NEN 7510 est la norme néerlandaise de sécurité de l'information dans la santé. Depuis 2024, la plupart des établissements de santé relèvent en plus de la Cyberbeveiligingswet (Cbw, la transposition néerlandaise de NIS2) en tant que secteur essentiel. La sensibilisation est exigée dans les deux cadres, mais l'accent diffère. NEN 7510 met l'accent sur les données patients et le secret professionnel, la Cbw sur les mesures organisationnelles et la responsabilité du conseil. Comment construire un programme de sensibilisation qui satisfait les deux sans administration en double ?
Pourquoi la santé a un cadre double
Les organisations de santé doivent respecter à la fois NEN 7510:2024 (version actuelle de la norme Sécurité de l'information en santé) et la Cyberbeveiligingswet (Cbw). NEN 7510 n'est pas une loi mais une norme sectorielle, supervisée par l'IGJ comme interprétation pratique des exigences de diligence Wkkgz.
La Cbw est en plus une loi nationale avec des exigences organisationnelles, techniques et de gouvernance spécifiques. Pour les établissements de santé désignés comme essentiels (la plupart des hôpitaux, santé mentale, soins de longue durée), les articles 21 (devoir de diligence) et 24 (formation du conseil) de la Cbw sont obligatoires.
En pratique les deux cadres se recoupent à 60–70 %, tous deux exigent gestion des risques, traitement des incidents, sensibilisation, gestion fournisseurs. Les 30–40 % restants diffèrent en accents : NEN 7510 plus profond sur les données patients et le secret professionnel, Cbw plus large sur la résilience cyber et la responsabilité du conseil.
Exigences NEN 7510 pour la sensibilisation
NEN 7510 renvoie à ISO 27001/27002 pour la structure générale mais ajoute des exigences propres à la santé. Sur la sensibilisation et le personnel, les paragraphes principaux sont :
- §7.2.2 (Sensibilisation, formation et entraînement) : tout le personnel et les tiers concernés reçoivent une formation appropriée à leurs responsabilités de sécurité, périodiquement renouvelée.
- §9.2 (Politique d'accès) : le personnel doit savoir quelles données patients il peut/ne peut pas consulter, le secret professionnel est ici le cadre principal.
- §16.1 (Gestion des incidents) : le personnel doit savoir reconnaître et signaler violations de données et incidents, directement lié à l'obligation de signalement à l'AP et au patient.
- NEN 7510-2 (extension) : orientations sectorielles de gestion des risques pour le traitement électronique des données patients.
Thèmes de sensibilisation propres au secteur
Le contenu générique fonctionne moins bien dans la santé. Ce qui est reconnu comme "phishing" ailleurs a ici un contexte spécifique : une notification DPI/EPD demandant une ré-authentification, un fournisseur exigeant une autorisation urgente pour exporter des données patients, un parent appelant et se faisant passer pour un médecin.
Une sensibilisation santé efficace couvre au minimum : données patients et secret professionnel (juridique et éthique), détection et signalement des fuites, fraude par usurpation de professionnels enregistrés, infection USB en service, MDM/BYOD pour les postes mobiles, et ingénierie sociale spécifique aux personnels d'accueil et de triage.
La segmentation des audiences est cruciale. Une infirmière en service, un agent administratif et le directeur médical n'ont pas les mêmes risques ni les mêmes réflexes nécessaires. Une sensibilisation non segmentée est souvent perçue comme abstraite par le personnel soignant, ce qui réduit visiblement l'engagement et l'efficacité.
Formation du conseil : NEN 7510 vs Cbw art. 24
NEN 7510 exige l'implication du conseil dans le SMSI mais ne précise pas de formation obligatoire. La Cbw, oui : l'article 24 impose explicitement une formation conseil démontrable, avec responsabilité personnelle en cas de négligence fautive.
Pour les conseils des établissements de santé, un programme conforme Cbw couvre automatiquement l'engagement conseil NEN 7510 mieux que l'inverse. Commencez donc par le plus strict des deux, Cbw art. 24, et faites en sorte que l'engagement NEN 7510 du conseil en découle.
