Skip to Content
NEN 7510Stappenplan

Stappenplan NEN 7510 certificering

Van nul naar NEN 7510  certificaat: dit stappenplan laat zien hoe je het aanpakt. De norm is gratis beschikbaar via NEN Connect  en certificering verloopt via een geaccrediteerde instantie . De route is vergelijkbaar met andere managementsysteemcertificeringen, maar met zorgspecifieke accenten.

Overzicht van het traject

Een NEN 7510 implementatietraject duurt voor de meeste organisaties 6 tot 12 maanden. Kleinere organisaties met een goede uitgangspositie kunnen sneller zijn. Grote, complexe zorgorganisaties hebben meer tijd nodig.

Het traject bestaat uit drie fasen: voorbereiden, implementeren en certificeren. Hieronder werken we elke fase uit.

Fase 1: Voorbereiden

In deze fase bepaal je waar je staat, wat je doel is en hoe je het project gaat aanpakken.

Fase 2: Implementeren

Je bouwt het informatiebeveiligingsmanagementsysteem (ISMS) en implementeert de benodigde maatregelen.

Fase 3: Certificeren

Je laat het systeem draaien, voert interne audits uit en doorloopt de externe certificeringsaudit.

Fase 1: Voorbereiden

Stap 1: Bepaal de scope

Wat valt er binnen je NEN 7510 certificering? Voor veel organisaties is dit de hele organisatie. Maar je kunt ook kiezen voor een specifiek onderdeel, bijvoorbeeld een bepaalde dienst of locatie.

Bij het bepalen van de scope denk je na over welke patiëntgegevens je verwerkt, welke systemen en processen daarbij horen, welke locaties en medewerkers betrokken zijn, en welke leveranciers toegang hebben tot je systemen.

De scope moet logisch afgebakend zijn. Een auditor accepteert geen kunstmatige grenzen om lastige onderdelen buiten te sluiten.

Stap 2: Voer een gap-analyse uit

Waar sta je nu ten opzichte van NEN 7510? Een gap-analyse brengt dit in kaart. Je loopt de eisen van de norm langs en beoordeelt per eis of je er al aan voldoet, gedeeltelijk aan voldoet, of nog niets hebt.

De uitkomst is een overzicht van “gaps”: de punten waar je nog werk hebt. Dit geeft richting aan je implementatieproject en helpt bij het inschatten van de benodigde tijd en resources.

Je kunt een gap-analyse zelf doen met de norm in de hand, of je laat een externe adviseur meekijken. Een externe blik is objectiever, maar kost geld.

NEN biedt een compliance-tool  waarmee je kunt toetsen hoe je ervoor staat. Dit is een handig startpunt voor je gap-analyse.

Stap 3: Zorg voor commitment van de directie

NEN 7510 vraagt expliciet om betrokkenheid van de directie. Dit is geen formaliteit. De directie moet resources vrijmaken, beleid vaststellen en verantwoordelijkheden toewijzen.

Zorg dat de directie begrijpt wat NEN 7510 inhoudt, waarom het belangrijk is en wat het vraagt. Een certificeringstraject zonder directiecommitment strandt vroeg of laat.

Stap 4: Stel een projectteam samen

Wie gaat het traject trekken? Je hebt minimaal een projectleider nodig die het overzicht houdt en voortgang bewaakt. Daarnaast betrek je mensen uit relevante afdelingen: IT, zorgverlening, HR, facilitair.

In kleinere organisaties is dit vaak een beperkte groep of zelfs één persoon met ondersteuning. In grote zorgorganisaties werk je met een projectgroep en stuurgroep.

Overweeg externe ondersteuning als je de expertise niet in huis hebt. Een adviseur kan helpen bij interpretatie van de norm en het opzetten van het systeem.

Stap 5: Maak een projectplan

Op basis van de gap-analyse maak je een projectplan. Welke activiteiten zijn nodig? In welke volgorde? Wie is verantwoordelijk? Wanneer moet het af zijn?

Houd rekening met de certificeringsdatum die je voor ogen hebt. Werk terug naar de startdatum en plan de activiteiten. Bouw slack in voor tegenslagen.

