Informatiebeveiliging

NEN 7510

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. Hij is gebaseerd op ISO 27001, met aanvullende eisen specifiek voor medische gegevens. Voor zorginstellingen is hij geen optionele extra: hij is wettelijk verankerd in de Wabvpz en wordt door zorgverzekeraars en toezichthouders gevraagd.

Aan de slag met NEN 7510? Normity ondersteunt de norm volledig. Inclusief koppeling met ISO 27001-maatregelen voor zorgorganisaties die beide certificaten willen behalen zonder dubbel werk.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity en NEN 7510

Normity helpt je eenvoudig op weg met de NEN 7510. Vanzelfsprekend ondersteunt onze software alles wat je nodig hebt: van normenkaders, dreigingsmodellen, risicoanalyse en documentatie tot het vastleggen van jouw organisatie, het beheren van assets en het plannen van activiteiten. En nog veel meer. Niet voor niets staan wij voor grip op kwaliteit. Daarnaast staan onze adviseurs jou graag bij met hun expertise. Bijvoorbeeld bij het uitvoeren van een nulmeting of interne audit. Wij horen graag van je!

Informatiebeveiliging

NEN 7510 bestaat uit drie delen: 7510-1 (eisen aan het managementsysteem), 7510-2 (concrete maatregelen) en 7510-3 (audit- en assessmenthandvatten). De norm is in de basis ISO 27001 plus een set zorgspecifieke aanvullingen. Denk aan eisen rond medische dossiers, omgang met behandelrelaties, en logging van wie wanneer welke patiëntgegevens raadpleegde.

Voor wie is NEN 7510 verplicht?

  • ziekenhuizen en behandelcentra
  • huisartspraktijken en eerstelijnszorg
  • GGZ-instellingen en jeugdhulpaanbieders
  • thuiszorg, ouderenzorg en gehandicaptenzorg
  • leveranciers van zorginformatiesystemen (EPD, ECD, etc.)

In de praktijk is NEN 7510 voor veel zorginstellingen een grote stap. Niet omdat de eisen zelf zo bijzonder zijn, maar omdat informatiebeveiliging in de zorg historisch lager op de prioriteitenlijst stond dan elders. Daar komt sinds enkele jaren verandering in — mede door incidenten met datalekken en door de toenemende focus van de Inspectie Gezondheidszorg en Jeugd.

Veel zorgorganisaties combineren NEN 7510 met ISO 27001 of HKZ. Dat is logisch: de overlap is groot, en je voorkomt dat je drie keer hetzelfde proces vastlegt voor drie verschillende auditors. Normity ondersteunt deze combinaties één keer goed, met onderlinge mapping tussen de normen.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

RAVIB inzetten bij de risicoanalyse

RAVIB is een dreigingsmodel dat je gestructureerd door een risicoanalyse voor informatiebeveiliging loodst, met standaarddreigingen die nauw aansluiten bij ISO 27002 en de BIO. In dit artikel laten we zien hoe je het model inzet, welke stappen je zet van dreiging naar maatregel en wat de voordelen zijn.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Het verschil tussen ISO 27001 en ISO 27002

ISO 27001 is de certificeerbare managementnorm voor informatiebeveiliging; ISO 27002 is de bijbehorende praktijkrichtlijn met concrete beheersmaatregelen. Je certificeert tegen 27001, maar gebruikt 27002 om invulling te geven aan de maatregelen uit Annex A. In dit artikel leggen we het verschil uit en wanneer je welke norm gebruikt.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

4-O-systematiek

De 4-O-systematiek is een methodiek om afwijkingen structureel aan te pakken op basis van vier O's: Oorzaak, Omvang, Oplossing en Operationaliteit. Je analyseert niet alleen wat er misging, maar ook hoe breed het probleem is en of je oplossing écht werkt. In dit artikel leggen we de aanpak uit.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Bedieningsprocedure

Annex 12.1.1 van ISO 27001 vraagt om bedieningsprocedures: documenten die beschrijven hoe je ICT-systemen dagelijks veilig bedient, beheert en onderhoudt. Denk aan back-up-routines, toegangsbeheer of incidentafhandeling. In dit artikel leggen we uit wat een bedieningsprocedure precies is en hoe je er een opstelt die écht gebruikt wordt.

