Auteur: Linda van Woerkens – Information Security Consultant
Meer over de wijzigingen en impact op jouw organisatie
Herziening NEN 7510 – Wat zijn de wijzigingen en welke impact heeft het op jouw organisatie?
NEN 7510 is de norm voor informatiebeveiliging in de zorg. De herziening van NEN 7510 helpt zorginstellingen, zorgleveranciers en hun toeleveranciers in het verder professionaliseren van hun dataveiligheid. De nieuwste versie NEN 7510:2024 sluit beter aan op actuele dreigingen, internationale standaarden en wet- en regelgeving zoals de cyberbeveiligingswet (NIS2). In dit blog lees je:
✓ Wat de belangrijkste wijzigingen zijn;
✓ Wat deze veranderingen betekenen voor jouw organisatie;
✓ Wat de belangrijkste data zijn in de overgangstermijn;
✓ Hoe je de overstap maakt naar NEN 7510:2024.
Wat is NEN 7510?
De NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm biedt een kader waarmee zorgorganisaties en leveranciers de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens kunnen waarborgen. NEN 7510 is gebaseerd op de internationale ISO 27001- en 27002-standaarden, maar sluit specifiek aan bij de context en risico’s van de zorgsector in Nederland. Net zoals de ISO 27001 heeft de NEN twee delen, waarbij de NEN 7510-1 de certificeerbare norm bevat en de NEN 7510-2 de beheersmaatregelen en implementatierichtlijnen.
Is NEN 7510 verplicht?
Verschillende wetten vereisen dat zorgaanbieders adequate beveiliging van persoonlijke gezondheidsinformatie moeten waarborgen, maar de NEN 7510 certificering is niet wettelijk verplicht. Wel moeten zorgaanbieders kunnen aantonen dat zij werken volgens de NEN 7510. De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet hier op toe.
Wat zijn de belangrijkste wijzigingen in NEN 7510:2024?
De herziening van NEN 7510 brengt belangrijke inhoudelijke en structurele veranderingen met zich mee. Hieronder lichten we de kernpunten uit:
1. Beter afgestemd op de nieuwe ISO 27001
NEN 7510:2024 sluit nu volledig aan op de opzet van de nieuwe ISO 27001 en ISO 27002, het internationale normontwerp ISO 2779, met aanvullende eisen voor de zorgsector. Zo maakt de NEN 7510 ook de overgang van de High Level Structure (HLS) naar de nieuwere Harmonized Structure (HS). Het aantal hoofdstukken in de NEN 7510-2 is teruggebracht van veertien naar vier hoofdstukken. Deze hoofdstukken zijn organisatie, mensen, fysiek en technologie.
2. Aansluiting op (nieuwe) wetgeving
De NEN 7510 norm helpt organisaties op weg in het voldoen aan wetgeving zoals de Wet elektronische gegevensuitwisseling in de zorg (Wegiz), de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Europese NIS2-verordening, die vanaf 2025 in Nederland verplicht wordt. De NEN 7510-2:2024 bevat een handige mapping met de NIS2.
3. Samengevoegde en nieuwe beheersmaatregelen
Het aantal beheersmaatregelen is teruggebracht van 117 (3 zorgspecifieke maatregelen en 114 algemene maatregelen waarvan 33 met zorgspecifieke invulling) naar 101 beheersmaatregelen (8 zorgspecifieke maatregelen en 93 algemene maatregelen waarvan 14 met een zorgspecifieke invulling). Er zijn geen maatregelen verwijderd, maar een aantal zijn samengevoegd en/of anders verwoord.
Wel zijn er een aantal nieuwe maatregelen toegevoegd. Er zijn 11 nieuwe maatregelen toegevoegd die vanuit de ISO 27001 komen en 5 nieuwe zorgspecifieke beheersmaatregelen. Een overzicht hiervan vind je in bijlage B van de NEN 7510 2024-2. De belangrijkste veranderingen richten zich onder andere op:
- Informatiebeveiliging voor het gebruik van clouddiensten;
- Bedrijfscontinuïteit;
- Het documenteren, rapporteren en (extern) melden van beveiligingsincidenten;
- Trainen van personeel op het gebied van Cyber Security.
4. Verklaring van Toepasselijkheid
De implementatierichtlijn zoals beschreven in de NEN 7510-2 is niet langer vrijblijvend. Organisaties dienen in de Verklaring van Toepasselijkheid (VvT) aan te geven of zij voldoen aan de richtlijn zoals deze in de NEN 7510 staat beschreven. Er is dus geen vrijheid meer om zelf te bepalen hoe de norm geïmplementeerd wordt. Bij afwijkingen dient in de VvT uitgelegd te worden waarom de organisatie afwijkt en op welke manier.
