8. April 2026 • Cybersicherheit
Für Einrichtungen des Gesundheitswesens in den Niederlanden stellt sich häufig die Frage, ob die Einhaltung der Norm NEN 7510 gesetzlich vorgeschrieben ist. Die Norm selbst ist zwar kein Gesetz, doch aufgrund gesetzlicher Vorschriften und behördlicher Aufsicht ist die Einhaltung von NEN 7510 für praktisch jede Einrichtung, die mit medizinischen personenbezogenen Daten umgeht, verpflichtend. In diesem Artikel wird erläutert, was dies bedeutet, für wen dies gilt und warum Schulungen zur Sensibilisierung für Sicherheitsfragen ein untrennbarer Bestandteil der Compliance sind.
Was ist NEN 7510?
NEN 7510 ist die niederländische Norm für Informationssicherheit im Gesundheitswesen. Sie basiert auf ISO 27001 und ISO 27002, ist jedoch speziell auf den Gesundheitssektor zugeschnitten. Sie beschreibt, wie Organisationen im Gesundheitswesen Patientendaten schützen müssen: von der Zugriffskontrolle und Verschlüsselung bis hin zu Richtlinien, Audits und Mitarbeiterschulungen.
Ist NEN 7510 gesetzlich vorgeschrieben?
NEN 7510 ist zwar kein Gesetz an sich, wird in der Praxis jedoch gesetzlich vorgeschrieben. Auf die Norm wird im niederländischen Gesetz über zusätzliche Bestimmungen zur Verarbeitung personenbezogener Daten im Gesundheitswesen (Wabvpz) ausdrücklich Bezug genommen, und sie ist Bestandteil des Bewertungsrahmens, den die niederländische Aufsichtsbehörde für Gesundheit und Jugend (IGJ) verwendet. Organisationen, die sich an den Nationalen Switch Point (LSP) anschließen, müssen nachweislich die Anforderungen von NEN 7510 erfüllen.
Kurz gesagt: NEN 7510 ist für alle Einrichtungen des Gesundheitswesens, die medizinische Daten elektronisch austauschen, verbindlich. Bei Nichteinhaltung droht nicht nur eine formelle Abmahnung durch die IGJ, sondern im Falle einer Datenpanne auch erheblicher Reputationsschaden.
Für wen gilt die Norm NEN 7510?
Die Norm gilt für Einrichtungen des Gesundheitswesens, die gesundheitsbezogene personenbezogene Daten verarbeiten. Dazu gehören:
- Krankenhäuser und Kliniken
- Hausarztpraxen
- Einrichtungen für psychische Gesundheit
- Apotheker
- Organisationen für häusliche Pflege
- Anbieter von Software für das Gesundheitswesen (als Auftragsverarbeiter)
In der Praxis fallen auch IT-Anbieter, die Einrichtungen des Gesundheitswesens unterstützen, in den Geltungsbereich der Norm.
Warum NEN 7510 und Schulungen zur Sensibilisierung für Sicherheitsfragen Hand in Hand gehen
Ein Großteil der Sicherheitsvorfälle im Gesundheitswesen ist nicht auf technische Schwachstellen zurückzuführen, sondern auf menschliches Verhalten. Ein Mitarbeiter, der auf einen Phishing-Link klickt, ein Passwort weitergibt oder seinen Bildschirm unbeaufsichtigt lässt, kann mehr Schaden anrichten als die meisten technischen Angriffe.
Die Norm NEN 7510 trägt dem Rechnung. Die Norm schreibt vor, dass Mitarbeiter eine nachweisbare, auf ihre jeweilige Rolle zugeschnittene Schulung zur Informationssicherheit erhalten müssen. Einmalige Sensibilisierungsveranstaltungen reichen nicht aus: Die Schulungen müssen regelmäßig wiederholt und die Ergebnisse für Audits dokumentiert werden.
Genau deshalb sind NEN 7510 und Schulungen zur Sensibilisierung für Sicherheitsfragen untrennbar miteinander verbunden. Technische Maßnahmen schützen die Systeme. Sensibilisierte Mitarbeiter schützen das Unternehmen.
So erfüllen Sie die Schulungsanforderungen gemäß NEN 7510
Die Erfüllung der Schulungsanforderungen gemäß NEN 7510 erfordert mehr als nur ein jährliches E-Learning-Modul. Eine wirksame Schulung ist kontinuierlich, messbar und auf den Alltag des Pflegepersonals abgestimmt.
Guardey bietet NEN 7510-Schulungen an, die den Anforderungen der Norm entsprechen: wöchentliche Mikroschulungen, Phishing-Simulationen und auditfähige Berichte für die IGJ oder einen externen Prüfer.
Erfüllt Ihr Unternehmen die Schulungsanforderungen der Norm NEN 7510?
Guardey unterstützt Organisationen im Gesundheitswesen bei der Einhaltung der Norm NEN 7510 durch wöchentliche Mikro-Schulungen, Phishing-Simulationen und auditfähige Berichte. Fordern Sie eine Demo an und sehen Sie selbst, wie das für Ihr Team funktioniert.