8 de abril de 2026 • Segurança cibernética
Para as organizações de saúde na Holanda, surge frequentemente a questão de saber se a norma NEN 7510 é obrigatória por lei. A norma em si não é uma lei, mas, através da legislação e da supervisão regulamentar, a NEN 7510 é obrigatória para praticamente todas as organizações que tratam de dados pessoais médicos. Este artigo explica o que isso significa, a quem se aplica e por que razão a formação em sensibilização para a segurança é uma parte indissociável da conformidade.
O que é a norma NEN 7510?
A NEN 7510 é a norma holandesa para a segurança da informação no setor da saúde. Baseia-se nas normas ISO 27001 e ISO 27002, mas foi especificamente adaptada ao setor da saúde. Descreve como as organizações de saúde devem proteger os dados dos pacientes: desde o controlo de acesso e a encriptação até às políticas, auditorias e formação dos funcionários.
A norma NEN 7510 é obrigatória por lei?
A norma NEN 7510 não é uma lei em si, mas é exigida por lei na prática. A norma é explicitamente referenciada na Lei neerlandesa sobre Disposições Adicionais para o Tratamento de Dados Pessoais nos Cuidados de Saúde (Wabvpz) e faz parte do quadro de avaliação utilizado pela Inspeção Neerlandesa de Cuidados de Saúde e Juventude (IGJ). As organizações que se ligam ao Ponto de Intercâmbio Nacional (LSP) têm de demonstrar que cumprem a norma NEN 7510.
Resumindo: a norma NEN 7510 é obrigatória para todas as organizações de saúde que trocam dados médicos por via eletrónica. O incumprimento desta norma implica não só o risco de receber uma notificação formal da IGJ, mas também graves prejuízos para a reputação em caso de violação de dados.
A quem se aplica a norma NEN 7510?
A norma aplica-se a organizações do setor da saúde que tratam dados pessoais relacionados com a saúde. Isto inclui:
- Hospitais e clínicas
- Consultórios de medicina geral
- Instituições de saúde mental
- Farmacêuticos
- Organizações de cuidados domiciliários
- Fornecedores de software para o setor da saúde (na qualidade de subcontratantes)
Na prática, os fornecedores de TI que prestam apoio a organizações do setor da saúde também estão abrangidos pelo âmbito da norma.
Por que a norma NEN 7510 e a formação em sensibilização para a segurança andam de mãos dadas
Uma grande parte dos incidentes de segurança no setor da saúde não decorre de vulnerabilidades técnicas, mas sim do comportamento humano. Um funcionário que clica num link de phishing, partilha uma palavra-passe ou deixa o ecrã desatendido pode causar mais danos do que a maioria das falhas técnicas.
A norma NEN 7510 reconhece isso. A norma exige que os funcionários recebam formação comprovada em segurança da informação, adaptada às suas funções. Sessões pontuais de sensibilização não são suficientes: a formação deve ser repetida regularmente e os resultados devem ser documentados para efeitos de auditoria.
É exatamente por isso que a norma NEN 7510 e a formação em sensibilização para a segurança são indissociáveis. As medidas técnicas protegem os sistemas. Os colaboradores sensibilizados protegem a organização.
Como cumprir os requisitos de formação da norma NEN 7510
Cumprir os requisitos de formação da norma NEN 7510 exige mais do que um módulo anual de e-learning. Uma formação eficaz é contínua, mensurável e adapta-se à realidade quotidiana dos profissionais de saúde.
A Guardey oferece formação sobre a norma NEN 7510 que cumpre os requisitos da norma: microformações semanais, simulações de phishing e relatórios prontos para auditoria, tanto para o IGJ como para um auditor externo.
A tua organização cumpre os requisitos de formação da norma NEN 7510?
A Guardey ajuda as organizações do setor da saúde a cumprir a norma NEN 7510 através de microformações semanais, simulações de phishing e relatórios prontos para auditoria. Pede uma demonstração e vê como funciona para a tua equipa.