NEN 7510 Certificering — moet dat?
Het korte antwoord: nee, certificering is niet wettelijk verplicht. Maar voldoen aan NEN 7510 wel. Dit onderscheid is de meest voorkomende bron van verwarring onder zorgpraktijken.
Compliance vs. certificering
Dit zijn twee verschillende dingen die vaak door elkaar worden gehaald.
Compliance
Wettelijk verplicht
- Aantoonbaar voldoen aan de norm
- Managementsysteem inrichten en onderhouden
- Geldt voor elke zorgaanbieder
- Geen externe audit vereist (maar wel aanbevolen)
- IGJ kan het controleren bij inspectie
Certificering
Vrijwillig
- Formeel certificaat van een certificatie-instelling
- Externe audit in twee fases
- Jaarlijkse surveillance-audits
- Volledige hercertificering elke 3 jaar
- Kost €5.000 — €15.000+ per certificeringscyclus
Wat zeggen de beroepsverenigingen?
Alle grote beroepsverenigingen in de zorg zijn het erover eens: compliance is verplicht, certificering niet — maar je leveranciers moeten wel gecertificeerd zijn.
LHV (Huisartsen)
Praktijken hoeven niet gecertificeerd te zijn. Leveranciers moeten wel gecertificeerd zijn.
KNGF (Fysiotherapeuten)
Compliance is wettelijk verplicht. Onafhankelijke beoordeling minimaal elke 3 jaar.
KNMT (Tandartsen)
Nadruk op praktische compliance en aantoonbare maatregelen, niet op formele certificering.
KNMP (Apothekers)
Aantoonbaar voldoen is de eis. De KNMP biedt een eigen Apotheektool voor self-assessment.
LVVP (Psychologen)
NZa-erkende checklist als compliance-bewijs. Geen certificeringsverplichting.
Je leverancier moet wél gecertificeerd zijn
Hoewel jij als praktijk niet gecertificeerd hoeft te zijn, geldt dat wel voor je IT-leveranciers. Elke partij die patientgegevens verwerkt namens jou moet NEN 7510 of ISO 27001 gecertificeerd zijn.
Controleer dit voor al je leveranciers:
- EPD / HIS systeem (bijv. Medicom, Promedico, Intramed)
- Declaratiesoftware en facturatiesystemen
- Cloudopslag en back-updiensten
- E-mailservices die patientgegevens verwerken
- Praktijkwebsite als daar patientgegevens via binnenkomen
Je kunt certificaten controleren op het NEN certificatieregister.
Wanneer is certificering wél zinvol?
Certificering is vrijwillig maar kan in sommige situaties waardevol zijn.
Contractuele eisen
Als zorgverzekeraars, samenwerkingspartners of opdrachtgevers certificering eisen in hun contracten.
Vertrouwen naar patienten
Een certificaat kan het vertrouwen van patienten versterken, vooral bij gevoelige data (GGZ, verslavingszorg).
Grotere organisaties
Bij praktijken met meer dan 25 medewerkers of meerdere locaties geeft certificering structuur en externe validatie.
Proactieve IGJ-voorbereiding
Een certificaat is het sterkste bewijs dat je kunt leveren bij een IGJ-inspectie.
Hoe werkt het certificeringsproces?
Documentatie-audit
De certificatie-instelling beoordeelt je documentatie: beleid, procedures, risicoanalyse, VvT. Dit kan op afstand.
Implementatie-audit
Een auditor komt langs en controleert of je de documenten ook daadwerkelijk toepast in de praktijk. Interviews met medewerkers, steekproeven.
Surveillance-audit
Na certificering volgt jaarlijks een beperkte audit om te controleren of het systeem nog werkt.
Hercertificering
Volledige hercertificering met opnieuw een fase 1 en fase 2 audit.
Erkende certificatie-instellingen
DigiTrust, Kiwa, DEKRA, TUV NORD, DNV, LRQA, Noordbeek
Veelgestelde vragen
- Is NEN 7510 certificering verplicht?
- Nee. Certificering is vrijwillig. Wat wel verplicht is, is aantoonbaar voldoen aan de norm (compliance). Je moet een managementsysteem hebben en kunnen laten zien dat je actief werkt aan informatiebeveiliging.
- Wat kost NEN 7510 certificering?
- De kosten variëren, maar reken op €5.000 tot €15.000 voor het volledige certificeringstraject (fase 1 + fase 2 audit). Daarnaast zijn er jaarlijkse kosten voor surveillance-audits (€2.000 - €5.000). Voor een kleine praktijk is dit vaak niet proportioneel — compliance zonder certificering is dan de betere keuze.
- Moet mijn EPD-leverancier NEN 7510 gecertificeerd zijn?
- Ja. Elke leverancier die patientgegevens verwerkt namens jouw praktijk moet NEN 7510 of ISO 27001 gecertificeerd zijn. Dit is een verantwoordelijkheid van jou als praktijkhouder om te controleren. De LHV en andere beroepsverenigingen benadrukken dit expliciet.
- Wat is het verschil met ISO 27001 certificering?
- NEN 7510 is gebaseerd op ISO 27001 maar voegt zorgspecifieke eisen toe. Een NEN 7510 certificering dekt dus meer dan ISO 27001. Als een leverancier ISO 27001 gecertificeerd is, dekt dat een groot deel van NEN 7510 — maar niet de zorgspecifieke controls.
- Hoe bewijs ik compliance zonder certificering?
- Door een compleet managementsysteem te hebben: informatiebeveiligingsbeleid, risicoanalyse, procedures, registraties, en bewijs dat het systeem in de praktijk werkt (trainingsregistraties, incidentlogs, review-verslagen). Een tool als NENHulp helpt je dit op te bouwen en bij te houden.
Begin met de basis
Certificering of niet — je moet hoe dan ook weten waar je staat. De gratis NEN 7510 scan laat in 15 minuten zien welke gebieden aandacht nodig hebben.