NEN 7510 & wetgeving

Is NEN 7510 verplicht?

Handelen naar NEN 7510 is wettelijk verplicht voor elke zorgaanbieder die patientgegevens verwerkt. Certificering is dat niet. Dit onderscheid is cruciaal — en de meest voorkomende bron van verwarring.

Handelen naar de norm: verplicht. Certificering: niet.

Dit is het belangrijkste onderscheid dat je moet kennen. De wet verplicht je om aantoonbaar te handelen naar NEN 7510. Dat betekent: een managementsysteem inrichten, maatregelen treffen, en kunnen laten zien dat je dit doet. Maar een formeel certificaat van een certificatie-instelling is niet wettelijk vereist.

Verplicht

Handelen naar NEN 7510

  • Managementsysteem voor informatiebeveiliging (ISMS) inrichten
  • Beheersmaatregelen uit Annex A beoordelen en implementeren
  • Aantoonbaar voldoen — niet alleen op papier maar in de praktijk
  • Onafhankelijke beoordeling minimaal elke 3 jaar
  • Continue verbetering via de PDCA-cyclus

Niet verplicht

Formele certificering

  • Formeel NEN 7510 certificaat van een certificatie-instelling
  • Externe audit door een geaccrediteerde partij (zoals Kiwa, DigiTrust)
  • Jaarlijkse surveillance-audits
  • Hercertificering elke 3 jaar
  • Kosten van €5.000 — €15.000+ per cyclus

Bronnen

Hoe toon je aan dat je voldoet?

De wet verplicht je om te handelen naar NEN 7510, maar schrijft niet voor hoe je dat aantoont. In de praktijk zijn er drie niveaus, van toegankelijk tot formeel:

1

Self-assessment

Startpunt voor elke praktijk

Je beoordeelt zelf waar je staat aan de hand van de norm. Je identificeert gaps, stelt beleid op, en richt je managementsysteem in. Dit is waar de meeste kleine praktijken beginnen — en voor veel praktijken een passende manier om aan de wettelijke eis te voldoen. Een tool als NENHulp begeleidt je hierbij.

2

Onafhankelijke beoordeling

Aanbevolen door de norm

Een onafhankelijke deskundige beoordeelt of je managementsysteem werkt. De NEN 7510 norm raadt dit aan (controls 5.35 en 5.36), en de IGJ noemt dit als verwachting. “Onafhankelijk” kan een interne auditor zijn die niet betrokken is bij de uitvoering, een externe specialist, of een medewerker van een andere zorgorganisatie. Dit is niet hetzelfde als certificering.

3

Certificering

Vrijwillig — het sterkste bewijs

Een geaccrediteerde certificatie-instelling (zoals DigiTrust, Kiwa, DEKRA) voert een formele audit uit en verstrekt een certificaat. Dit is het sterkste bewijs van compliance, maar niet wettelijk vereist en voor veel kleine praktijken niet proportioneel (kosten €5.000 — €15.000+). Vooral relevant voor grotere organisaties of wanneer contractpartijen het eisen. Lees meer over certificering →

Let op: de wet (Begz art. 3 lid 2) verplicht zorgaanbieders om te handelen naar NEN 7510. De wet schrijft niet voor dat je een onafhankelijke beoordeling of certificering moet hebben. De onafhankelijke beoordeling is een aanbeveling vanuit de norm zelf en een verwachting van de IGJ. Certificering is volledig vrijwillig. Bron: Begz wettekst, IGJ FAQ

De wettelijke basis

De verplichting om naar NEN 7510 te handelen komt uit een samenspel van wetten en regelingen. De directe wettelijke verankering is het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz), dat sinds 1 januari 2018 van kracht is.

Begz (2018)

Besluit elektronische gegevensverwerking door zorgaanbieders

De directe wettelijke verankering. Artikel 3 lid 1 stelt dat zorgaanbieders 'overeenkomstig het bepaalde in NEN 7510 en NEN 7512' moeten zorgen voor veilig en zorgvuldig gebruik. Het Besluit verwijst niet naar een specifieke versie — de laatst gepubliceerde versie geldt altijd.

Bron →

Wabvpz (2008)

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

De wet die de grondslag biedt voor het Begz. Verplicht zorgaanbieders om te voldoen aan NEN 7510 bij het verwerken van patientgegevens via een elektronisch uitwisselingssysteem.

Bron →

AVG / GDPR

Algemene Verordening Gegevensbescherming

Vereist 'passende technische en organisatorische maatregelen' voor de bescherming van persoonsgegevens. De Autoriteit Persoonsgegevens behandelt NEN 7510 als de maatstaf voor wat 'passend' is in de zorg.

Bron →

Wkkgz

Wet kwaliteit, klachten en geschillen zorg

Stelt eisen aan 'goede zorg'. Informatiebeveiliging is daar onderdeel van — je kunt geen goede zorg leveren als patientgegevens niet veilig zijn.

Wegiz

Wet elektronische gegevensuitwisseling in de zorg

Verplicht elektronische uitwisseling van gegevens tussen zorgverleners. Dat vereist beveiligde systemen conform NEN 7510, NEN 7512 en NEN 7513.

Voor wie geldt NEN 7510?

Voor elke organisatie die patientgegevens verwerkt. Dat zijn er meer dan 32.000 in Nederland. De omvang van je praktijk maakt niet uit — een solopraktijk fysiotherapie heeft dezelfde wettelijke plicht als een groot ziekenhuis.

Huisartsen

Fysiotherapeuten

Tandartsen

Psychologen

Apotheken

Verloskundigen

Logopedisten

Ergotherapeuten

Let op: de verplichting geldt voor jou als zorgaanbieder, niet alleen voor je IT-leverancier. Je IT-leverancier moet NEN 7510 gecertificeerd zijn, maar jij bent verantwoordelijk voor het managementsysteem als geheel — van beleid tot bewustwording.

