Nieuwe NEN7510 norm: Wat betekent dit voor uw zorgorganisatie en hoe ondersteunt de norm bij NIS2?  

Waarom het NEN7510 normenkader?

De NEN7510 is een norm die zorgt dat medische en persoonlijke gegevens goed worden beschermd in zorginstellingen. Denk hierbij aan informatie zoals medische dossiers, persoonsgegevens en behandelplannen. Deze norm geldt voor alle organisaties in de zorg die met dit soort gevoelige informatie werken, zoals ziekenhuizen, huisartsenpraktijken, GGZ-instellingen en ook ICT-bedrijven die voor hen werken. NEN7510 is gebaseerd op de internationale beveiligingsnorm ISO27001, maar dan speciaal aangepast voor de zorgsector. 

Wijzigingen in nieuw normenkader

De nieuwe NEN 7510 norm kent een aantal wijzigingen ten opzichte van de eerdere norm. Onderstaand sommen we de belangrijkste veranderingen voor u op:  

• Afstemming op internationale normen
  De nieuwe versie is in lijn gebracht met de recente edities van ISO27001 en ISO27799. Dit zorgt ervoor dat de nieuwe norm beter aansluit op andere internationale standaarden.  

• Ondersteuning nieuwe wetgeving
  De herziene norm helpt organisaties te voldoen aan recente wet- en regelgeving, zoals de Europese NIS2-richtlijn die vanaf het derde kwartaal van 2025 van kracht wordt. 

• Toevoeging van zorg specifieke beheersmaatregelen
  Er zijn 14 algemene ISO-beheersmaatregelen aangepast voor toepassing binnen een zorgorganisatie en 8 extra maatregelen die specifiek gericht zijn op de zorgsector. Deze aanpassingen dragen bij aan het mitigeren van de continu veranderende cyberrisico’s in de zorgsector. 

Voldoen aan NIS2

De vernieuwde norm sluit nauw aan bij de Europese NIS2-richtlijn, die naar verwachting in het derde kwartaal van 2025 wordt omgezet in Nederlandse wetgeving onder de naam Cyberbeveiligingswet (Cbw).  

NIS2-organisaties hebben een zorgplicht om zelf een risicoanalyse uit te voeren en passende maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen, die worden gebruikt voor haar dienstverlening. Het management van de organisatie moet de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. 

Door te werken volgens de richtlijnen van NEN7510 voldoen organisaties al aan een groot deel van de eisen die NIS2 stelt. Het uitvoeren van een risicoanalyse is onderdeel van de NEN7510 norm. Een groot deel van de vereiste beheersmaatregelen onder NIS2, zoals bedrijfscontinuïteit en het opstellen van beleid en procedures, is uitgewerkt in de nieuwe NEN7510 norm.

Voldoen aan de nieuwe NEN7510 wil niet zeggen dat een organisatie NIS2-compliant is! Een aantal NIS2-maatregelen, zoals de verplichting om de toeleveringsketen te beveiligen en de meldplicht voor incidenten, komen namelijk niet terug in de NEN7510 norm. Echter, de organisatie is al wel goed op weg om dat stadium te bereiken.

Meer informatie

Wilt u weten wat de nieuwe norm betekent voor uw organisatie? Of wilt u aan de slag met de nieuwe norm binnen uw organisatie, bijvoorbeeld om te voldoen aan de NIS2 wetgeving? Neem dan contact op met één van onze specialisten via onderstaande button of per mail: IT-Advies@vanoers.nl.