NEN 7510:2024 in gewone taal: wat is er echt veranderd voor zorgorganisaties?

Veel zorgorganisaties weten inmiddels dát er iets is veranderd in de NEN 7510. Maar zodra het gesprek concreet wordt, blijft het vaak stil. Wat is er dan precies nieuw? Gaat het om een paar aangescherpte eisen, of vraagt deze versie echt iets anders van je organisatie? 

Het eerlijke antwoord is: meer dan een documentupdate, maar minder ongrijpbaar dan het soms klinkt.

De nieuwe versie van de norm sluit beter aan op ISO 27001:2022 en dwingt organisaties om informatiebeveiliging breder en samenhangender te benaderen. Niet als verzameling losse maatregelen, maar als een systeem dat werkt over mensen, middelen, processen en organisatie heen. 

Waarom veel organisaties het verschil nog niet scherp hebben 

Dat is logisch. De meeste organisaties lezen normwijzigingen niet als dagelijkse kost. Ze horen dat de norm is aangepast, krijgen signalen uit audits of van klanten en proberen daarna te bepalen wat dat praktisch betekent. Juist daar gaat het vaak mis. Want als je de wijziging alleen vertaalt naar documenten, mis je de echte beweging. 

NEN 7510:2024 vraagt om een bredere blik. Niet alleen op beleid en IT, maar op vier thema’s die in de praktijk altijd samenkomen: 

  • mens 
  • fysiek 
  • technologie 
  • organisatie 

1. Mens: gedrag en verantwoordelijkheden worden zichtbaarder

Informatiebeveiliging staat of valt niet alleen met techniek. Medewerkers moeten weten wat er van hen verwacht wordt, welke risico’s er spelen en hoe zij moeten handelen. Het gaat dus niet alleen om awareness, maar ook om duidelijke verantwoordelijkheden. 

In gewone taal: als niemand precies weet wie waarvoor aan de lat staat, wordt het lastig om aantoonbaar te werken volgens de norm. 

2. Fysiek: beveiliging stopt niet bij het netwerk

De norm kijkt ook nadrukkelijk naar de fysieke context. Toegang tot ruimtes, apparaten, werkplekken en informatiestromen speelt een rol in hoe veilig gegevens in de praktijk zijn. 

Denk aan werkplekken met onbeheerde schermen, papieren informatie op afdelingen of apparatuur die fysiek toegankelijk is voor mensen die daar niet zouden moeten komen. Dat zijn geen bijzaken. Het zijn onderdelen van dezelfde beveiligingsketen. 

3. Technologie: niet alleen systemen hebben, maar ze ook beheersen

Technologie blijft een belangrijk onderdeel, maar de nadruk ligt minder op “heb je een maatregel?” en meer op “werkt die maatregel in samenhang met de rest?”. Kritieke systemen, technische afhankelijkheden, logging, monitoring en toegangsbeheer moeten niet los worden bekeken, maar als onderdeel van een geheel. 

Voor zorgorganisaties betekent dat: verder kijken dan losse technische oplossingen en beter begrijpen wat cruciaal is voor patiëntenzorg, continuïteit en vertrouwelijkheid. 

4. Organisatie: eigenaarschap, beleid en PDCA moeten samenkomen

Misschien wel de grootste verandering in de praktijk zit hier. De norm vraagt om meer samenhang tussen beleid, verantwoordelijkheden, opvolging en verbetering. Niet alleen regels op papier, maar een werkend systeem waarin je laat zien dat je: 

  • risico’s kent 
  • maatregelen kiest 
  • opvolging organiseert 
  • verbetert waar nodig 

Oftewel: een PDCA-cyclus die echt leeft. 

Wat dit praktisch verandert

Voor veel zorgorganisaties betekent dit dat de vraag niet meer is: welke documenten moeten we aanpassen? De echte vraag is: waar in onze organisatie ontbreekt samenhang? Als je dat scherp krijgt, wordt de overgang veel overzichtelijker. Dan zie je namelijk dat de norm niet vraagt om meer papier, maar om betere verbinding tussen bestaande onderdelen. 

Waar begin je dan?

Begin met een impactanalyse op deze vier thema’s. Kijk per thema: 

  • wat is al ingericht
  • waar zitten gaten
  • waar is eigenaarschap onduidelijk
  • welke onderdelen vragen het meeste werk

Dan wordt de norm ineens een stuk minder abstract. 

Plan een updategesprek over de impact van NEN 7510:2024 op jouw organisatie. 

Morgen starten met de NEN7510:2024: Aan de hand van deze 4 thema’s

Met je handen in het haar, hoe te beginnen met de NEN7510. De norm voelt groot, de agenda zit vol en niemand wil een transitieproject starten zonder d...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Heb je een vraag over onze diensten?

Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!