Veel zorgorganisaties weten dat de overgang naar NEN 7510:2024 eraan komt. De deadline van 20 februari 2027 komt steeds dichterbij, het onderwerp komt af en toe terug in een overleg en iedereen voelt wel aan dat er iets moet gebeuren. Maar juist daar zit het risico. Niet in de deadline zelf, maar in het idee dat je die overgang later nog wel even regelt.
Dat is precies waar organisaties vastlopen.
De overgang naar de herziene NEN 7510 is namelijk zelden een kwestie van een paar documenten actualiseren vlak voor de audit. Het echte werk zit in alles wat daarvoor moet gebeuren. Je moet eerst begrijpen wat er verandert. Daarna moet je bepalen wat dat betekent voor jouw organisatie. Vervolgens moet je eigenaarschap beleggen, beleid en maatregelen actualiseren, keuzes maken in prioriteiten, interne afstemming organiseren en aantoonbaar maken dat de nieuwe inrichting ook echt werkt.
En juist dat kost tijd.
De fout die veel organisaties maken, is dat ze de deadline behandelen alsof het een losse datum is. Alsof het traject pas urgent wordt als de audit dichterbij komt. In de praktijk ontstaat de druk veel eerder. Niet omdat auditors moeilijk doen, maar omdat het voorbereidende werk vaak groter blijkt dan gedacht.
Een organisatie kan bijvoorbeeld al jaren gecertificeerd zijn en daarom denken dat de basis wel op orde is. Totdat blijkt dat de risicoanalyse verouderd is, dat maatregelen niet goed zijn gekoppeld aan eigenaarschap of dat de opvolging van bevindingen wel in losse notulen staat, maar niet echt aantoonbaar is. Dan wordt de overgang ineens geen update, maar een uitvoeringsvraagstuk.
In transitieprojecten gaat de meeste tijd zelden verloren op normuitleg. De echte vertraging zit meestal in:
Juist in zorgorganisaties speelt daar nog iets extra’s. Informatiebeveiliging raakt zelden één afdeling. Kwaliteit, IT, privacy, management, proceseigenaren en soms ook leveranciers moeten allemaal aanhaken. Daardoor kost afstemming meer tijd dan organisaties vooraf verwachten.
Als je straks zonder tijdsdruk naar een audit wilt toewerken, moet er ruim vóór die datum al een aantal dingen staan:
Dat laatste wordt nog vaak onderschat. De nieuwe norm legt niet alleen druk op wat je hebt opgeschreven, maar juist ook op hoe je laat zien dat het leeft in de organisatie.
Wachten voelt logisch. De audit is nog niet morgen. Er lopen andere projecten. De operatie gaat voor. En zolang de pijn niet direct voelbaar is, schuift de overgang naar de achtergrond.
Maar precies daardoor ontstaat later auditstress. Dan moet er ineens in korte tijd een analyse worden gedaan, beleid worden aangepast, bewijs worden verzameld en interne besluitvorming worden georganiseerd. Wat eerder een beheersbaar traject had kunnen zijn, verandert dan in een versneld herstelproject.
Als je wilt voorkomen dat je straks vastloopt, dan is dit het moment om te starten met een eerste impactanalyse. Niet om meteen alles om te gooien, maar om helder te krijgen:
De deadline komt niet dichterbij omdat de datum zo dreigend is. De deadline komt dichterbij omdat het werk ervoor tijd vraagt.
Plan een NEN 7510-nulmeting en krijg scherp waar jouw grootste transitierisico’s zitten.
