Compliance

NEN 7510: wat is het en voor wie geldt het?

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg, gebouwd op ISO 27001 met zorgspecifieke eisen voor het verwerken van patiëntgegevens. Aantoonbaar voldoen aan NEN 7510 is voor zorgaanbieders verplicht via de Wabvpz, het certificaat zelf niet.

De norm draait om een managementsysteem voor informatiebeveiliging (ISMS): beleid, processen en maatregelen die samen de risico’s rond zorgdata beheersen. NEN 7510 bestaat uit twee delen, NEN 7510-1 voor het managementsysteem en NEN 7510-2 voor de beheersmaatregelen.

Aantoonbaar voldoen aan NEN 7510 is voor zorgaanbieders verplicht via de Wabvpz. Het certificaat zelf is niet wettelijk verplicht, maar opdrachtgevers en ketenpartners vragen er in de praktijk wel om.

De norm geldt voor zorgaanbieders die elektronisch persoonsgegevens verwerken, van ziekenhuizen en huisartsen tot ggz-instellingen, en voor de IT-leveranciers die zorgdata verwerken.

In december 2024 is de norm herzien tot NEN 7510:2024, afgestemd op de nieuwste ISO 27001:2022 en het zorgnormontwerp ISO/IEC DIS 27799 (NEN, 2024). De Inspectie Gezondheidszorg en Jeugd houdt toezicht op naleving (Legalz, 2025).

Begin daarom met een nulmeting van je huidige informatiebeveiliging, zodat je weet welke maatregelen al voldoen aan de norm en welke nog ontbreken.

Wat is NEN 7510?

NEN 7510 is de Nederlandse norm die eisen stelt aan informatiebeveiliging in de zorg. De norm beschrijft hoe zorgorganisaties hun informatiebeveiliging inrichten, met de nadruk op het managementsysteem (ISMS) en op concrete beheersmaatregelen voor het beschermen van patiëntgegevens.

De norm is afgeleid van ISO 27001, de internationale norm voor informatiebeveiliging, en voegt daar eisen aan toe die specifiek zijn voor de gevoeligheid van medische gegevens. Daardoor sluit NEN 7510 inhoudelijk grotendeels aan op ISO 27001, maar is hij toegespitst op de zorg.

NEN 7510 bestaat uit twee delen. NEN 7510-1 stelt de eisen aan het managementsysteem; NEN 7510-2 bevat de beheersmaatregelen. Twee verwante normen vullen NEN 7510 aan: NEN 7512 voor veilige gegevensuitwisseling tussen zorgpartijen en NEN 7513 voor het loggen van toegang tot patiëntdossiers.

Wat is er nieuw in NEN 7510:2024?

NEN 7510:2024 is de herziening van december 2024 en de actuele versie. Die versie is afgestemd op de nieuwste ISO/IEC 27001:2022 en 27002:2022 en op het internationale zorgnormontwerp ISO/IEC DIS 27799, met aanvullende eisen voor de zorgsector (NEN, 2024). Organisaties met een certificaat tegen de oude versie maken in de transitieperiode de overstap naar NEN 7510:2024.

Voor wie geldt NEN 7510?

NEN 7510 geldt voor elke organisatie die elektronisch met zorggegevens werkt. Dat valt in twee groepen uiteen.

  • Zorgaanbieders: ziekenhuizen, huisartsenpraktijken, ggz-instellingen, apotheken, klinieken en andere zorgverleners die patiëntgegevens verwerken.
  • Ketenpartners in de zorg: IT-leveranciers, leveranciers van elektronische patiëntdossiers, clouddiensten en andere partijen die namens of voor zorgaanbieders zorgdata verwerken.

Die tweede groep is belangrijk: ook organisaties die zelf geen zorg verlenen, krijgen met NEN 7510 te maken zodra zij zorgdata verwerken. Zorginstellingen leggen de norm via inkoopvoorwaarden en verwerkersovereenkomsten op aan hun leveranciers. Een softwareleverancier of IT-dienstverlener in de zorgketen ontkomt daardoor in de praktijk niet aan de eisen.

