Wat betekent de nieuwe NEN 7510 norm voor jouw organisatie?

Ransomware, diefstal van persoonlijke gegevens, vervalste digitale facturen:  organisaties worden steeds vaker getroffen door cyberaanvallen. Geen verrassing, dus, dat er een toenemende mate aan wet- en regelgeving is om belangrijke informatie te beschermen. Zo is recentelijk ook de NEN 7510 herzien. NEN 7510:2024 is in lijn gebracht met mondiale en Europese richtlijnen rond informatiebeveiliging en vraagt zorginstellingen om een aantal nieuwe maatregelen te nemen. Wat betekent de NEN 7510:2024 voor jouw organisatie? 

Wat is NEN 7510?  

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. De NEN 7510 norm legt dezelfde basis voor informatiebeveiliging als ISO 27001, maar heeft als aanvulling een focus op persoonlijke gezondheidsinformatie. Door aantoonbaar te voldoen aan NEN 7510 toont een zorgaanbieder dat er zorgvuldig wordt omgegaan met medische gezondheidsinformatie en patiëntgegevens.  

NEN 7510 is een Information Security Management System (ISMS). Met een ISMS beheert een organisatie de informatiebeveiliging, bijvoorbeeld via IT-oplossingen, procedures en beleidsafspraken. Je kunt erop vertrouwen dat een ISMS volgens NEN 7510 de informatiebeveiliging van jouw zorginstelling borgt. 

De nieuwe NEN 7510 norm: NEN 7510:2024 

In december 2024 is NEN 7510 vernieuwd naar de NEN 7510:2024. NEN 7510:2024 is in lijn gebracht met de internationale ISO-normen en sluit beter aan op nationale en Europese regelgeving, zoals de NIS2-richtlijn. NEN 7510 certificering brengt een aantal wijzigingen met zich mee:

• De NEN 7510:2024 wordt vormgegeven via de Harmonized Structure. Dankzij deze vaste hoofdstukindeling is NEN 7510 beter afgestemd op andere internationale veiligheidsnormen, zoals ISO 27001.
• De 117 beheersmaatregelen zijn samengevoegd naar 101 en verdeeld over vier hoofdstukken: Organisatorisch, Mensgericht, Fysiek en Technologisch.
• In lijn met andere ISO-normen moeten organisaties nu ook de impact van klimaatveranderingen meenemen.
• De nieuwe NEN 7510:2024 vraagt meer duidelijkheid van organisaties. Zorginstellingen moeten bijvoorbeeld explicieter aangeven of ze wettelijke en contractuele informatiebeveiligingseisen opnemen in hun ISMS. 

Wat betekent de nieuwe NEN 7510 norm voor jouw organisatie? 

Elke organisatie legt een ander pad af naar NEN 7510 certificering. De stappen die je moet nemen, hangen af van de specifieke uitdagingen én huidige certificaten die jouw organisatie heeft. Heb je bijvoorbeeld een oude NEN 7510 certificering of een ISO 27001 certificering? Dan heb je al flink wat werk achter de rug.

1. Heeft jouw organisatie recent ISO 27001:2022 certificering behaald? Dan ben je voor een groot deel al compliant en kun je direct aan de slag met de zorg specifieke maatregelen van NEN 7510:2024.
2. Is je organisatie gecertificeerd volgens de oude NEN7510 norm? Dan is het tijd om het huidige ISMS te herzien. Het ISMS lijkt in grote lijnen nog op de oude NEN 7510, maar de indeling van de beheersmaatregelen is aangepast. Enkele aanpassingen vragen om extra aandacht, zoals het duidelijker opnemen van informatiebeveiligingseisen in het ISMS. Ook moet de impact van klimaatveranderingen in de nieuwe NEN 7510:2024 worden meegenomen. 

Veel maatregelen voor de nieuwe NEN 7510 zijn context- en bedrijfsgebonden. Ben je benieuwd wat de nieuwe norm concreet betekent voor jouw organisatie? Dan is het verstandig om dit samen met een adviseur in kaart te brengen.  

Wanneer overgaan op de nieuwe NEN 7510?

Op donderdag 20 februari 2025 is NCS 7510:2025 ‘Conformiteitsbeoordeling – Eisen aan instellingen die audits ten behoeve van certificatie van informatiebeveiligingsmanagementsystemen in de zorg uitvoeren’ gepubliceerd. Certificaathouders moeten vóór 20 februari 2027 gecertificeerd zijn tegen de nieuwe norm.  Het is verstandig om op tijd te beginnen met jouw pad naar NEN 7510:2024. Begin bijvoorbeeld vast met een nulmeting en ontdek welke maatregelen de organisatie al volgt en wat er nog moet gebeuren. En vergeet niet: NEN 7510 moet uiteindelijk getoetst worden via een externe audit van een gecertificeerde instelling.  

Doorgroeien naar de nieuwe NEN 7510 norm vraagt om inspanning van alle zorginstellingen. Met een vroege start en een goede voorbereiding kun je op tijd voldoen aan de verwachtingen van deze norm. Zo blijf je de informatiebeveiliging van jouw organisatie borgen: nu én in de toekomst.  

Aan de slag met de nieuwe NEN 7510?

Onze experts helpen je graag in jouw pad naar NEN 7510 compliancy. Wil je weten hoe onze experts jou kunnen helpen? Neem dan contact met ons op.
Of bekijk onze NEN 7510 Transitieservice, een dienst speciaal ontwikkeld voor organisaties in de zorg en haar leveranciers.