NEN 7510 checklist: stappenplan voor zorgorganisaties

NEN 7510 checklist

Wat verstaan we onder een ‘NEN 7510 checklist’?

De term NEN 7510 checklist klinkt alsof er een kant-en-klaar document bestaat dat je kunt afvinken. In de praktijk is dat niet zo. De norm zelf is vastgelegd in NEN 7510-1 (eisen) en NEN 7510-2 (maatregelen), en de Nederlandse zorgsector werkt met deze documenten als fundament. Daarbij is de officiële Compliance Tool van NEN Connect gratis beschikbaar. Met die tool kunnen zorgorganisaties een zelfbeoordeling uitvoeren en inzicht krijgen in welke onderdelen al goed geregeld zijn en waar nog hiaten zitten.

Een checklist in deze context gaat dus niet om een lijstje vinkjes, maar om een stappenplan dat organisaties helpt aantoonbaar te voldoen aan de norm. Het gaat van een nulmeting en risicoanalyse, naar het opstellen van een Verklaring van Toepasselijkheid (VvT), en uiteindelijk naar interne audits en certificering. Zo’n aanpak biedt houvast en maakt het eenvoudiger om richting toezichthouders of certificerende instanties bewijs te leveren dat de informatiebeveiliging op orde is.

Het is verstandig om te beseffen dat de scope altijd meer omvat dan alleen IT-systemen. Het primaire zorgproces staat centraal, en dat betekent dat je ook moet kijken naar processen, personeel en leveranciers. Een goede checklist werkt dus als een routekaart door het hele ISMS (Information Security Management System).

Hulp nodig met een BCP?

Onze consultants helpen je graag verder.

Neem contact op

Stap 1: Begrijp de herziening NEN 7510:2024

De herziening van 2024 brengt de norm in lijn met de internationale standaarden ISO/IEC 27001:2022 en 27002:2022. Dat betekent dat de structuur van de eisen en maatregelen is aangepast en dat zorgspecifieke elementen zijn toegevoegd, onder andere via verwijzingen naar ISO 27799. Voor zorginstellingen is dat belangrijk, omdat NEN 7510 niet alleen gaat om algemene informatiebeveiliging, maar om bescherming van patiëntgegevens en de continuïteit van zorgprocessen.

De herziening benadrukt ook de relatie met de NIS2-richtlijn, die in de zorgsector steeds meer impact krijgt. Denk aan eisen rondom governance, leveranciersbeheer en meldingen van incidenten. Voor organisaties betekent dit dat de implementatie van NEN 7510 tegelijk een stevige basis legt voor NIS2-naleving.

De norm en de compliance tool zijn via NEN Connect kosteloos toegankelijk. Daarmee kan iedere zorgorganisatie direct starten met een gap-analyse. Dit verlaagt de drempel aanzienlijk, want waar voorheen vaak externe hulpmiddelen nodig waren, is er nu een officieel instrument beschikbaar.

Een praktisch advies is om eerst de twee kernonderdelen te downloaden:

  • NEN 7510-1: beschrijft de eisen die je ISMS moet borgen.
  • NEN 7510-2: geeft de maatregelen en de context erbij.

Samen vormen ze de basis van je checklist en helpen ze om geen belangrijke onderdelen over het hoofd te zien.

Stap 2: Scope bepalen (inclusief het primaire zorgproces)

Een veelgemaakte fout bij implementaties is een te beperkte scope. Vaak wordt gedacht: “We beschouwen alleen de IT-afdeling en systemen.” Maar de NEN 7510 maakt duidelijk dat het gaat om het primaire zorgproces. Dat betekent dat patiëntenzorg, medische apparatuur, uitwisseling van gegevens en zelfs betrokken leveranciers onder de scope kunnen vallen.

Het bepalen van de scope is dus meer dan een organisatorische formaliteit. Het bepaalt waar je audits op gebaseerd worden en waar je maatregelen moet treffen. Een ISMS dat de werkelijke zorgpraktijk niet weerspiegelt, levert in audits al snel tekortkomingen op.

Een praktische aanpak is om de scopevragen concreet te maken:

  • Waar worden persoonsgegevens en medische gegevens verwerkt?
  • Welke afdelingen of zorgprocessen zijn hierbij betrokken?
  • Welke ketenpartners en leveranciers spelen een rol in de gegevensuitwisseling?

Door deze vragen systematisch te beantwoorden, krijg je een helder beeld van waar de NEN 7510-vereisten gelden. Dit voorkomt discussies tijdens de audit en geeft de organisatie een duidelijke richting voor maatregelen en beleid.

