Gratis demo Contact
Nieuwe NEN 7510:2024 beschikbaar

Nieuwe NEN 7510:2024 beschikbaar

Door: Ron Kuper 14 april 2025

De NEN 7510 is een Nederlandse informatiebeveiligingsnorm voor zorginstellingen en dienstverleners binnen die sector. De opgenomen beheersmaatregelen besteden bijvoorbeeld extra aandacht aan een veilige toegang tot patiëntgegevens en de uitwisseling ervan tussen zorgsystemen en -instellingen. December 2024 is een nieuwe versie van die norm gepubliceerd (NEN 7510:2024) die de versie van 2017 vervangt. In dit artikel vertellen we je meer over de opbouw van de NEN 7510 norm, de wijzigingen en wat die nieuwe norm betekent.

nieuw nen 7510:2024 opzet van de norm

Opzet van de NEN 7510 norm

Voor we inzoomen op de wijzigingen in de NEN 7510 norm is het handig om deze even kort samen te vatten. De norm is grotendeels gebaseerd op de internationale ISO 27001 standaard die richtlijnen geeft voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Hiermee kun je op een gestructureerde, procesmatige manier de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen je organisatie garanderen.

Het gaat dus niet om een eenvoudige checklist met maatregelen; de aanpak moet juist gebaseerd zijn op een uitgebreide risico analyse binnen de eigen organisatie. Aan de hand daarvan bepaal je welke maatregelen in jouw geval noodzakelijk zijn. Het is altijd maatwerk en ook moet je een zogeheten Plan-Do-Check-Act cyclus implementeren waarmee je regelmatig toetst of er nieuwe dreigingen zijn en daarom aanvullende of aangepaste maatregelen nodig zijn.

ISO 27001 bevat ook een bijlage A met beheersmaatregelen waarmee je de vastgestelde risico’s kunt inperken. In de bijbehorende ISO 27002 standaard zijn die beheersmaatregelen in detail uitgewerkt en aangevuld met best practices. De ISO 27001 is dan ook ‘de norm’ waarvoor je als organisatie gecertificeerd kan worden, de ISO 27002 biedt ‘niet-normatief’ verdiepingsmateriaal.

Hoe gebruikt de NEN 7510 de ISO 27001 en 27002?

NEN 7510 gebruikt beide ISO standaarden als startpunt maar zorgt voor aanpassingen en uitbreidingen die nodig zijn om de standaard geschikt te maken voor gebruik binnen de Nederlandse zorginstellingen. Daarbij is onder andere gebruik gemaakt van informatie uit de ISO 27799 standaard die richtlijnen geeft voor informatiebeveiliging in de gezondheidszorg. Met deze input is de NEN 7510 opgesteld. De NEN7510 bestaat uit twee delen:

  • NEN 7510-1 richt zich op een managementsysteem voor informatiebeveiliging in de zorg. Deze volgt zoveel mogelijk de structuur van ISO 27001 inclusief de bijlage A met alle relevante beheersmaatregelen. De maatregelen zijn waar nodig uitgebreid met zorgspecifieke aanvullingen of aanpassingen.

  • NEN 7510-2 beschrijft in detail de beheersmaatregelen en de bijbehorende richtlijnen. Hiervoor is ISO 27002 het uitgangspunt maar aangevuld met zorgspecifieke beheersmaatregelen en richtlijnen.

Met NEN 7510-1 en NEN 7510-2 samen beschikken Nederlandse zorgaanbieders en dienstverleners over een norm om een eigen ISMS te realiseren, in gebruik te nemen en te beheren.

Wijzigingen in de NEN 7510

Wijzigingen in de NEN 7510:2024

Ook de eerdere NEN 7510:2017 gebruikte al die ISO 27001, 27002 en 27799 standaarden. Inmiddels zijn er echter nieuwe versies van gepubliceerd. ISO 27001 en 27002 zijn geactualiseerd in 2022 en van de ISO 27799 standaard is in 2024 een update beschikbaar gekomen. Die bevatten niet alleen de nieuwste inzichten op het gebied van informatiebeveiliging; ook de structuur van de standaarden zijn verbeterd. Daarom was het ook tijd voor een bijgewerkt NEN 7510. Dat is NEN 7510:2024 en dit zijn de belangrijkste wijzigingen ten opzichte van 2017:

  • Ieder ISO-managementsysteem gebruikt dezelfde uniforme structuur. Zo kun je verschillende managementsystemen (voor bijvoorbeeld informatiebeveiliging, kwaliteit en milieu) in samenhang gebruiken en beheren. Hiervoor gebruikte ISO voorheen de High Level Structure (HLS) maar die is inmiddels vervangen door de Harmonized Structure (HS) die meer flexibiliteit en integratiemogelijkheden biedt. NEN 7510:2024 werkt nu ook volgens deze HS.