Fase 2: Implementeren

Stap 6: Stel beleid en doelstellingen vast

De directie stelt het informatiebeveiligingsbeleid vast. Dit beleid beschrijft de intenties en richting van de organisatie op het gebied van informatiebeveiliging. Het moet commitment bevatten aan de bescherming van patiëntgegevens en aan continue verbetering.

Formuleer ook concrete doelstellingen. Wat wil je bereiken? Voorbeelden: “Geen datalekken met patiëntgegevens”, “Alle medewerkers getraind in informatiebeveiliging”, “Uptime van kritieke systemen minimaal 99,5%”.

Stap 7: Voer een risicoanalyse uit

De risicoanalyse is het hart van NEN 7510. Je identificeert de risico’s voor de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens. Vervolgens beoordeel je de waarschijnlijkheid en impact van elk risico.

Bij de risicoanalyse denk je aan technische risico’s zoals ransomware, datalekken en systeemuitval. Maar ook aan menselijke risico’s: fouten, onbevoegde toegang, social engineering. En aan fysieke risico’s: brand, inbraak, waterschade.

De uitkomst bepaalt welke maatregelen je moet nemen. Hoge risico’s vragen om sterke maatregelen. Lage risico’s kun je accepteren of met lichtere maatregelen afdekken.

De risicoanalyse is zorgspecifiek. Een datalek met patiëntgegevens heeft andere impact dan een datalek met marketinggegevens. Houd hier rekening mee bij de risicobeoordeling.

Stap 8: Selecteer en implementeer beheersmaatregelen

Op basis van de risicoanalyse selecteer je beheersmaatregelen uit NEN 7510-2. De norm biedt een uitgebreide lijst van mogelijke maatregelen, georganiseerd in categorieën: organisatorisch, menselijk, fysiek en technisch.

Je hoeft niet alles te implementeren. Je kiest de maatregelen die passen bij je risico’s en je situatie. Wel moet je kunnen uitleggen waarom je bepaalde maatregelen wel of niet hebt gekozen. Dit leg je vast in een Verklaring van Toepasselijkheid (VvT).

De implementatie van maatregelen kost vaak de meeste tijd. Technische maatregelen zoals encryptie of toegangsbeheer vragen om configuratie en testing. Organisatorische maatregelen zoals procedures en training vragen om afstemming en communicatie.

Stap 9: Documenteer het systeem

NEN 7510 vraagt om gedocumenteerde informatie. Je legt vast wat je doet en hoe je het doet. Minimaal documenteer je het informatiebeveiligingsbeleid, de scope, de risicoanalyse, de Verklaring van Toepasselijkheid, en de belangrijkste procedures.

Houd de documentatie werkbaar. Het doel is niet om papier te produceren, maar om duidelijk te maken hoe je werkt. Korte, heldere documenten werken beter dan dikke handboeken die niemand leest.

Stap 10: Train medewerkers

Medewerkers moeten weten wat er van hen wordt verwacht op het gebied van informatiebeveiliging. Organiseer bewustzijnstraining voor alle medewerkers. Specifieke functies, zoals systeembeheerders, hebben meer diepgaande training nodig.

Training is geen eenmalige actie. Herhaal periodiek, bijvoorbeeld jaarlijks. Nieuwe medewerkers krijgen training bij indiensttreding.

Stap 11: Implementeer logging en monitoring

NEN 7513 stelt specifieke eisen aan logging in de zorg. Je moet kunnen vastleggen wie wanneer toegang heeft gehad tot welke patiëntgegevens. Dit is essentieel voor verantwoording en incidentonderzoek.

Implementeer logging op je systemen en zorg dat de logs worden bewaard conform de wettelijke bewaartermijnen. Monitor actief op verdachte activiteiten.

Fase 3: Certificeren

Stap 12: Voer interne audits uit

Voordat je de certificeringsaudit aanvraagt, toets je zelf of je systeem werkt. De interne audit controleert of je voldoet aan de eisen van NEN 7510 en aan je eigen procedures.