Stap 3: Context & risicoanalyse (BIV)

Wanneer de scope is bepaald, komt de vraag: welke risico’s zijn er en hoe groot zijn ze? NEN 7510:2024 vraagt om een systematische analyse van de context van de organisatie. Dit betekent het in kaart brengen van interne en externe factoren, van wetgeving en toezichthouders tot leveranciers en samenwerkingspartners.

Een belangrijk onderdeel is de BIV-classificatie: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Voor elk type informatie en systeem moet je bepalen hoe zwaar elk van deze drie weegt. Een storing in het EPD heeft bijvoorbeeld direct gevolgen voor de beschikbaarheid van zorg, terwijl een verkeerd gelabeld röntgenbeeld een integriteitsrisico is.

De risicoanalyse vormt de basis voor alle verdere stappen. Het helpt te prioriteren: niet elk risico is even groot en niet elk systeem is even kritisch. Vaak wordt een matrix gebruikt waarin kans en impact samenkomen. Daaruit volgt welke maatregelen noodzakelijk zijn en welke risico’s acceptabel zijn.

Een goede praktijk is om de risicoanalyse niet eenmalig te doen, maar onderdeel te maken van het jaarlijkse verbeterproces. Zo blijf je inspelen op nieuwe dreigingen, zoals ransomware of afhankelijkheid van cloudleveranciers.

Stap 4: Risicobehandeling & Verklaring van Toepasselijkheid (VvT/SoA)

Na de risicoanalyse volgt de risicobehandeling. Voor elk risico bepaal je hoe je het beheerst:

  • Verminderen door een maatregel te nemen.
  • Overdragen, bijvoorbeeld via een contract met een leverancier.
  • Accepteren, wanneer de impact en kans laag genoeg zijn.

Deze keuzes worden vastgelegd in de Verklaring van Toepasselijkheid (VvT/SoA). Dit document koppelt de geïdentificeerde risico’s aan de maatregelen die je neemt, en verwijst naar de relevante onderdelen van NEN 7510-2 en de Annex A-maatregelen uit ISO 27002.

De VvT is een sleuteldocument in elke audit. Het laat zien dat je keuzes bewust en onderbouwd zijn gemaakt. Auditors letten er sterk op dat er een logische relatie bestaat tussen risico’s, maatregelen en restrisico’s.

Een veelgemaakte fout is om de VvT te vullen met alle denkbare maatregelen, zonder de rationale te beschrijven. Het is juist de bedoeling dat duidelijk wordt waarom een maatregel wel of niet is opgenomen. Denk aan een logregel in een systeem: zonder context zegt het weinig, met uitleg is het bewijs.

Stap 5: Governance, beleid en bewustwording

Een checklist zonder governance blijft papier. NEN 7510 vraagt om duidelijke rollen en verantwoordelijkheden. Wie is eindverantwoordelijk voor informatiebeveiliging? Hoe wordt er gerapporteerd aan de directie? En hoe worden beslissingen over risico’s genomen?

Daarnaast moet er een beleidsdocument zijn dat de richting aangeeft. Dit hoeft geen dik pak papier te zijn: een compact document met de kernprincipes, doelen en verantwoordelijkheden volstaat vaak. Het moet wel bekend zijn bij medewerkers en regelmatig worden bijgewerkt.

Bewustwording is een ander belangrijk element. Medewerkers zijn vaak de zwakste schakel in informatiebeveiliging. Trainingen, phishing-simulaties en duidelijke instructies helpen om risico’s te verkleinen. Niet als verplicht nummer, maar als onderdeel van de dagelijkse praktijk.

Een goed beleid is als een verkeersbord: iedereen weet de regels, begrijpt het signaal en kan ernaar handelen. Zonder die duidelijkheid ontstaat verwarring en worden maatregelen minder effectief.

Stap 6: Operationele beheersmaatregelen

De operationele maatregelen vormen de kern van de implementatie. NEN 7510:2024 verwijst hierbij naar een breed scala aan onderwerpen, waaronder:

  • Toegangsbeheer: wie mag welke gegevens zien en hoe wordt dat gecontroleerd?
  • Logging en monitoring: vastleggen en analyseren van toegang tot patiëntgegevens, gekoppeld aan NEN 7513.
  • Gegevensuitwisseling: veilig versturen van gegevens, in lijn met NEN 7512.
  • Fysieke beveiliging: van serverruimtes tot laptops op de werkvloer.
  • Incidentmanagement: hoe meld en registreer je beveiligingsincidenten?

Het gaat niet alleen om beleid, maar ook om bewijs. Denk aan logbestanden, rapportages van toegangsbeheer of documentatie van leverancierscontracten. Auditors willen zien dat maatregelen niet alleen op papier bestaan, maar daadwerkelijk zijn toegepast.

