Verschil NEN 7510 en ISO 27001: wat kies je wanneer?

Informatiebeveiliging draait niet alleen om techniek of beleid, maar vooral om aantoonbaarheid. Twee normen bepalen daarin de richting: NEN 7510 en ISO 27001. Ze lijken sterk op elkaar, maar verschillen in doel, reikwijdte en verplichting.

NEN 7510 is ontwikkeld voor de Nederlandse zorg en wordt expliciet genoemd in het Besluit elektronische gegevensverwerking door zorgaanbieders. Wie werkt met patiëntgegevens moet kunnen laten zien dat processen voldoen aan deze norm. De nadruk ligt op vertrouwelijkheid, beschikbaarheid en integriteit van zorginformatie – inclusief logging, toegangsbeheer en overdracht.

ISO 27001 daarentegen is de internationale standaard voor informatiebeveiliging binnen alle sectoren. Ze legt de basis voor een Information Security Management System (ISMS) dat wereldwijd erkend is. Organisaties buiten de zorg, of met internationale partners, gebruiken deze norm om hun beheersmaatregelen te toetsen en te certificeren.

Hoewel beide normen veel overlap hebben, is hun toepassing anders:

• NEN 7510: zorgspecifiek, wettelijk erkend in Nederland, gekoppeld aan patiëntveiligheid.
• ISO 27001: generiek, internationaal bruikbaar, gericht op risicobeheersing in brede zin.

Sinds 2024 geldt NEN 7510:2024 als actuele editie, met NCS 7510:2025 als nieuw certificatieschema. Voor ISO 27001:2022 loopt de transitie tot 31 oktober 2025; daarna vervallen alle certificaten op de oudere 2013-versie.

Scope en juridische status: zorgspecifiek versus internationaal

Het belangrijkste verschil zit in de juridische verankering.
NEN 7510 is geen vrijblijvende richtlijn. De norm is door de overheid vastgelegd als verplichte referentie voor zorgaanbieders en hun IT-dienstverleners. De Inspectie Gezondheidszorg en Jeugd (IGJ) en de Autoriteit Persoonsgegevens (AP) verwijzen hiernaar bij toezicht en naleving. Organisaties moeten aantonen dat ze de norm toepassen, of uitleggen waarom een maatregel niet passend is.

ISO 27001 daarentegen heeft geen wettelijke verplichting, maar wel wereldwijde erkenning. De standaard wordt gebruikt voor leveranciers, internationale audits en due-diligenceprocessen. Voor Nederlandse zorgorganisaties betekent dit vaak dat ISO 27001 de basis vormt en NEN 7510 daarop aansluit met extra zorgspecifieke eisen.

In de praktijk ontstaat zo een hybride aanpak: één ISMS dat voldoet aan ISO 27001, uitgebreid met aanvullende beheersmaatregelen uit NEN 7510. Denk aan procedures voor patiëntdossiervoering, logging (NEN 7513) en veilige gegevensuitwisseling (NEN 7512).

Structuur en inhoud: NEN 7510-1 / -2 versus ISO 27001 / 27002

Hoewel beide normen hetzelfde doel dienen – het borgen van informatiebeveiliging – verschillen ze in opbouw en detailniveau.

NEN 7510 bestaat uit twee delen:

• NEN 7510-1 bevat de eisen waaraan een organisatie moet voldoen om gecertificeerd te worden.
• NEN 7510-2 biedt richtlijnen voor implementatie, vergelijkbaar met wat ISO 27002 doet voor ISO 27001.

De structuur van NEN 7510-1:2024 volgt de High-Level Structure (HLS) die ook door ISO-normen wordt gebruikt. Daardoor sluit de norm goed aan op andere managementsystemen, zoals kwaliteit (ISO 9001) of continuïteit (ISO 22301).

Het verschil zit in de zorgspecifieke context. Waar ISO 27001 generieke controles beschrijft, legt NEN 7510 nadruk op patiëntinformatie, elektronische gegevensuitwisseling (NEN 7512) en logging (NEN 7513).

In de praktijk betekent dat:
ISO 27001 bepaalt hoe je informatiebeveiliging organiseert;
NEN 7510 vult in wat je concreet moet regelen in de zorg.

De Annex A van ISO 27001:2022 telt 93 maatregelen, herschikt rond thema’s als organisatie, mensen, fysieke en technologische controls. NEN 7510 vertaalt die naar zorgprocessen: toegangsbeheer bij elektronische patiëntendossiers, verificatie van zorgcommunicatie en traceerbare logging bij overdracht van gegevens.

Door deze opzet kunnen organisaties beide normen combineren. Een ISMS kan dus worden gecertificeerd tegen ISO 27001 en tegelijk voldoen aan NEN 7510-1, zolang de zorgspecifieke eisen zijn geïntegreerd.

Certificering, accreditatie en deadlines

De manier van certificeren verschilt wezenlijk.

