Van certificaat naar praktijk: waar zorgorganisaties nu de meeste gaten hebben in NEN 7510

Een certificaat voelt vaak als bevestiging dat je het goed geregeld hebt. En dat is het ook, tot op zekere hoogte. Maar bij de overgang naar NEN 7510:2024 zien veel organisaties iets ongemakkelijks gebeuren: ze hebben beleid, processen en een certificaat, maar toch blijken er in de praktijk gaten te zitten. 

veranderen bewustzijn ib

Niet omdat alles fout is ingericht. Wel omdat de nieuwe norm scherper zichtbaar maakt waar borging ontbreekt. 

Dat is een belangrijk onderscheid. Deze blog gaat niet over “wat zorgorganisaties verkeerd doen”, maar over de plekken waar samenhang en aantoonbaarheid in de praktijk het vaakst tekortschieten. 

1. Onduidelijk eigenaarschap

Een van de meest voorkomende gaten is dat het formeel wel duidelijk lijkt wie verantwoordelijk is, maar dat het in de praktijk niet leeft. Er is bijvoorbeeld een proceseigenaar benoemd, maar die weet niet precies wat er van hem of haar verwacht wordt. Of informatiebeveiliging ligt impliciet bij kwaliteit, IT en privacy tegelijk, waardoor niemand echt regie pakt. 

Onder de nieuwe norm valt dat sneller op. Zeker als auditors doorvragen op verantwoordelijkheden, opvolging en besluitvorming.

2.Verouderde risicoanalyses

Veel organisaties hebben een risicoanalyse. Minder organisaties hebben een risicoanalyse die nog actueel, volledig en echt verbonden is aan de huidige praktijk. Soms is de analyse ooit goed opgezet, maar daarna niet meer goed bijgewerkt. Of risico’s zijn wel benoemd, maar niet duidelijk gekoppeld aan concrete maatregelen en evaluatie. 

Daardoor ontstaat schijnzekerheid. Op papier is er een analyse, maar in de praktijk geeft die onvoldoende richting.

3. Te weinig grip op leveranciers

Leveranciers zijn in zorgorganisaties bijna altijd een relevante factor. Van EPD’s tot hosting, van medische systemen tot ondersteunende software. Toch zien we vaak dat leveranciersbeheersing op hoofdlijnen is geregeld, maar niet structureel is ingebed in het managementsysteem. 

Denk aan contracten die er wel zijn, maar zonder goede opvolging. Of afhankelijkheden die bekend zijn bij IT, maar niet zichtbaar zijn in de bredere risicobeoordeling. 

4. Awareness als vinkje

Bijna elke organisatie doet iets aan awareness. Maar juist daar zit vaak een blinde vlek. Awareness is geregeld als activiteit, niet als beheerst onderdeel van het systeem. Er is bijvoorbeeld een training geweest, maar er wordt niet gemeten of het gedrag verandert. Of de organisatie kan niet aantonen welke doelgroepen wanneer zijn bereikt. 

De nieuwe norm maakt dat sneller zichtbaar, omdat het niet meer voldoende is om alleen te zeggen dát je iets doet. 

5. Onvoldoende aantoonbaarheid van opvolging

Misschien wel de meest onderschatte zwakte. Er zijn bevindingen, acties en verbeterpunten, maar ze staan verspreid in notulen, actielijsten, losse documenten en mailboxen. Daardoor is opvolging moeilijk aantoonbaar. 

Dit zie je vaak terug in situaties als: 

  • beleid is bijgewerkt, maar niemand kan laten zien hoe de wijziging is doorgevoerd 
  • risico’s zijn benoemd, maar niet zichtbaar gekoppeld aan maatregelen 
  • verbeteracties zijn besproken, maar niet structureel gevolgd 

Waarom de nieuwe norm dit scherper maakt 

NEN 7510:2024 vraagt niet alleen om losse onderdelen, maar om een levend systeem. De norm kijkt scherper naar samenhang, eigenaarschap en bewijs van opvolging. Juist daarom komen deze gaten nu sneller aan het licht. 

Hoe bepaal je waar jouw grootste gaten zitten? 

Niet door te wachten tot de audit. Wel door gericht te kijken naar de plekken waar beleid, uitvoering en bewijs elkaar niet goed raken. Een goede gap-analyse helpt om die blinde vlekken zichtbaar te maken, zonder direct alles om te gooien. 

Het doel is niet om te bewijzen dat je tekortschiet. Het doel is om te weten waar je gericht moet verbeteren. 

Vraag een NEN 7510 gap-analyse aan en ontdek waar jouw grootste transitiegaten zitten. 

Morgen starten met de NEN7510:2024: Aan de hand van deze 4 thema’s

Met je handen in het haar, hoe te beginnen met de NEN7510. De norm voelt groot, de agenda zit vol en niemand wil een transitieproject starten zonder d...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Heb je een vraag over onze diensten?

Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!