Is NEN 7510 verplicht?

Hier zit een onderscheid dat veel verwarring geeft: aantoonbaar voldoen aan NEN 7510 is verplicht, maar het certificaat zelf niet. Het onderscheid op een rij:

  • De norm is verplicht via de wet. Het Besluit elektronische gegevensverwerking, dat hoort bij de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), schrijft voor dat zorgaanbieders moeten voldoen aan NEN 7510, NEN 7512 en NEN 7513 bij elektronische gegevensverwerking (BM Group, 2025).
  • Het certificaat is niet verplicht. De wet en de norm eisen geen certificaat: je moet aantoonbaar voldoen, niet per se gecertificeerd zijn. Aantoonbaarheid kan ook via een onafhankelijke audit (Legalz, 2025).
  • In de praktijk wordt het afgedwongen. Ziekenhuizen en zorgverzekeraars vragen leveranciers van patiëntdossiers en clouddiensten vaak wél om het certificaat, waardoor het feitelijk een voorwaarde voor samenwerking is (Computable, 2025).

Toezicht op de naleving ligt bij de Inspectie Gezondheidszorg en Jeugd (IGJ), die ook onderzoek doet na beveiligingsincidenten in de zorg (Legalz, 2025).

Waarom NEN 7510?

NEN 7510 levert zorgorganisaties drie dingen op. Het eerste is naleving van de wet: de norm is de erkende manier om aan de beveiligingseisen van de Wabvpz en de AVG te voldoen, die wel resultaten voorschrijven maar niet de invulling.

Het tweede is vertrouwen en markttoegang. Patiënten, verzekeraars en zorgpartners verwachten aantoonbare beveiliging, en leveranciers zonder certificaat lopen het risico uit contracten en samenwerkingen te vallen.

Het derde is risicobeheersing. Zorgdata is een geliefd doelwit: bij een hack op een laboratorium werden mogelijk de gegevens van bijna 1 miljoen deelnemers aan een bevolkingsonderzoek ingezien (Legalz, 2025). Een werkend ISMS maakt die risico’s beheersbaar in plaats van afhankelijk van toeval.

Hoe werkt NEN 7510-certificering?

NEN 7510-certificering verloopt in een vast traject van inrichting, audit en onderhoud, vergelijkbaar met ISO 27001. De stappen op hoofdlijnen:

  • 1. Scope bepalen: vastleggen welke processen, systemen en gegevens onder het ISMS vallen.
  • 2. Risicoanalyse: de risico’s rond zorgdata systematisch beoordelen. De uitkomst bepaalt welke beheersmaatregelen nodig zijn.
  • 3. Maatregelen en verklaring van toepasselijkheid: de relevante maatregelen uit NEN 7510-2 inrichten en vastleggen welke wel en niet van toepassing zijn.
  • 4. Fase 1- en fase 2-audit: een geaccrediteerde certificerende instantie beoordeelt eerst de documentatie en daarna de werking in de praktijk.
  • 5. Onderhoud: jaarlijkse controle-audits houden het certificaat geldig; na drie jaar volgt hercertificering.

De certificering wordt afgegeven door een geaccrediteerde certificerende instantie. Een adviespartij of IT-dienstverlener mag het traject begeleiden en de maatregelen inrichten, maar mag zijn eigen werk niet certificeren: dat scheidt de uitvoering van de toetsing.

Wat kost een NEN 7510-certificering?

De kosten van NEN 7510-certificering bestaan uit twee delen: het inrichten van het ISMS, intern of met begeleiding, en de audit door de certificerende instantie, die per auditdag rekent. Beide schalen mee met de omvang en complexiteit van de organisatie en met de huidige staat van de informatiebeveiliging.

