Een certificaat voelt vaak als bevestiging dat je het goed geregeld hebt. En dat is het ook, tot op zekere hoogte. Maar bij de overgang naar NEN 7510:2024 zien veel organisaties iets ongemakkelijks gebeuren: ze hebben beleid, processen en een certificaat, maar toch blijken er in de praktijk gaten te zitten.

Niet omdat alles fout is ingericht. Wel omdat de nieuwe norm scherper zichtbaar maakt waar borging ontbreekt.
Dat is een belangrijk onderscheid. Deze blog gaat niet over “wat zorgorganisaties verkeerd doen”, maar over de plekken waar samenhang en aantoonbaarheid in de praktijk het vaakst tekortschieten.
Een van de meest voorkomende gaten is dat het formeel wel duidelijk lijkt wie verantwoordelijk is, maar dat het in de praktijk niet leeft. Er is bijvoorbeeld een proceseigenaar benoemd, maar die weet niet precies wat er van hem of haar verwacht wordt. Of informatiebeveiliging ligt impliciet bij kwaliteit, IT en privacy tegelijk, waardoor niemand echt regie pakt.
Onder de nieuwe norm valt dat sneller op. Zeker als auditors doorvragen op verantwoordelijkheden, opvolging en besluitvorming.
Veel organisaties hebben een risicoanalyse. Minder organisaties hebben een risicoanalyse die nog actueel, volledig en echt verbonden is aan de huidige praktijk. Soms is de analyse ooit goed opgezet, maar daarna niet meer goed bijgewerkt. Of risico’s zijn wel benoemd, maar niet duidelijk gekoppeld aan concrete maatregelen en evaluatie.
Daardoor ontstaat schijnzekerheid. Op papier is er een analyse, maar in de praktijk geeft die onvoldoende richting.
Leveranciers zijn in zorgorganisaties bijna altijd een relevante factor. Van EPD’s tot hosting, van medische systemen tot ondersteunende software. Toch zien we vaak dat leveranciersbeheersing op hoofdlijnen is geregeld, maar niet structureel is ingebed in het managementsysteem.
Denk aan contracten die er wel zijn, maar zonder goede opvolging. Of afhankelijkheden die bekend zijn bij IT, maar niet zichtbaar zijn in de bredere risicobeoordeling.
Bijna elke organisatie doet iets aan awareness. Maar juist daar zit vaak een blinde vlek. Awareness is geregeld als activiteit, niet als beheerst onderdeel van het systeem. Er is bijvoorbeeld een training geweest, maar er wordt niet gemeten of het gedrag verandert. Of de organisatie kan niet aantonen welke doelgroepen wanneer zijn bereikt.
De nieuwe norm maakt dat sneller zichtbaar, omdat het niet meer voldoende is om alleen te zeggen dát je iets doet.
Misschien wel de meest onderschatte zwakte. Er zijn bevindingen, acties en verbeterpunten, maar ze staan verspreid in notulen, actielijsten, losse documenten en mailboxen. Daardoor is opvolging moeilijk aantoonbaar.
Dit zie je vaak terug in situaties als:
NEN 7510:2024 vraagt niet alleen om losse onderdelen, maar om een levend systeem. De norm kijkt scherper naar samenhang, eigenaarschap en bewijs van opvolging. Juist daarom komen deze gaten nu sneller aan het licht.
Niet door te wachten tot de audit. Wel door gericht te kijken naar de plekken waar beleid, uitvoering en bewijs elkaar niet goed raken. Een goede gap-analyse helpt om die blinde vlekken zichtbaar te maken, zonder direct alles om te gooien.
Het doel is niet om te bewijzen dat je tekortschiet. Het doel is om te weten waar je gericht moet verbeteren.
Vraag een NEN 7510 gap-analyse aan en ontdek waar jouw grootste transitiegaten zitten.