Transitie NEN 7510 – van NEN 7510:2017 naar NEN 7510:2024

Waarom een transitieperiode?

De transitie van NEN 7510:2017 (+A1:2020) naar NEN 7510:2024 brengt verschillende veranderingen met zich mee. Niet alleen is de opbouw van de norm gewijzigd, ook zijn beheersmaatregelen herschikt, uitgebreid of anders geformuleerd. Daarnaast vraagt de norm om een expliciete verantwoording in de Verklaring van Toepasselijkheid (VvT) en is de implementatierichtlijn niet langer vrijblijvend.

Omdat dit impact heeft op zorgaanbieders, ICT-dienstverleners en Certificerende Instellingen (CI’s), is gekozen voor een gefaseerde overgang van twee jaar – met een verplichte implementatie vanaf december 2025 en verplichte certificering vanaf 20 februari 2027.

Wie moet wanneer in actie komen?

Er zijn verschillende stakeholders betrokken bij een succesvolle transitie naar de nieuwe norm voor informatiebeveiliging in de zorg.

Certificerende instellingen (CI’s)
CI’s zijn sinds 20 februari 2025 bevoegd om audits uit te voeren op basis van de nieuwe norm. Daarvoor hebben de zij hun methodieken, auditprotocollen en accreditatie moeten aanpassen aan de herziene norm. Het is op dit moment dus al mogelijk om je te laten certificeren op de NEN 7510:2024.

Zorgorganisaties en ICT-leveranciers
Voor bestaande certificaathouders geldt dat zij in december 2025 de nieuwe norm doorgevoerd moeten hebben in hun Information Security Management System (ISMS). Het huidige certificaat hoeft op dat moment nog niet omgezet te zijn. Pas vanaf 20 februari 2027 geldt dat enkel certificaten volgens NEN 7510:2024 nog geldig zijn. Vanaf dit moment is het dan ook niet meer mogelijk om te certificeren op basis van de oude norm (NEN 7510:2017 + A1:2020). We raden nieuwe toetreders aan direct op de nieuwe norm te certificeren.

Let op: een organisatie die in 2025 nog (her)certificeert onder de oude norm, moet alsnog eind 2025 kunnen aantonen dat zij de 2024 norm intern heeft ingevoerd.

Toezichthouders en ketenpartners
De Inspectie Gezondheidszorg en Jeugd (IGJ) verwacht dat zorgorganisaties vanaf december 2025 aantoonbaar werken volgens de meest actuele norm. Toezichthouders en samenwerkingspartners doen er goed aan om gedurende de transitieperiode zowel NEN 7510:2017 als NEN 7510:2024-certificaten te accepteren, maar vanaf 2027 de nieuwe norm als ondergrens te hanteren.

De belangrijkste data op een rijtje

Wat betekent de transitie voor jouw organisatie?

De overgangsperiode biedt jouw organisatie ruimte om de veranderingen zorgvuldig te implementeren, maar uitstel is geen optie. De eisen in NEN 7510:2024 zijn concreter, minder vrijblijvend en vragen om een stevige verankering van informatiebeveiliging binnen de gehele organisatie. Dit betekent onder andere: het actualiseren van je ISMS, herzien van risicobeoordelingen, en aanpassen van procedures rondom incidenten, cloudgebruik en personeelsbewustzijn.

Organisaties die op korte termijn nog gecertificeerd worden op basis van de oude norm doen er verstandig aan parallel al te starten met de implementatie van de 2024-vereisten. Zo voorkom je een inhaalslag vlak voor de deadline en beperk je de kans op tekortkomingen tijdens je volgende audit. Maak van de overgangsperiode een kans om de informatiebeveiliging in je organisatie te professionaliseren, in lijn met nieuwe wetgeving en verwachtingen.

Wil je weten hoe je die voorbereidingen het beste aanpakt? In ons blog over de herziening van de NEN 7510 lees je wat er inhoudelijk is veranderd en hoe je de juiste stappen zet richting certificering onder de nieuwe norm.