Belangrijke begrippen uit NEN 7510

De norm gebruikt vakbegrippen die in elk zorgtraject terugkomen. De acht belangrijkste, kort uitgelegd:

  • ISMS: Information Security Management System, het managementsysteem van beleid, processen en maatregelen waarmee je informatiebeveiliging structureel beheert. NEN 7510-1 stelt de eisen aan dit systeem.
  • Wabvpz: de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, die de AVG aanvult voor de zorg en, via het Besluit elektronische gegevensverwerking, het voldoen aan NEN 7510 verplicht stelt.
  • NEN 7512: de Nederlandse norm voor veilige gegevensuitwisseling tussen zorgpartijen, een aanvulling op NEN 7510.
  • NEN 7513: de Nederlandse norm voor het loggen van toegang tot elektronische patiëntdossiers, een aanvulling op NEN 7510.
  • Verklaring van toepasselijkheid: het document dat vastlegt welke beheersmaatregelen van toepassing zijn, hoe ze zijn ingericht en waarom eventuele maatregelen zijn uitgesloten.
  • Risicoanalyse: de systematische beoordeling van informatiebeveiligingsrisico’s die bepaalt welke maatregelen je neemt. Dit is de kern van het ISMS.
  • IGJ: de Inspectie Gezondheidszorg en Jeugd, de toezichthouder die controleert of zorgaanbieders voldoen aan onder meer NEN 7510.
  • ISO/IEC 27799: de internationale richtlijn voor informatiebeveiliging in de gezondheidszorg, waarop de zorgspecifieke eisen van NEN 7510 zijn afgestemd.

Hulpmiddelen voor NEN 7510

Voor de voorbereiding op NEN 7510 bestaan vier hulpmiddelen, van licht naar zwaar:

  • NEN 7510-zelfscan: bepaal in enkele minuten hoe ver je organisatie is en welke maatregelen nog ontbreken.
  • NEN 7510-checklist: de eisen uit NEN 7510-1 en de beheersmaatregelen uit NEN 7510-2 als afvinklijst.
  • Nulmeting (gap-analyse): een meting van je huidige situatie tegen de norm, met een overzicht van de gaten.
  • Stappenplan: de route van scope tot certificaat in vaste fases.

NEN 7510 vergeleken met andere normen en wetten

NEN 7510 staat niet op zichzelf: de norm bouwt voort op ISO 27001 en overlapt met NIS2 en de AVG. Eerst de twee grote vergelijkingen, daarna de AVG.

NEN 7510 vs ISO 27001

Het verschil tussen NEN 7510 en ISO 27001 is reikwijdte. ISO 27001 is de internationale, sectoroverstijgende norm voor informatiebeveiliging; NEN 7510 is de Nederlandse vertaling daarvan, toegespitst op de zorg met aanvullende eisen voor patiëntgegevens.

Omdat NEN 7510 op ISO 27001 is gebouwd, overlapt het grootste deel. Wie NEN 7510 inricht, voldoet daarmee grotendeels aan ISO 27001; andersom mist een ISO 27001-organisatie de zorgspecifieke eisen. Een zorgorganisatie kan beide combineren in één managementsysteem, zodat ze met één traject aan allebei voldoet.

NEN 7510 vs NIS2

Het verschil tussen NEN 7510 en NIS2 is dat NEN 7510 een norm is en NIS2 een wet. De zorg valt onder NIS2: de gezondheidszorg is een sector van hoog kritiek belang in de richtlijn, dus grotere zorgaanbieders krijgen met beide te maken.

De kaders versterken elkaar. NEN 7510 levert het managementsysteem en de maatregelen waarmee een zorgorganisatie de NIS2-zorgplicht grotendeels invult; NIS2 voegt daar de meldplicht binnen 24 uur, de registratieplicht en de bestuursverantwoordelijkheid aan toe die NEN 7510 niet als wettelijke verplichting kent. Een zorgorganisatie die NEN 7510 op orde heeft, heeft een stevige voorsprong op NIS2.

NEN 7510 en de AVG

AVG: de privacywetgeving die passende beveiliging van persoonsgegevens eist. De AVG schrijft het resultaat voor, niet de invulling; NEN 7510 beschrijft de passende maatregelen specifiek voor de zorg. De Wabvpz vult de AVG aan met sectorregels en verbindt die aan NEN 7510. Voor zorgorganisaties werken AVG, Wabvpz en NEN 7510 daarom als één samenhangend geheel.

