Feiten · sociaal domein

Wat is NEN 7510?

TL;DR

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg, een uitbreiding op ISO 27001. Sinds 2018 wettelijk verplicht voor zorgaanbieders en hun software-leveranciers via het Besluit elektronische gegevensverwerking door zorgaanbieders (BEGZ). Vereist een ISMS, jaarlijkse risico-analyses, 10-jaar audit-logs en incident-registratie bij IGJ.

Geschreven door Fynqo redactie · Bijgewerkt 2026-05-10

Wat het is

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Het is de Nederlandse interpretatie van de internationale ISO 27001-standaard, met extra eisen specifiek voor het verwerken van medische en persoonsgegevens in de Nederlandse zorgsector.

Voor wie verplicht

NEN 7510 is wettelijk verplicht voor zorgaanbieders sinds 2018, vastgelegd in het Besluit elektronische gegevensverwerking door zorgaanbieders (BEGZ). Dat omvat:

  • Ziekenhuizen en GGZ-instellingen
  • Huisartsen, tandartsen, paramedici
  • Verpleeghuizen en thuiszorg-organisaties
  • Apotheken
  • Software-leveranciers die gegevens verwerken voor zorgaanbieders (verwerkers)

Wat het in praktijk betekent

Een NEN 7510-conforme organisatie moet:

  • Een Information Security Management System (ISMS) hebben en jaarlijks toetsen
  • Risico-analyses uitvoeren op alle data-stromen
  • Audit-logs bewaren — meestal 10 jaar conform retentie-eisen
  • Incidenten registreren en de IGJ informeren bij datalekken
  • Verwerkersovereenkomsten afsluiten met sub-verwerkers

Verschil met ISO 27001

NEN 7510 is gebouwd op ISO 27001 maar voegt sector-specifieke eisen toe: BSN-gebruik, MedMij, Wkkgz-naleving, en specifieke retentie-termijnen voor medische dossiers. Een NEN 7510-certificering houdt impliciet ISO 27001 in. Andersom geldt dat niet.

Veelgestelde vragen

Moet een SaaS-leverancier voor zorg NEN 7510-gecertificeerd zijn? expand_more

Bij voorkeur ja. Veel zorgaanbieders eisen het in de inkoop-procedure. Fynqo werkt NEN 7510-conform; certificering is in voorbereiding.

Wat is het verschil tussen NEN 7510 en AVG? expand_more

AVG is Europees, gaat over privacy-rechten van betrokkenen. NEN 7510 is Nederlands, gaat over informatiebeveiliging in de zorg specifiek. Ze overlappen, maar dekken verschillende plichten.

Hoe lang duurt een NEN 7510-implementatie? expand_more

Voor een gemiddelde zorgorganisatie 6-12 maanden van nul tot certificering. Voor SaaS-leveranciers met al een ISO 27001-fundament: 3-6 maanden.

Hoe past Fynqo dit toe? expand_more

NL-hosted, EU-only, audit-log per cliënt-actie 10 jaar bewaard, jaarlijkse penetratietests, publieke DPIA en sub-processor-lijst. Zie /vertrouwen voor details.

Bronnen

Verder lezen

Fynqo voor GGZ

NEN 7510-conforme werkkamer voor GGZ.

Fynqo voor zorgorganisaties

Voor VVT, GHZ, jeugdzorg.

Fynqo vertrouwen

Compliance, hosting, audit-log details.
Nieuwsbrief

Eén mail per maand, niets meer.

Nieuwe portals, AVG-veranderingen, sociaal-domein-onderzoek. Geen spam. Uitschrijven met één klik.