Informatiebeveiliging in de zorg: wat houdt de NEN 7510 in?

In dit artikel:

Bij recente datadiefstal bij laboratorium Clinical Diagnostics werd duidelijk dat basisregels voor digitale beveiliging in de zorg zijn geschonden. In Nederland staan die regels vooral beschreven in de normen NEN 7510 (informatiebeveiliging binnen organisaties) en NEN 7512 (veilige uitwisseling van medische gegevens). NEN ontwikkelt deze normen samen met marktpartijen en beheert daarnaast certificatieschema’s die helpen bij praktische toepassing en toetsing. Certificerende instellingen voeren audits uit op basis van die schema’s; de Raad voor Accreditatie ziet toe op de onafhankelijkheid en betrouwbaarheid van die certificatieprocessen.

Wettelijk geldt volgens de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg dat zorgaanbieders, laboratoria en toeleveranciers die medische persoonsgegevens verwerken aantoonbaar moeten voldoen aan NEN 7510 en — indien relevant — NEN 7512. Concreet betekent dit dat organisaties een informatiebeveiligingsmanagementsysteem (ISMS) moeten hebben: beleid, risicoanalyse, technische en organisatorische maatregelen en een cyclus van meten, toetsen en verbeteren. Organisaties moeten de werking van dat ISMS regelmatig onderzoeken via interne controles en daarnaast onafhankelijk laten beoordelen; de wet verplicht echter geen externe certificering.

Certificering is vrijwillig maar nuttig: een geaccrediteerde certificerende instelling kan via een onafhankelijke audit vaststellen of beleid en maatregelen daadwerkelijk volgens de norm zijn ingevoerd. Zo’n certificaat toont aan dat een organisatie structureel en toetsbaar werkt aan informatiebeveiliging, maar het is geen garantie dat incidenten onmogelijk worden. De term ‘certificatie’ zelf is niet wettelijk beschermd; betrouwbaarheid zit hem in accreditatie volgens het Nederlandse certificatieschema NCS7510 en toezicht van de Raad voor Accreditatie.

NEN 7512 richt zich op afspraken tussen partijen die medische gegevens uitwisselen: welke beveiligingsniveaus en maatregelen gelden, afhankelijk van risico en gevoeligheid. Een belangrijk onderdeel is dat betrokken partijen aangesloten moeten zijn bij een erkende CERT-organisatie die kan helpen bij preventie en respons op cyberincidenten. Die CERT moet deel uitmaken van het landelijke dekkende stelsel en een formele taak/aanwijzing hebben op basis van de Wet Beveiliging Netwerk- en Informatiesystemen (de Nederlandse uitwerking van NIS-regelgeving).

NEN zelf controleert niet of individuele zorginstellingen zich aan de normen houden — dat blijft de verantwoordelijkheid van de organisaties zelf. Volgens NEN waren er per mei 2025 in totaal 920 gecertificeerde organisaties, waarvan 191 zorginstellingen en 729 leveranciers van diensten en software voor de zorg.

Kortom: NEN 7510 en NEN 7512 vormen het normatieve kader om patiëntgegevens veilig te verwerken en uit te wisselen. De wet eist aantoonbare naleving, certificering via geaccrediteerde partijen vergroot het vertrouwen, maar verantwoordelijkheid en operationele naleving liggen bij zorgaanbieders en hun ketenpartners.