Is NEN 7510 verplicht voor mijn apotheek?

Ja. Het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) verplicht elke zorgaanbieder om te handelen naar NEN 7510. Dat geldt voor zelfstandige apotheken, apotheekketen en ziekenhuisapotheken. De omvang maakt niet uit — de verplichting geldt voor iedereen die patientgegevens verwerkt.

Hoe zorg ik dat medewerkers niet bij alle patientgegevens kunnen?

Richt rolgebaseerde toegangscontrole in binnen je AIS. Niet elke medewerker hoeft de volledige medicatiehistorie te zien. Geef medewerkers alleen toegang tot de functies en gegevens die ze nodig hebben voor hun dagelijks werk. Controleer periodiek of de toegangsrechten nog kloppen.

Wat als mijn AIS-leverancier al NEN 7510 gecertificeerd is?

Dat is goed — het betekent dat de technische beveiliging van het systeem op orde is. Maar jij blijft verantwoordelijk voor het gebruik: wie heeft toegang, hoe gaan medewerkers om met gegevens, wat doe je bij een incident, en hoe train je je team. De leverancier dekt typisch een deel van de beveiligingsgebieden, niet het geheel.

Moet ik de fysieke beveiliging van de apotheek ook regelen?

Ja. NEN 7510 gaat niet alleen over digitale beveiliging. Fysieke toegang tot werkstations, serverruimtes en opslaglocaties is een belangrijk onderdeel. Denk aan schermblokkering bij baliewerkstations, afgesloten serverkasten en beperkte toegang tot ruimtes met gevoelige apparatuur.

Hoe lang duurt het om NEN 7510 te implementeren in een apotheek?

Voor een gemiddelde apotheek kun je de basis in 3 tot 6 maanden op orde hebben, afhankelijk van de complexiteit van je systeemlandschap. Apotheken met veel koppelingen en meerdere locaties hebben meer tijd nodig. Het belangrijkste is dat je begint en het als doorlopend proces ziet.

Apotheken

NEN 7510 voor de apotheek

Als apotheker verwerk je dagelijks grote hoeveelheden medicatiegegevens en wissel je informatie uit met huisartsen, ziekenhuizen en zorgverzekeraars. De apotheek is een knooppunt van gevoelige gegevens. NEN 7510 helpt je om die gegevens te beschermen.

Waarom NEN 7510 voor apotheken?

De apotheek verwerkt niet alleen medicatiegegevens, maar is ook gekoppeld aan talloze systemen: huisartsinformatiesystemen, ziekenhuissystemen, het LSP en zorgverzekeraars. Die vele koppelingen maken informatiebeveiliging complex maar essentieel.

Medicatiegegevens zijn zeer gevoelig

Medicatiehistorie vertelt veel over iemands gezondheid: psychiatrische aandoeningen, hiv-medicatie, verslavingszorg. Een lek van medicatiegegevens kan leiden tot stigmatisering en discriminatie.

Het is wettelijk verplicht

Het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) verplicht elke zorgaanbieder — dus ook jouw apotheek — om te handelen naar NEN 7510. Dit geldt voor zelfstandige apotheken, ketens en ziekenhuisapotheken.

Veel systeemkoppelingen vergroten het aanvalsoppervlak

Je Apotheek Informatie Systeem (AIS) is gekoppeld aan het HIS van huisartsen, het LSP, zorgverzekeraars en leveranciers. Elke koppeling is een potentieel toegangspunt voor ongeautoriseerde toegang.

KNMP verwacht het

De Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) stelt kwaliteitseisen waaraan informatiebeveiliging een vast onderdeel is. Bij kwaliteitsaudits wordt hier expliciet naar gekeken.

De 5 grootste risico's voor apotheken

Dit zijn de meest voorkomende kwetsbaarheden die we zien bij apotheken. Herken je er een of meer? Dan is dat een signaal om actie te ondernemen.

Meerdere medewerkers in hetzelfde AIS

Apotheekmedewerkers delen soms inloggegevens voor het AIS of werken met generieke accounts. Hierdoor is niet te achterhalen wie wanneer welk patientdossier heeft ingezien.

Medicatiehistorie breed zichtbaar

De volledige medicatiehistorie is zichtbaar voor iedereen met AIS-toegang. Zonder rolgebaseerde toegangscontrole kan elke medewerker alle medicatiegegevens van alle patienten inzien.

Onversleutelde gegevensuitwisseling

Communicatie met voorschrijvers via onbeveiligde e-mail of fax. Recepten en medicatiewijzigingen die zonder versleuteling worden verzonden, zijn kwetsbaar voor onderschepping.

Fysieke toegang tot werkstations

Baliewerkstations die toegankelijk zijn voor publiek, achtergrondsystemen die niet vergrendeld worden bij het verlaten van de werkplek, en onbeveiligde serverruimtes.

Legacy softwarekoppelingen

Oudere koppelingen met andere systemen die niet meer worden bijgewerkt of beveiligd. Legacy-interfaces vormen een risico omdat ze vaak bekende kwetsbaarheden bevatten.

Wat moet je regelen?

NEN 7510 lijkt overweldigend, maar voor een apotheek komt het neer op een overzichtelijk aantal praktische maatregelen. Dit zijn de belangrijkste:

Rolgebaseerde toegang in het AIS

Niet elke medewerker hoeft alles te zien. Richt rollen in zodat medewerkers alleen toegang hebben tot de gegevens die ze nodig hebben voor hun functie.

