8 april 2026 • Cyber security
Voor zorgorganisaties in Nederland komt de vraag of NEN 7510 wettelijk verplicht is vaak naar voren. De norm zelf is geen wet, maar door wetgeving en toezicht is NEN 7510 verplicht voor vrijwel elke organisatie die medische persoonsgegevens verwerkt. Dit artikel legt uit wat dat betekent, voor wie het geldt, en waarom security awareness training een onlosmakelijk onderdeel is van compliance.
Wat is NEN 7510?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de gezondheidszorg. Deze norm is gebaseerd op ISO 27001 en ISO 27002, maar is specifiek afgestemd op de gezondheidszorgsector. De norm beschrijft hoe zorginstellingen patiëntgegevens moeten beveiligen: van toegangscontrole en versleuteling tot beleid, audits en training van medewerkers.
Is NEN 7510 wettelijk verplicht?
NEN 7510 is op zich geen wet, maar de wettelijke verplichting NEN 7510 bestaat in de praktijk wel degelijk. De norm wordt expliciet genoemd in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en maakt deel uit van het toetsingskader van de Inspectie Gezondheidszorg en Jeugd (IGJ). Organisaties die aansluiten op het Landelijk Schakelpunt (LSP) moeten aantoonbaar voldoen aan NEN 7510.
Kortom: NEN 7510 is verplicht voor alle zorginstellingen die medische gegevens elektronisch uitwisselen. Als je je hier niet aan houdt, riskeer je niet alleen een aanmaning van de IGJ, maar ook ernstige reputatieschade als er een datalek plaatsvindt.
Voor wie geldt NEN 7510?
De norm geldt voor zorginstellingen die persoonsgegevens op het gebied van de gezondheidszorg verwerken. Hieronder vallen:
- Ziekenhuizen en klinieken
- Huisartsenpraktijken
- Instellingen voor geestelijke gezondheidszorg
- Apothekers
- Thuiszorgorganisaties
- Leveranciers van zorgsoftware (als verwerkers)
In de praktijk vallen ook IT-leveranciers die zorginstellingen ondersteunen onder het toepassingsgebied van de norm.
Waarom NEN 7510 en security awareness training hand in hand gaan
Een groot deel van de beveiligingsincidenten in de gezondheidszorg is niet te wijten aan technische kwetsbaarheden, maar aan menselijk gedrag. Een medewerker die op een phishinglink klikt, een wachtwoord deelt of een scherm onbeheerd achterlaat, kan meer schade aanrichten dan de meeste technische aanvallen.
NEN 7510 erkent dit. De norm schrijft voor dat medewerkers een aantoonbare training op het gebied van informatiebeveiliging moeten volgen, afgestemd op hun functie. Eenmalige bewustwordingssessies zijn niet voldoende: de training moet regelmatig worden herhaald en de resultaten moeten worden gedocumenteerd voor audits.
Daarom zijn NEN 7510 en security awareness training onlosmakelijk met elkaar verbonden. Technische maatregelen beschermen de systemen. Bewuste medewerkers beschermen de organisatie.
Hoe voldoe je aan de opleidingsvereisten van NEN 7510
Om aan de opleidingsvereisten van NEN 7510 te voldoen, is meer nodig dan alleen een jaarlijkse e-learningmodule. Een effectieve opleiding werkt continu, is meetbaar en sluit aan bij de dagelijkse praktijk van zorgpersoneel.
Guardey biedt NEN 7510-trainingen aan die volledig aansluiten bij de eisen van de norm: wekelijkse microtrainingen, phishingsimulaties en rapporten die klaar zijn voor een audit door de IGJ of een externe auditor.
Voldoet jouw organisatie aan de opleidingsvereisten van NEN 7510?
Guardey helpt zorginstellingen om aan NEN 7510 te voldoen door middel van wekelijkse microtrainingen, phishing simulaties en rapportages die klaar zijn voor audits. Vraag een demo aan en ontdek hoe het voor jouw team werkt.