De interne auditor moet onafhankelijk zijn: je kunt niet je eigen werk auditen. In kleinere organisaties is dit lastig. Een oplossing is om afdelingen elkaar te laten auditen, of een externe auditor in te huren voor de interne audit.

Leg bevindingen vast en pak afwijkingen aan voordat je de externe audit aanvraagt.

Stap 13: Houd een directiebeoordeling

De directie beoordeelt periodiek het functioneren van het ISMS. Dit is een verplicht onderdeel van de norm. In de directiebeoordeling bespreek je de status van het systeem, de resultaten van audits, incidenten, kansen voor verbetering.

De directiebeoordeling levert beslissingen op over aanpassingen aan beleid, resources en doelstellingen.

Stap 14: Kies een certificerende instantie

Niet elke certificerende instantie mag NEN 7510 certificeren. Kies een instantie die geaccrediteerd is door de Raad voor Accreditatie (RvA) voor NEN 7510. Dit garandeert dat de audit voldoet aan de eisen.

Certificerende instanties voor NEN 7510 in Nederland zijn onder andere Kiwa, DNV, TÜV, DEKRA en LRQA. Vraag offertes aan en vergelijk op prijs, ervaring in de zorgsector en beschikbaarheid.

Tip: Vraag naar de achtergrond van de auditor. Een auditor met zorgervaring begrijpt je context beter en kan waardevoller feedback geven.

Stap 15: Doorloop de certificeringsaudit

De certificeringsaudit bestaat uit twee fasen.

Fase 1 is een documentatiebeoordeling. De auditor beoordeelt je documentatie: beleid, risicoanalyse, Verklaring van Toepasselijkheid, procedures. Dit kan vaak op afstand. De auditor bepaalt of je klaar bent voor fase 2.

Fase 2 is de implementatie-audit. De auditor komt op locatie en controleert of je in de praktijk doet wat je hebt gedocumenteerd. Dit gebeurt via interviews met medewerkers, observaties en steekproeven. De auditor kijkt naar bewijs dat het systeem werkt.

Na de audit krijg je een rapport met bevindingen. Bij geen of alleen kleine afwijkingen wordt het certificaat toegekend. Bij grote afwijkingen moet je eerst corrigeren voordat het certificaat kan worden afgegeven.

Stap 16: Onderhoud het certificaat

Het NEN 7510 certificaat is drie jaar geldig. Elk jaar volgt een toezichtaudit waarin de certificerende instantie controleert of je nog steeds voldoet. Na drie jaar volgt een hercertificeringsaudit.

Maar certificering is geen eindpunt. Je moet het systeem blijven onderhouden: risicoanalyses updaten, procedures verbeteren, medewerkers trainen, incidenten afhandelen. Continue verbetering is een kernprincipe van de norm.

Veelgemaakte fouten

Te laat beginnen met de risicoanalyse. De risicoanalyse bepaalt welke maatregelen je nodig hebt. Begin hier vroeg mee, niet halverwege het project.

Documentatie los van de praktijk. Schrijf geen procedures die niemand volgt. Documenteer wat je daadwerkelijk doet, of pas de praktijk aan aan de documentatie.

Onderschatten van training en bewustzijn. Technische maatregelen zijn belangrijk, maar mensen zijn vaak de zwakste schakel. Investeer in training.

Directie niet betrekken. Een ISMS zonder directiecommitment is een papieren tijger. Zorg dat de directie betrokken is en blijft.

Te weinig tijd voor interne audits. De interne audit is je laatste check voordat de externe auditor komt. Gun jezelf tijd om bevindingen op te lossen.

Hulp nodig?

NEN 7510 implementatie kun je zelf doen, maar externe hulp kan waardevol zijn. Een adviseur helpt bij de interpretatie van de norm, het opzetten van het systeem en de voorbereiding op de audit.

Kies een adviseur met aantoonbare ervaring in de zorg en met NEN 7510. Vraag referenties. Een goede adviseur werkt zichzelf overbodig: na het traject kun je het systeem zelf onderhouden.

Volgende stap

Lees meer over de kosten en doorlooptijd van NEN 7510 certificering, of bekijk de eisen van de norm in detail.

Wat is NEN 7510?Kosten en tijdlijn