Door operationele maatregelen expliciet te koppelen aan de risico’s en de VvT, ontstaat een samenhangend geheel. Daarmee laat je zien dat informatiebeveiliging geen losstaande taak is, maar onderdeel van de zorgverlening zelf.

Stap 7: Interne audit & managementreview

Een ISMS is nooit “af”. Daarom vraagt NEN 7510:2024 om een cyclus van interne audits en managementreviews.

De interne audit is bedoeld om te toetsen of beleid, processen en maatregelen ook echt werken. Dit doe je niet alleen om vinkjes te zetten, maar om verbeterpunten zichtbaar te maken voordat een externe auditor dat doet. Vaak wordt een jaarplanning gemaakt waarin de belangrijkste onderdelen roulerend worden gecontroleerd.

De managementreview is de formele terugkoppeling naar de directie. Hier komen de uitkomsten van audits, incidenten, KPI’s en verbeteracties samen. De directie beoordeelt of het ISMS nog steeds aansluit bij de doelstellingen en of er aanpassingen nodig zijn.

Samen sluiten audit en review de PDCA-cyclus: plannen, uitvoeren, controleren en bijsturen. Dit houdt het ISMS levend en voorkomt dat het een papieren tijger wordt.

Stap 8: Certificatiepad & auditorselectie

Voor organisaties die certificering willen behalen, volgt daarna het officiële traject met een geaccrediteerde certificerende instelling. Dit verloopt doorgaans in fases:

  1. Vooronderzoek: beoordeling van de documentatie en scope.
  2. Fase 1-audit: toetsing op aanwezigheid van beleid, risicoanalyse en VvT.
  3. Fase 2-audit: beoordeling van de implementatie en werking van maatregelen.
  4. Surveillance-audits: jaarlijkse controles tijdens de looptijd van het certificaat.

Het is verstandig om een auditor te kiezen die aantoonbare ervaring heeft in de zorgsector. Zo weet je zeker dat specifieke onderdelen, zoals logging conform NEN 7513 of veilige gegevensuitwisseling, op de juiste manier worden beoordeeld.

Stap 9: Cloud & shared responsibility

Steeds meer zorgprocessen draaien in de cloud. Dat brengt voordelen, maar ook vragen over verantwoordelijkheid. Cloudleveranciers bieden vaak compliance-rapporten of certificeringen (zoals ISO 27001), maar dat betekent niet dat je als zorgorganisatie automatisch voldoet aan NEN 7510.

Het shared responsibility-model maakt duidelijk dat bepaalde taken bij de leverancier liggen (bijvoorbeeld datacentrumbeveiliging), maar dat andere taken altijd bij de klant blijven. Denk aan toegangsbeheer, classificatie van gegevens en incidentafhandeling.

Het is belangrijk om afspraken met leveranciers vast te leggen in contracten en DPIA’s. Daarmee kun je in audits laten zien welke verantwoordelijkheden zijn verdeeld en hoe je daar toezicht op houdt.

Stap 10: NIS2-koppelingen en continu verbeteren

De NIS2-richtlijn maakt informatiebeveiliging in de zorg nog urgenter. NEN 7510:2024 sluit hier op aan en helpt organisaties voorbereid te zijn op strengere eisen. Denk aan meldplicht bij incidenten, zwaardere eisen voor leveranciersbeheer en directe aansprakelijkheid van bestuurders.

Door de NEN 7510-checklist in te zetten als verbetercyclus, kun je niet alleen voldoen aan de huidige norm, maar ook klaar zijn voor NIS2. Het gaat erom dat beveiliging geen los project is, maar een vast onderdeel van de organisatiecultuur.

Veelgemaakte fouten in de praktijk

Bij het analyseren van beschikbare informatie en praktijkvoorbeelden vallen enkele hiaten op die in audits regelmatig terugkomen:

  • Herziening 2024: organisaties werken nog met oude schema’s en missen de aansluiting met ISO/IEC 27001:2022.
  • Verklaring van Toepasselijkheid: vaak te generiek ingevuld, zonder duidelijke relatie met risico’s.
  • Cloudafspraken: onduidelijk wie verantwoordelijk is voor welke maatregelen.
  • Bewijslast: maatregelen zijn wel beschreven, maar bewijsstukken (zoals logregistraties of contracten) ontbreken.

Door deze punten expliciet mee te nemen in de checklist, voorkom je verrassingen tijdens audits.

Wil je sparren over jouw NEN 7510-aanpak of een frisse blik op je VvT en auditplanning? Neem gerust contact met ons op, wij helpen je verder met praktische inzichten en concrete verbeterpunten.

    Meer weten over NEN 7510 en een stappenplan voor zorgorganisaties? Volg onze socials.

    Youtube Linkedin Spotify