VacaturesZorgorganisaties werken dagelijks met zeer gevoelige persoonsgegevens. Medische dossiers, behandelgegevens en cliëntinformatie vragen om een zorgvuldige omgang, niet alleen vanuit professioneel oogpunt, maar ook vanwege wettelijke verplichtingen. Dat roept bij veel organisaties dezelfde vraag op: is NEN 7510 verplicht in de zorg, of niet?
Het korte antwoord is: NEN 7510 is geen wet, maar in de praktijk vaak wél noodzakelijk. In deze blog leggen we uit hoe dat zit, welke wetgeving hierbij een rol speelt en waarom NEN 7510 in de zorgsector zo’n belangrijke norm is geworden.
Is NEN 7510 wettelijk verplicht?
NEN 7510 is niet letterlijk vastgelegd in de wet als verplichte norm. Er bestaat dus geen artikel waarin staat dat elke zorgorganisatie gecertificeerd moet zijn volgens NEN 7510. Toch is de norm in de zorgsector vrijwel onmisbaar geworden.
De reden hiervoor is dat verschillende wetten eisen stellen aan de beveiliging van zorginformatie, zonder precies voor te schrijven hoe u dat moet inrichten. NEN 7510 biedt hiervoor een erkend en concreet kader. Toezichthouders, zorginstellingen en ketenpartners gebruiken deze norm daarom als maatstaf om te beoordelen of informatiebeveiliging “passend” is geregeld.
Welke wetgeving stelt eisen aan informatiebeveiliging in de zorg?
In de zorgsector gelden meerdere wetten die organisaties verplichten om persoonsgegevens en medische informatie goed te beveiligen. De belangrijkste daarvan is de Algemene verordening gegevensbescherming (AVG). Deze wet schrijft voor dat organisaties passende technische en organisatorische maatregelen moeten nemen om persoonsgegevens te beschermen tegen verlies, onbevoegde toegang en misbruik.
Daarnaast geldt specifiek voor de zorg de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz). Deze wet stelt extra eisen aan de omgang met medische gegevens, zoals het zorgvuldig vastleggen van toegang tot dossiers en het correct omgaan met inzage en logging.
Ook de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) speelt een rol. Deze wet verplicht zorgaanbieders om veilige en verantwoorde zorg te leveren. Goede informatiebeveiliging is daarbij een onmisbaar onderdeel, omdat fouten of datalekken directe gevolgen kunnen hebben voor patiëntveiligheid.
Hoewel deze wetten geen normnaam noemen, verwachten toezichthouders wel dat organisaties hun informatiebeveiliging aantoonbaar en structureel hebben ingericht. In de praktijk wordt NEN 7510 daarvoor als referentiekader gebruikt.
Hoe kijken toezichthouders naar NEN 7510?
Toezichthouders zoals de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd beoordelen niet alleen of regels bestaan, maar vooral of informatiebeveiliging in de praktijk werkt. Zij gebruiken NEN 7510 vaak als uitgangspunt bij controles en onderzoeken.
Wanneer een zorgorganisatie kan aantonen dat zij werkt volgens NEN 7510, laat zij zien dat informatiebeveiliging systematisch, risicogestuurd en volgens een erkende norm is ingericht. Dat verkleint de kans op sancties en versterkt de positie van de organisatie bij toezicht of incidenten.
Wanneer wordt NEN 7510 in de praktijk verplicht?
Ook al is NEN 7510 geen wettelijke verplichting, in de praktijk wordt de norm vaak contractueel verplicht gesteld. Zorginstellingen eisen steeds vaker van hun leveranciers en samenwerkingspartners dat zij aantoonbaar voldoen aan NEN 7510. Dit wordt vastgelegd in contracten, verwerkersovereenkomsten en aanbestedingen.
Voor ICT-leveranciers, softwareontwikkelaars, hostingpartijen en andere dienstverleners die toegang hebben tot zorgdata, is NEN 7510 daarom vaak een harde eis om überhaupt zaken te kunnen doen in de zorg.
Daarnaast verwachten steeds meer zorgverzekeraars en ketenpartners dat zorgorganisaties hun informatiebeveiliging volgens deze norm hebben ingericht.
Wat betekent dit concreet voor zorgorganisaties?
Voor zorgorganisaties betekent dit dat zij niet kunnen volstaan met losse maatregelen of een eenmalige risicoanalyse. Er moet sprake zijn van een samenhangende aanpak waarin beleid, processen, techniek en menselijk handelen op elkaar aansluiten.
NEN 7510 helpt om deze structuur aan te brengen. De norm dwingt organisaties om risico’s systematisch in kaart te brengen, verantwoordelijkheden vast te leggen, medewerkers bewust te maken van hun rol en maatregelen periodiek te evalueren en verbeteren. Dat sluit direct aan op de wettelijke eis om passende en actuele beveiligingsmaatregelen te treffen.
Is certificering altijd noodzakelijk?
Niet elke organisatie hoeft direct gecertificeerd te zijn. In sommige situaties is aantoonbare naleving van de norm voldoende, bijvoorbeeld wanneer u intern werkt volgens NEN 7510-principes of wanneer opdrachtgevers dit nog niet expliciet eisen.
Toch kiezen veel zorgorganisaties en leveranciers bewust voor certificering. Een certificaat maakt naleving objectief aantoonbaar, vergroot het vertrouwen van ketenpartners en voorkomt discussies bij audits of aanbestedingen.
NEN 7510 is geen wet, maar in de zorgsector wel degelijk een norm waar u niet omheen kunt. De wettelijke eisen uit de AVG, Wabvpz en Wkkgz verplichten zorgorganisaties tot goede informatiebeveiliging. NEN 7510 biedt hiervoor een erkend en praktisch kader dat door toezichthouders en opdrachtgevers wordt geaccepteerd.
Voor zorgorganisaties en hun leveranciers is NEN 7510 daarom in veel gevallen geen keuze, maar een logische en noodzakelijke stap om aan wetgeving, toezicht en verwachtingen te voldoen.
Wilt u weten wat NEN 7510 voor uw organisatie betekent of hoe u aantoonbaar aan de wettelijke eisen kunt voldoen? Bij Diks Process Support begeleiden wij zorgorganisaties en leveranciers stap voor stap bij NEN 7510-implementatie en certificering. Neem gerust contact met ons op voor een vrijblijvend adviesgesprek.