  • ISO heeft in 2021 de London Declaration ondertekend waarin is vastgelegd dat nieuwe standaarden ook rekening moet houden met klimaatimpact en duurzaamheid. Dit geldt dus ook voor de ISO 27001 en de daarvan afgeleide NEN 7510. Binnen een managementsysteem voor de zorg moeten nu dus ook klimaatimpact en duurzaamheid aandacht krijgen.

  • De beheersmaatregelen bevatten de laatste beveiligingsinzichten en ook is informatie uit de NIS2-richtlijn verwerkt. De beheersmaatregelen zijn bovendien slimmer verwoord en samengevoegd waardoor het totale aantal maatregelen is teruggebracht van 117 naar 101. Ook is de oorspronkelijke en verwarrende indeling met 14 domeinen vereenvoudigd naar 4 heldere categorieën: organisatorische, personele, fysieke en technologische maatregelen.

  • Tenslotte is deel 2 (NEN 7510-2) minder vrijblijvend geworden. Hoewel de NEN 7510-2 adviserend is, moet je voldoen aan iedere richtlijn of expliciet uitleggen waarom je afwijkt (comply or explain).

De norm is dus wezenlijk aangepast. Veel basisprincipes uit NEN 7510:2017 vind je ook hier weer terug maar de inhoud is uitgebreid, gemoderniseerd en anders gestructureerd.

Relatie tussen NEN 7510, IAM en Tools4ever diensten

Relatie tussen NEN 7510, IAM en Tools4ever diensten?

NEN 7510 is een brede informatiebeveiligingsnorm en slechts een deel ervan heeft direct betrekking op identiteitsbeheer en toegangsbeveiliging. Ook hier zie je wel dat nieuwe informatie is toegevoegd. Zo stelt de nieuwe norm expliciet dat binnen zorgorganisaties de volledige levenscyclus van identiteiten moet worden beheerd, iets dat je bijvoorbeeld met onze HelloID Provisioning module uitstekend kunt realiseren.

Ook met deze nieuwe NEN 7510 norm voldoet HelloID als Identity en Access Management oplossing voor zorginstellingen. De daadwerkelijke compliance van een organisatie met nieuwe NEN 7510 norm hangt uiteraard af van hoe HelloID en de overige IT-systemen concreet worden toegepast binnen je organisatie. We adviseren je daar uiteraard graag over.

Wanneer overstappen naar NEN 7510-2024

Wanneer overstappen naar NEN 7510:2024?

Zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zijn wettelijk verplicht om aantoonbaar te voldoen aan de NEN 7510. Dat kun je bijvoorbeeld tijdens audits zelf aantonen aan de hand van je concrete ISMS implementatie en het gebruik ervan en de rapportages, maar veel organisaties kiezen ervoor dit expliciet aan te tonen aan de hand van een NEN 7510 certificatie.

Voorlopig is NEN 7510:2017 nog van kracht. De NEN moet nog bepalen wanneer organisaties moeten overstappen op de nieuwe norm. Naar verwachting zal er een overgangsperiode zijn van een jaar of twee. We kunnen er dus vanuit gaan dat ergens eind 2026, begin 2027 organisatie definitief klaar moeten zijn voor de nieuwe NEN 7510 norm. Verstandig dus om niet te lang te wachten met je voorbereiding!

Meer weten over NEN 7510 en de rol van identity management?

bekijk whitepaper NEN7510:2024

In onze whitepaper NEN 7510 en de rol van Identity Management vertellen we meer over de opzet van NEN 7510 en leggen we in detail uit welke bijdrage identity management functionaliteit levert om als organisatie compliant te zijn en blijven met de NEN 7510 richtlijnen.

Ron Kuper

Geschreven door:
Ron Kuper

Ron is Business Consultant bij Tools4ever en richt zich met name op het matchen van de business vraagstukken met de mogelijkheden vanuit de software. Daarbij maakt hij gebruik van zijn ervaringen in proces ontwerp, project aanpak en past dit toe in best practices voor de verschillende marktsegmenten.