Zo helpt ClickOn met NEN 7510

Het grootste deel van de beheersmaatregelen uit NEN 7510-2 is IT-beheer: toegangsbeheer, monitoring, back-up en recovery, encryptie, logging en incidentrespons. Precies het werk dat een managed service provider dagelijks doet, inclusief de bewijsvoering die een auditor of de IGJ wil zien.

ClickOn richt die technische maatregelen in en houdt ze aantoonbaar werkend. De Compliance Sprint brengt de techniek en de bewijsvoering in een vaste periode op orde, tegen een vaste prijs: van nulmeting en gap-analyse naar een audit-klaar systeem. Met compliant werkplekbeheer (PremiumOn) blijft het daarna werken: Microsoft 365-werkplekken ingericht op de ISO 27001-norm, de basis onder NEN 7510, voor €148 per werkplek per maand, zonder lock-in. De norminrichting, het zorgbeleid en de formele audit blijven bij je adviseur en de certificerende instantie; ClickOn levert de technische uitvoering en het bewijs.

Liever het hele vraagstuk uit handen geven? Lees hoe je je voorbereidt op de audit met NEN 7510 audit-readiness, of hoe je NEN 7510 uitbesteedt aan een IT-partner.

Klaar om aan NEN 7510 te beginnen? Start de Compliance Sprint Bekijk compliant werkplekbeheer

Veelgestelde vragen over NEN 7510

Is NEN 7510 wettelijk verplicht?

Aantoonbaar voldoen aan NEN 7510 is voor zorgaanbieders verplicht via het Besluit elektronische gegevensverwerking onder de Wabvpz. Het certificaat zelf is niet wettelijk verplicht: de wet schrijft voor dat je aan de norm voldoet, niet hoe je dat aantoont. Certificering is wel de meest geaccepteerde manier om dat te bewijzen (Legalz, 2025).

Voor wie geldt NEN 7510?

NEN 7510 geldt voor zorgaanbieders die elektronisch persoonsgegevens verwerken, zoals ziekenhuizen, huisartsen, ggz-instellingen en apotheken, en daarnaast voor IT-leveranciers en ketenpartners die zorgdata verwerken. Die laatste groep krijgt de eisen via contracten met zorginstellingen.

Wat is het verschil tussen NEN 7510 en ISO 27001?

NEN 7510 is gebouwd op ISO 27001 en voegt zorgspecifieke eisen toe voor het beschermen van patiëntgegevens. ISO 27001 is internationaal en sectoroverstijgend; NEN 7510 is Nederlands en specifiek voor de zorg. Wie NEN 7510 volgt, voldoet daarmee grotendeels ook aan ISO 27001.

Wat is er nieuw in NEN 7510:2024?

NEN 7510 is in december 2024 herzien. De versie NEN 7510:2024 is afgestemd op de nieuwste ISO/IEC 27001:2022 en 27002:2022 en op het internationale zorgnormontwerp ISO/IEC DIS 27799, met aanvullende eisen voor de zorgsector (NEN, 2024).

Moet je aan NIS2 voldoen als je NEN 7510 hebt?

Een NEN 7510-certificaat dekt niet automatisch NIS2. NEN 7510 vult de zorgplicht van NIS2 grotendeels in, maar NIS2 voegt de meldplicht binnen 24 uur, de registratieplicht en de wettelijke bestuursverantwoordelijkheid toe. Grotere zorgaanbieders die onder NIS2 vallen, moeten die onderdelen apart regelen.

Ardo Hoogeveen

Ardo Hoogeveen · Security Officer

Oprichter, algemeen directeur en security officer van ClickOn. Gespecialiseerd in NIS2 en ISO 27001 ICT-compliance voor het MKB. 25+ audits doorstaan met 100% slagingspercentage.

Bekijk profiel