En pratique : une session annuelle de 2–3 heures sur les cyber-risques sectoriels (impact ransomware sur la prise en charge, responsabilité en cas de fuite, risque fournisseur dans la chaîne), complétée par de courtes mises à jour lors d'incidents pertinents. La documentation (date, présence, contenu) sert de preuve pour les deux cadres.
Un programme, deux reportings
Le plus grand piège en combinant NEN 7510 et Cbw est l'administration en double. Beaucoup d'établissements mènent deux pistes de conformité parallèles avec actions de sensibilisation se recoupant et reportings distincts.
Approche cohérente : un programme de sensibilisation avec une couche de reporting, où chaque participation est liée à la fois aux contrôles NEN 7510 et aux articles Cbw. Pour la supervision IGJ, vous exportez par contrôle NEN 7510 ; pour la supervision Cbw, par article Cbw. Les données sous-jacentes sont les mêmes.
Les plateformes modernes de sensibilisation (comme 2LRN4) supportent cette double cartographie d'origine. Par événement de formation, vous enregistrez quelle paragraphe NEN 7510 et quel article Cbw sont satisfaits, ainsi que l'audience, la date, le fournisseur et le résultat d'évaluation. Au moment d'un audit, vous choisissez la vue pertinente.
Découvrez comment 2LRN4 traduit ce sujet en un programme opérationnel avec formation, simulation de phishing et reporting pour la direction.
Voir la page plateformeArticles connexes
- Qu'est-ce que la loi néerlandaise sur la cybersécurité (Cbw) ?
- Risques de phishing dans la santé
- Cbw article 24 : formation du conseil
Sources
FAQ
NEN 7510 est-elle obligatoire pour les établissements de santé ?
NEN 7510 n'est pas une loi mais devient de facto obligatoire car l'IGJ la supervise comme interprétation pratique de l'exigence de diligence Wkkgz. Pour les acteurs travaillant avec des données patients, la conformité est nécessaire en pratique.
Quel cadre est le plus strict, NEN 7510 ou Cbw ?
La Cbw a plus de poids formel (loi nationale, responsabilité personnelle du conseil, amendes plus élevées). NEN 7510 est plus riche en détails sur les sujets sectoriels. Respecter les deux n'est pas une option mais une obligation ; en pratique, un bon programme Cbw couvre déjà la majeure partie de NEN 7510.
Toutes les organisations de santé relèvent-elles de la Cbw ?
La plupart oui, hôpitaux, santé mentale, gérontologie, handicap et grands réseaux de soins primaires sont désignés comme essentiels. Les petits cabinets médicaux (<50 employés) en sortent généralement, mais doivent toujours respecter le RGPD et NEN 7510.
À quelle fréquence renouveler la sensibilisation ?
NEN 7510 dit "périodiquement". En pratique, au minimum annuel, avec onboarding des nouveaux entrants et formation supplémentaire après incidents ou changements de politique. Les modules courts répartis sur l'année (microlearning) sont plus efficaces qu'une longue session annuelle.
Quelle différence entre NEN 7510 et ISO 27001 ?
NEN 7510 est basée sur ISO 27001/27002 mais ajoute des exigences propres à la santé (paragraphes sur données patients, secret professionnel, traitement électronique). La certification ISO 27001 est parfois utilisée par des établissements comme étape vers la conformité NEN 7510, mais elles ne sont pas interchangeables.
Quel lien avec le RGPD ?
Le RGPD est la base légale du traitement des données personnelles, y compris les données médicales en catégorie particulière. NEN 7510 donne l'interprétation pratique des exigences de diligence RGPD pour le secteur de la santé. Une fuite de données patients déclenche signalement RGPD (AP), traitement NEN 7510 et obligation Cbw, trois voies de signalement pour un incident, à coordonner.
Source externe : European Commission - NIS2 Directive