Veel zorgorganisaties weten inmiddels dát er iets is veranderd in de NEN 7510. Maar zodra het gesprek concreet wordt, blijft het vaak stil. Wat is er dan precies nieuw? Gaat het om een paar aangescherpte eisen, of vraagt deze versie echt iets anders van je organisatie?

Het eerlijke antwoord is: meer dan een documentupdate, maar minder ongrijpbaar dan het soms klinkt.
De nieuwe versie van de norm sluit beter aan op ISO 27001:2022 en dwingt organisaties om informatiebeveiliging breder en samenhangender te benaderen. Niet als verzameling losse maatregelen, maar als een systeem dat werkt over mensen, middelen, processen en organisatie heen.
Dat is logisch. De meeste organisaties lezen normwijzigingen niet als dagelijkse kost. Ze horen dat de norm is aangepast, krijgen signalen uit audits of van klanten en proberen daarna te bepalen wat dat praktisch betekent. Juist daar gaat het vaak mis. Want als je de wijziging alleen vertaalt naar documenten, mis je de echte beweging.
NEN 7510:2024 vraagt om een bredere blik. Niet alleen op beleid en IT, maar op vier thema’s die in de praktijk altijd samenkomen:
Informatiebeveiliging staat of valt niet alleen met techniek. Medewerkers moeten weten wat er van hen verwacht wordt, welke risico’s er spelen en hoe zij moeten handelen. Het gaat dus niet alleen om awareness, maar ook om duidelijke verantwoordelijkheden.
In gewone taal: als niemand precies weet wie waarvoor aan de lat staat, wordt het lastig om aantoonbaar te werken volgens de norm.
De norm kijkt ook nadrukkelijk naar de fysieke context. Toegang tot ruimtes, apparaten, werkplekken en informatiestromen speelt een rol in hoe veilig gegevens in de praktijk zijn.
Denk aan werkplekken met onbeheerde schermen, papieren informatie op afdelingen of apparatuur die fysiek toegankelijk is voor mensen die daar niet zouden moeten komen. Dat zijn geen bijzaken. Het zijn onderdelen van dezelfde beveiligingsketen.
Technologie blijft een belangrijk onderdeel, maar de nadruk ligt minder op “heb je een maatregel?” en meer op “werkt die maatregel in samenhang met de rest?”. Kritieke systemen, technische afhankelijkheden, logging, monitoring en toegangsbeheer moeten niet los worden bekeken, maar als onderdeel van een geheel.
Voor zorgorganisaties betekent dat: verder kijken dan losse technische oplossingen en beter begrijpen wat cruciaal is voor patiëntenzorg, continuïteit en vertrouwelijkheid.
Misschien wel de grootste verandering in de praktijk zit hier. De norm vraagt om meer samenhang tussen beleid, verantwoordelijkheden, opvolging en verbetering. Niet alleen regels op papier, maar een werkend systeem waarin je laat zien dat je:
Oftewel: een PDCA-cyclus die echt leeft.
Voor veel zorgorganisaties betekent dit dat de vraag niet meer is: welke documenten moeten we aanpassen? De echte vraag is: waar in onze organisatie ontbreekt samenhang? Als je dat scherp krijgt, wordt de overgang veel overzichtelijker. Dan zie je namelijk dat de norm niet vraagt om meer papier, maar om betere verbinding tussen bestaande onderdelen.
Begin met een impactanalyse op deze vier thema’s. Kijk per thema:
Dan wordt de norm ineens een stuk minder abstract.
Plan een updategesprek over de impact van NEN 7510:2024 op jouw organisatie.