NEN 7510 wordt getoetst onder het Nederlands Conformiteitsschema (NCS 7510). Alleen certificerende instellingen met accreditatie van de Raad voor Accreditatie (RvA) mogen deze audits uitvoeren. Sinds 2025 is NCS 7510:2025 van kracht; het schema legt vast hoe auditors toetsen op zowel de ISO-HLS-structuur als de zorgspecifieke eisen.

De audit richt zich niet alleen op beleid, maar ook op aantoonbaarheid in processen. Denk aan logregistratie, toegangscontrole of overdracht van patiëntinformatie. Elk onderdeel moet worden onderbouwd met evidence, zoals procesbeschrijvingen, systeemlogs of contractafspraken met leveranciers.

Voor ISO 27001 geldt een internationaal kader via het International Accreditation Forum (IAF). De huidige editie, ISO 27001:2022, vervangt de 2013-versie volledig. De transitiedeadline is 31 oktober 2025: daarna zijn oudere certificaten niet meer geldig. Nieuwe of verlengde certificaten moeten dus gebaseerd zijn op de 2022-structuur en de bijbehorende 93 controls uit ISO 27002:2022.

Organisaties die beide certificeringen willen combineren, kiezen vaak voor één geïntegreerde audit. Daarbij vormt ISO 27001 de hoofdstructuur, en wordt NEN 7510 toegevoegd als sectorspecifieke uitbreiding. Dat bespaart tijd, maar vraagt zorgvuldige planning, omdat het NCS-schema aanvullende eisen stelt aan auditor-competentie en rapportage.

Best practices en veelgemaakte fouten

Organisaties die beide normen combineren, ervaren dat succes vooral afhangt van samenhang. Wie NEN 7510 en ISO 27001 als twee losse trajecten behandelt, raakt snel dubbel werk kwijt. Wie ze integreert in één managementsysteem, wint overzicht én consistentie.

Een bewezen aanpak is beginnen met de ISO-structuur als fundament. ISO 27001 beschrijft helder hoe beleid, risico’s en verbeteracties worden ingericht. Vanuit die basis voeg je de zorgspecifieke maatregelen van NEN 7510 toe. Denk aan logging-eisen uit NEN 7513, of regels rond veilige gegevensuitwisseling uit NEN 7512.

Wat in de praktijk vaak misgaat, is dat zorgorganisaties de norm vertalen naar beleid, maar niet naar gedrag. Auditors toetsen echter op aantoonbaarheid. Alleen beleid hebben is niet genoeg: ook processtappen, verantwoordelijkheden en bewijs (bijvoorbeeld systeemlogs of change-registraties) moeten beschikbaar zijn.

Een tweede valkuil is het overslaan van leveranciers. ISO 27001 vereist risicobeoordeling in de hele keten, en NEN 7510 benadrukt juist de continuïteit van zorgketens. Wanneer leveranciers niet in de ISMS-scope vallen, ontstaat een audit-gat.

Tot slot blijkt timing cruciaal. De ISO-transitie naar de 2022-editie moet uiterlijk 31 oktober 2025 zijn afgerond. Tegelijk hanteren zorgauditors sinds 2025 het nieuwe NCS 7510:2025-schema. Organisaties die beide trajecten slim plannen, voorkomen dubbele auditdagen.

Checklist: audit-proof integratie

Een compacte checklist helpt om grip te houden op de vereisten:

• Inventariseer de huidige certificaten en de editie (ISO 27001:2013 of 2022, NEN 7510:2017 of 2024).
• Plan de transitie-audit ruim vóór de ISO-deadline van 31-10-2025.
• Gebruik één geïntegreerde risicobeoordeling voor zowel ISO als NEN.
• Verwijs in beleid en procedures expliciet naar zorgspecifieke onderdelen (NEN 7512 / 7513).
• Controleer of de gekozen certificerende instelling RvA-geaccrediteerd is voor het NCS 7510-schema.
• Leg audit-evidence vast: logbestanden, trainingsoverzichten en leverancierscontracten.

Deze stappen vormen samen de basis voor een audit-proof combinatie van beide normen, zonder overlap of hiaten.

Het kiezen tussen NEN 7510 en ISO 27001 is geen kwestie van óf-óf.
Wie zorginformatie beheert, heeft baat bij een aanpak die beide normen laat samenkomen.
Wie inzicht wil krijgen in hoe die integratie er in de eigen organisatie uitziet, kan bij Risguard een cross-mapping matrix opvragen die NEN 7510-eisen koppelt aan ISO 27001-controls en de komende audit-deadlines.De twee varianten van ISAE 3402-rapportage worden vaak genoemd in aanbestedingen en assurance-trajecten, maar in de praktijk wordt hun doel geregeld door elkaar gehaald.
Het onderscheid zit niet in de vorm van de rapportage, maar in de diepte van de toetsing en de periode waarop die betrekking heeft.