Marcel van Baren
Normity - Afbeelding - Hoofdafbeelding

ISMS

Een ISMS (Information Security Management System) is géén softwarepakket, maar een systematische manier waarop een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering volgens PDCA. Software zoals Normity ondersteunt dat, maar ís het niet. In dit artikel lees je wat een ISMS precies is en waarom je er een nodig hebt.

Marcel van Langen

Veelgestelde vragen over NEN 7510

De vragen die we het vaakst krijgen over NEN 7510, met korte en feitelijke antwoorden.

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm is gebaseerd op ISO 27001 en ISO 27002, aangevuld met zorgspecifieke eisen rondom patiëntgegevens, medisch beroepsgeheim, elektronische cliëntdossiers en toegang tot gezondheidsinformatie. NEN 7510 bestaat uit NEN 7510-1 (managementsysteem) en NEN 7510-2 (controls).

NEN 7510 is wettelijk verplicht voor alle zorgaanbieders in Nederland die patiëntgegevens verwerken, op grond van het Besluit elektronische gegevensverwerking door zorgaanbieders. Dat geldt voor ziekenhuizen, huisartsen, tandartsen, apothekers, fysiotherapeuten, GGZ-instellingen, thuiszorg en laboratoria. Ook softwareleveranciers aan de zorg krijgen er mee te maken.

NEN 7510 beschrijft het managementsysteem voor informatiebeveiliging in de zorg. NEN 7512 gaat over vertrouwensbasis bij gegevensuitwisseling tussen zorgverleners. NEN 7513 beschrijft logging van toegang tot elektronische patiëntdossiers (EPD's). Samen vormen ze het Nederlandse normenkader voor zorg-ICT-beveiliging.

ISO 27001 is internationaal en generiek. NEN 7510 is Nederlands en zorgspecifiek: de norm neemt de ISO 27001-structuur over en voegt controls toe rondom medisch beroepsgeheim, BSN-gebruik, autorisatiebeheer in EPD's, back-ups van patiëntgegevens en de relatie met AVG en Wgbo (Wet op de geneeskundige behandelingsovereenkomst).

Toepassen is wettelijk verplicht, certificeren niet. In de praktijk eisen steeds meer opdrachtgevers, verzekeraars en partnerorganisaties wel een NEN 7510-certificaat om aan te tonen dat je voldoet. Zorg-softwareleveranciers die data uitwisselen met ziekenhuizen komen zonder certificaat meestal niet binnen.

Een NEN 7510-traject duurt doorgaans negen tot achttien maanden. Organisaties met ISO 27001 kunnen de NEN 7510-uitbreiding in drie tot zes maanden realiseren. Het traject omvat risicoanalyse, opzet van een ISMS met zorgspecifieke controls, implementatie, interne audit en de tweefase externe certificeringsaudit (stage 1 en stage 2).

NEN 7510 en de AVG vullen elkaar aan. De AVG stelt juridische eisen aan de verwerking van persoonsgegevens; NEN 7510 geeft technische en organisatorische invulling voor zorgdata. Een NEN 7510-gecertificeerde zorgaanbieder toont aantoonbaar aan dat passende technische en organisatorische maatregelen (AVG artikel 32) zijn genomen.

Ja — NEN werkt aan een herziening die inhoudelijk in lijn wordt gebracht met ISO 27001:2022 (Bijlage A met 93 controls in vier thema's). Ook worden eisen rondom BSN-gebruik, datalekken-melding, cloudgebruik en medisch specialistische gegevensuitwisseling aangescherpt. Houd de publicatie bij NEN in de gaten voor de definitieve overgangstermijnen.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management