NEN 7510 voor zorgondernemers: extra bovenop ISO 27001

Werk je in of met de zorg? Dan is NEN 7510 naast (of in plaats van) ISO 27001 realiteit. De overlap is groot, de verschillen zitten in patiëntgegevens en specifieke Annex-controls.

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Als je klant-data verwerkt die herleidbaar is tot patiënten — EPD-ontwikkelaars, zorg-SaaS, consultancy die met zorgaanbieders werkt — is certificering vaak contractueel verplicht.

Relatie met ISO 27001

NEN 7510 is gebouwd op ISO 27001 + ISO 27002 maar met extra eisen specifiek voor patiëntgegevens. Als je al ISO hebt, is NEN 7510 een delta. Als je nieuw begint, kun je gelijk beide doen bij één audit.

Wat zijn de extra's?

• Classificatie van patiëntgegevens apart.
• Strengere logging van toegang tot patiëntdata — wie keek wanneer naar welk dossier.
• Specifieke verwerkers-overeenkomsten richting zorgaanbieders.
• Retentie- en vernietigingsbeleid voor patiëntgegevens (langer bewaren dan AVG-basis).
• Incident-escalatie met meldplicht richting zorginspectie in sommige gevallen.

Audits

Veel zorg-leveranciers kiezen een auditor die zowel ISO 27001 als NEN 7510 kan certificeren (Kiwa, DEKRA, Brand Compliance). Gezamenlijke audit, één traject, lagere kosten dan twee separaat.

Zie ook: ISO 27001-pillar, certificeringskosten.