Audit logging

Registreer wie wanneer welk dossier opent of wijzigt. Controleer de logs periodiek op afwijkingen en ongeautoriseerde inzages.

Beveiligde communicatie met voorschrijvers

Gebruik beveiligde kanalen voor de uitwisseling van recepten en medicatiegegevens. Geen onbeveiligde e-mail of fax voor patientgegevens.

Fysieke beveiliging van werkstations

Baliewerkstations automatisch vergrendelen, schermen afschermen van publiek, en serverruimtes afsluiten. Voorkom dat patienten mee kunnen kijken.

Verwerkersovereenkomsten

Sluit verwerkersovereenkomsten af met je AIS-leverancier (Pharmacom, CGM Apotheek), ICT-beheerder en andere partijen die patientgegevens verwerken.

LSP-beveiliging

Zorg dat je LSP-aansluiting voldoet aan de VZVZ-eisen. Controleer regelmatig of de certificaten geldig zijn en de configuratie up-to-date is.

Incidentprocedure

Een duidelijk stappenplan voor datalekken: wie doet wat, wanneer meld je bij de AP, en hoe communiceer je naar patienten?

Risico-analyse

Breng in kaart welke risico's jouw apotheek loopt, met speciale aandacht voor de vele systeemkoppelingen en de fysieke toegankelijkheid.

Belangrijk: je AIS-leverancier en ICT-beheerder regelen een deel hiervan (technische beveiliging, koppelingen), maar jij blijft als apotheekhouder verantwoordelijk voor het geheel. Beleid, training, risico-analyse en incidentbeheer zijn jouw verantwoordelijkheid.

Systeemkoppelingen en het LSP

De apotheek is een knooppunt in de keten van zorgverleners. Dat betekent veel gegevensuitwisseling en veel koppelingen om te beveiligen.

Het LSP als ruggengraat

Het Landelijk Schakelpunt (LSP) maakt het mogelijk om medicatiegegevens veilig uit te wisselen met andere zorgverleners. Zorg dat je LSP-aansluiting goed is geconfigureerd en dat certificaten actueel zijn.

Elke koppeling is een risico

Koppelingen met HIS-systemen, ziekenhuissystemen, zorgverzekeraars en leveranciers zijn allemaal potentiele toegangspunten. Inventariseer alle koppelingen en beoordeel of ze nog nodig en veilig zijn.

Begin met een nulmeting

Weet je niet waar je staat? Een nulmeting geeft je inzicht in welke gebieden al op orde zijn en waar je moet verbeteren. NENHulp helpt je om die nulmeting te doen en een plan van aanpak te maken.

Veelgestelde vragen

Is NEN 7510 verplicht voor mijn apotheek?: Ja. Het Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) verplicht elke zorgaanbieder om te handelen naar NEN 7510. Dat geldt voor zelfstandige apotheken, apotheekketen en ziekenhuisapotheken. De omvang maakt niet uit — de verplichting geldt voor iedereen die patientgegevens verwerkt.
Hoe zorg ik dat medewerkers niet bij alle patientgegevens kunnen?: Richt rolgebaseerde toegangscontrole in binnen je AIS. Niet elke medewerker hoeft de volledige medicatiehistorie te zien. Geef medewerkers alleen toegang tot de functies en gegevens die ze nodig hebben voor hun dagelijks werk. Controleer periodiek of de toegangsrechten nog kloppen.
Wat als mijn AIS-leverancier al NEN 7510 gecertificeerd is?: Dat is goed — het betekent dat de technische beveiliging van het systeem op orde is. Maar jij blijft verantwoordelijk voor het gebruik: wie heeft toegang, hoe gaan medewerkers om met gegevens, wat doe je bij een incident, en hoe train je je team. De leverancier dekt typisch een deel van de beveiligingsgebieden, niet het geheel.
Moet ik de fysieke beveiliging van de apotheek ook regelen?: Ja. NEN 7510 gaat niet alleen over digitale beveiliging. Fysieke toegang tot werkstations, serverruimtes en opslaglocaties is een belangrijk onderdeel. Denk aan schermblokkering bij baliewerkstations, afgesloten serverkasten en beperkte toegang tot ruimtes met gevoelige apparatuur.
Hoe lang duurt het om NEN 7510 te implementeren in een apotheek?: Voor een gemiddelde apotheek kun je de basis in 3 tot 6 maanden op orde hebben, afhankelijk van de complexiteit van je systeemlandschap. Apotheken met veel koppelingen en meerdere locaties hebben meer tijd nodig. Het belangrijkste is dat je begint en het als doorlopend proces ziet.

Lees ook

Is NEN 7510 verplicht?

Wettelijke basis en wat de IGJ verwacht

NEN 7510 Checklist

Praktische checklist voor zorgpraktijken

NEN 7510 voor huisartsen

Informatiebeveiliging in de huisartsenpraktijk

Weet waar jouw praktijk staat

Doe de gratis NEN 7510 scan en ontdek in 15 minuten welke onderdelen van informatiebeveiliging je al op orde hebt — en waar je actie moet ondernemen.

Doe de gratis scan