punt. Lees meer in NEN 7510 voor IT-leveranciers.
Erkenning door opdrachtgevers
In Nederland
Nederlandse zorgorganisaties en toezichthouders verwachten NEN 7510. De IGJ, zorgverzekeraars en grote zorginstellingen kennen de norm en accepteren hem als bewijs.
ISO 27001 wordt ook geaccepteerd, maar een auditor of toezichthouder kan aanvullend vragen naar de zorgspecifieke aspecten die NEN 7510 wel en ISO 27001 niet expliciet afdekt.
Internationaal
Buiten Nederland is NEN 7510 onbekend. Internationale opdrachtgevers, ook in de zorg, vragen om ISO 27001.
Als je internationaal werkt, heb je ISO 27001 nodig voor erkenning. NEN 7510 voegt dan toe voor je Nederlandse zorgklanten.
Conclusie: NEN 7510 of ISO 27001?
Werk je in of voor de Nederlandse zorg, dan is NEN 7510 het uitgangspunt. ISO 27001 is een sterke basis, maar dekt de zorgspecifieke eisen niet aantoonbaar af. Bedien je daarnaast niet-zorgklanten of buitenlandse markten, combineer dan beide normen in één systeem. Begin met het stappenplan en lees wat de eisen van NEN 7510 inhouden.
Meer informatie
- Wat is ISO 27001? - Introductie tot de internationale norm
- ISO 27001 vs NEN 7510 - Vergelijking vanuit ISO-perspectief
- Eisen van NEN 7510 - Wat vraagt de norm?
- Stappenplan NEN 7510 - Hoe begin je?
- Kosten en tijdlijn NEN 7510 - Wat kost het?