Wat betekent de herziening voor jouw organisatie?
De impact van de herziening van NEN 7510 is afhankelijk van je huidige volwassenheidsniveau op het gebied van informatiebeveiliging. Een organisatie met een hoog volwassenheidsniveau zal waarschijnlijk minder impact ondervinden. Organisaties die bijvoorbeeld al werken met de nieuwste ISO 27001 norm zullen veel elementen herkennen, maar moeten extra aandacht besteden aan de zorgspecifieke onderdelen uit de NEN 7510 zoals het identificeren van zorgontvangers, validatie van getoonde/geprinte gegevens en het beschermen, bewaren en beheren van openbaar beschikbare gezondheidsinformatie
Heb je op dit moment een certificaat op basis van NEN 7510:2017?
Dan vraagt de overgang naar 2024 om een herziening van je risicobeoordeling en -behandeling en een update van het Information Security Management System (ISMS) om in lijn te zijn met de nieuwe norm.
Wat is de overgangstermijn van NEN 7510:2017 naar NEN 7510:2024?
De publicatie van NEN 7510:2024 vond plaats op 16 december 2024. Vanaf dat moment geldt voor de NEN 7510 een transitieperiode van 1 jaar voor implementatie en 2 jaar voor certificering.
De belangrijkste data op een rijtje:
- 16 december 2024 – Officiële publicatie NEN 7510:2024.
- 20 februari 2025 – Certificerende instellingen mogen auditen op basis van de nieuwe norm.
- December 2025 – NEN 7510 gecertificeerde organisaties dienen de nieuwe norm geïmplementeerd te hebben. Het certificaat hoeft nog niet te zijn geweest.
- 20 februari 2027 – Certificaathouders moeten vóór deze datum gecertificeerd zijn tegen de nieuwe norm (NEN 7510:2024). Vanaf deze datum kan niet meer gecertificeerd worden op de 2017 (+A1:2020) versie van de NEN 7510 norm.
Hoe maak je de overstap naar de nieuwe versie?
De overstap naar NEN 7510:2024 vraagt om een gestructureerde aanpak en betrokkenheid van de hele organisatie. Met onderstaande stappen kun je gericht aan de slag en voldoe je aantoonbaar aan 6.3 uit de norm (planning van wijzigingen).
Breng in kaart wat de verschillen zijn tussen je huidige situatie en de eisen uit de 2024-versie van de NEN 7510 norm. Focus hierbij op de nieuwe beheersmaatregelen en aangescherpte richtlijnen. Uit de gapanalyse komt bijvoorbeeld naar boven dat je bepaalde verplichte documentatie van het ISMS moet aanpassen en de Verklaring van Toepasselijkheid moet bijwerken, zodat ze in lijn zijn met de NEN 7510:2024.
Gebruik de bevindingen uit de gapanalyse om een gestructureerd actieplan op te stellen. Zorg ervoor dat dit plan concrete acties bevat per geïdentificeerde gap, verantwoordelijkheden, deadlines en prioriteringen op basis van risico’s en compliance-verplichtingen.
Plan en voer een interne audit uit om te toetsen of de beheersmaatregelen uit het actieplan daadwerkelijk zijn ingevoerd. Stel daarnaast vast of deze maatregelen effectief zijn in de praktijk en controleer op eventuele resterende afwijkingen. Zorg ervoor dat de audit onafhankelijk wordt uitgevoerd en gebruik de bevindingen als input voor de managementreview.
Laat de directie of het management van de organisatie een managementreview uitvoeren. Met behulp van de managementreview wordt een volledig beeld geschetst van de overgangsstatus en resterende uitdagingen. Zorg ervoor dat deze review goed wordt gedocumenteerd, inclusief besluiten of acties.
Na het afronden van bovenstaande stappen is de organisatie klaar voor de externe audit. Neem tijdig contact op met een certificerende instelling voor de planning van een audit volgens de nieuwe norm.
Een succesvolle transitie stopt niet bij certificering. Zorg ervoor dat:
- De kennis en het bewustzijn over de nieuwe maatregelen breed in de organisatie wordt verspreid;
- Beleid, processen en procedures continu worden geëvalueerd en verbeterd;
- Lessons learned uit deze transitie worden vastgelegd voor toekomstige audits of normwijzigingen.
Hulp nodig bij de transitie?
Bij Cuccibu bieden wij organisaties ondersteuning bij deze herziening van de NEN 7510. Of je nu een gapanalyse nodig hebt, hulp bij implementatie van de beheersmaatregelen of begeleiding tijdens een interne- en externe audit: wij zorgen dat jouw organisatie aantoonbaar in control is en staan klaar om je door het gehele transitieproces te begeleiden.
Reduce Risk, Create Value!