Wat verwacht de IGJ?

De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de naleving van NEN 7510 en inspecteert actief. In de herfst van 2024 onderzochten ze alle 49 huisartsenspoedzorgorganisaties — 43 daarvan voldeden niet.

Aantoonbaar werken aan informatiebeveiliging

Je moet kunnen laten zien dat je actief bezig bent met informatiebeveiliging. Dat betekent beleid, procedures, registraties en bewijs van uitvoering.

Onafhankelijke beoordeling elke 3 jaar

De IGJ verwacht dat je minimaal elke drie jaar een onafhankelijke beoordeling laat uitvoeren van je informatiebeveiliging.

Incidenten melden

Datalekken moeten binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. De IGJ verwacht dat je een incidentenprocedure hebt.

Continue verbetering (PDCA)

NEN 7510 is geen eenmalig project. De IGJ verwacht een Plan-Do-Check-Act cyclus: je systeem moet leven en verbeteren.

Wat zijn de sancties?

Niet voldoen aan NEN 7510 is niet zonder consequenties.

Tot €900.000

Autoriteit Persoonsgegevens

Boete bij overtreding van de AVG, bijvoorbeeld na een datalek waarbij onvoldoende maatregelen waren getroffen.

Tot €20 miljoen

AVG / GDPR

Maximale boete onder de Europese privacywetgeving, of 4% van de jaaromzet.

Aanwijzing IGJ

Inspectie Gezondheidszorg

De IGJ kan een aanwijzing geven, verscherpt toezicht instellen of in het uiterste geval de praktijk sluiten.

Belangrijke deadlines

December 2024

NEN 7510:2024 gepubliceerd

De vernieuwde versie van de norm, gebaseerd op ISO 27001:2022. Vervangt NEN 7510:2017.

20 februari 2027

Transitiedeadline

Alle zorgorganisaties moeten voldoen aan de nieuwe versie NEN 7510:2024. Bestaande NEN 7510:2017 certificaten verlopen.

Q2 2026

Cyberbeveiligingswet (NIS2)

De Nederlandse implementatie van de Europese NIS2-richtlijn voegt extra eisen toe voor grotere zorgaanbieders.

Veelgestelde vragen

Is NEN 7510 verplicht voor kleine praktijken?
Ja. Handelen naar NEN 7510 is wettelijk verplicht voor elke zorgaanbieder, ongeacht omvang. Een solopraktijk fysiotherapie heeft dezelfde wettelijke plicht als een groot ziekenhuis. De manier waarop je de norm invult mag proportioneel zijn, maar je moet aantoonbaar bezig zijn met informatiebeveiliging. Certificering is daarentegen niet verplicht.
Moet mijn praktijk NEN 7510 gecertificeerd zijn?
Nee. De IGJ, NEN, en de wet zelf stellen certificering niet verplicht. Ook de nieuwe Cyberbeveiligingswet (NIS2) vereist dit niet. Wat wel verplicht is: aantoonbaar handelen naar de norm, inclusief een onafhankelijke beoordeling minimaal elke 3 jaar. Certificering is een van de manieren om dit aan te tonen, maar niet de enige. Lees meer op onze pagina over NEN 7510 certificering.
Wat is het verschil tussen 'voldoen aan' en 'gecertificeerd zijn voor' NEN 7510?
Voldoen aan (compliance) betekent dat je een managementsysteem hebt ingericht, maatregelen hebt getroffen, en kunt aantonen dat dit in de praktijk werkt. Dit is wettelijk verplicht. Gecertificeerd zijn betekent dat een geaccrediteerde externe partij (zoals Kiwa of DigiTrust) dit formeel heeft geverifieerd en een certificaat heeft afgegeven. Dit is vrijwillig, maar maakt het aantonen van compliance eenvoudiger.
Wat is het verschil tussen NEN 7510 en ISO 27001?
NEN 7510 is gebaseerd op ISO 27001 maar voegt zorgspecifieke eisen toe. De norm bevat 8 extra 'HLT' controls die specifiek zijn voor de zorg en niet in ISO 27001 voorkomen, plus 14 controls met een extra zorgsupplement. Als je voldoet aan NEN 7510, voldoe je grotendeels ook aan ISO 27001.
Sinds wanneer is NEN 7510 verplicht?
De wettelijke basis bestaat sinds 2008 via de Wabvpz. Het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) maakte dit per 1 januari 2018 concreet door NEN 7510 en NEN 7512 bindend te verklaren. Dit is dus niet nieuw — maar de handhaving door de IGJ is de afgelopen jaren flink toegenomen.
Wat als mijn IT-leverancier zegt dat alles geregeld is?
Je IT-leverancier dekt typisch 4 van de 13 beveiligingsgebieden: wachtwoorden, logging, back-ups en technische beveiliging. De overige 9 gebieden — beleid, risicoanalyse, training, incidentbeheer, leveranciersbeheer — zijn jouw verantwoordelijkheid als praktijkhouder. Je leverancier moet overigens wel NEN 7510 of ISO 27001 gecertificeerd zijn — dat is jouw verantwoordelijkheid om te controleren.

Lees ook

NEN 7510 Checklist

Praktische checklist voor zorgpraktijken

NEN 7510 Certificering

Verschil tussen compliance en certificering

Alle 101 beheersmaatregelen

Volledig overzicht van Annex A

Weet waar je staat

Doe de gratis NEN 7510 scan en ontdek in 15 minuten op welke gebieden jouw praktijk al op orde is — en waar niet.

Doe de gratis scan