NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Sinds 2024 vallen de meeste zorginstellingen daarnaast onder de Cyberbeveiligingswet (Cbw, de NL-implementatie van NIS2) als essentiële sector. Awareness-training is een eis in beide kaders — maar de invulling verschilt. NEN 7510 focust op patiëntinformatie en beroepsgeheim, de Cbw op organisatorische maatregelen en bestuurlijke verantwoordelijkheid. Hoe richt je een awareness-programma in dat aan beide voldoet zonder dubbele administratie?
Waarom de zorg een dubbel kader heeft
Zorgorganisaties moeten voldoen aan NEN 7510:2024 (de actueel geldende versie van de norm Informatiebeveiliging in de zorg) én aan de Cyberbeveiligingswet (Cbw). NEN 7510 is geen wet maar een sector-norm — toezicht ligt bij de Inspectie Gezondheidszorg en Jeugd (IGJ) die de norm hanteert als praktische invulling van de Wkkgz-zorgvuldigheidseisen.
De Cbw is daarbovenop een nationale wet die specifieke organisatorische, technische en governance-eisen stelt. Voor zorginstellingen die als essentiële entiteit zijn aangewezen (de meeste ziekenhuizen, ggz-instellingen, langdurige zorg) gelden Cbw artikel 21 (zorgplicht) en artikel 24 (bestuurstraining) verplicht.
In de praktijk overlappen de twee kaders voor 60-70% — beide eisen risicobeheer, incidentafhandeling, awareness, leveranciersmanagement. De resterende 30-40% verschilt in accenten: NEN 7510 dieper op patiëntinformatie en beroepsgeheim, Cbw breder op cyberweerbaarheid en bestuurlijke aansprakelijkheid.
NEN 7510-eisen voor awareness
NEN 7510 verwijst voor de algemene structuur naar ISO 27001/27002 maar voegt zorg-specifieke eisen toe. Op het gebied van awareness en personeel zijn de belangrijkste paragrafen:
- §7.2.2 (Bewustzijn, opleiding en training): alle medewerkers en relevante derden moeten passende opleiding krijgen over hun beveiligingsverantwoordelijkheden, periodiek herhaald.
- §9.2 (Toegangsbeleid): medewerkers moeten weten welke patiëntgegevens zij wel/niet mogen inzien — beroepsgeheim is hier het primaire kader.
- §16.1 (Incidentmanagement): medewerkers moeten datalekken en beveiligingsincidenten kunnen herkennen en melden — direct gekoppeld aan de meldplicht aan AP en patiënt.
- NEN 7510-2 (extensie): sector-specifieke richtlijnen voor risicomanagement bij elektronische verwerking van patiëntgegevens.
Sector-specifieke awareness-thema's
Generieke awareness-content werkt minder goed in de zorg. Wat in andere sectoren als "phishing" wordt herkend, heeft in de zorg een specifieke context: een EPD-melding die om herauthenticatie vraagt, een leverancier die om spoedautorisatie vraagt voor een patiëntgegevens-export, een ouder die belt en zich voordoet als arts.
Effectieve zorg-awareness behandelt minimaal: patiëntinformatie en beroepsgeheim (juridisch én ethisch), datalek-detectie en -melding, BIG-fraude (impersonatie van geregistreerde zorgprofessionals), USB-besmetting op afdelingen, MDM/BYOD voor mobiele werkplekken, en social engineering specifiek voor balie- en triagemedewerkers.
Doelgroepsegmentatie is cruciaal. Een verpleegkundige op een afdeling, een medewerker administratie en de medisch directeur hebben elk andere risico's en andere reflexen nodig. Awareness die niet gesegmenteerd is, voelt voor zorgmedewerkers vaak abstract — wat betrokkenheid en effectiviteit aantoonbaar verlaagt.
Bestuurstraining: NEN 7510 vs Cbw art. 24
NEN 7510 vereist bestuurlijke betrokkenheid bij het Information Security Management System (ISMS), maar specificeert geen verplichte bestuurstraining. De Cbw doet dat wel: artikel 24 verplicht expliciet aantoonbare bestuurstraining, met persoonlijke aansprakelijkheid bij verwijtbare nalatigheid.
Voor zorgbestuurders betekent dit dat een Cbw-conform programma automatisch ook NEN 7510-beter dekt dan andersom. Begin daarom met de strengere van de twee — Cbw art. 24 — en zorg dat de NEN 7510-bestuurlijke betrokkenheid daaruit volgt.
Praktisch: een jaarlijkse bestuurssessie van 2-3 uur over zorg-specifieke cyberrisico's (ransomware-impact op patiëntenzorg, datalek-aansprakelijkheid, leveranciersrisico in de keten), aangevuld met korte updates bij relevante incidenten. Documentatie (datum, deelname, inhoud) is voor beide kaders bewijs.
Eén programma, twee rapportages
De grootste valkuil bij het combineren van NEN 7510 en Cbw is dubbele administratie. Veel zorgorganisaties draaien twee parallelle compliance-trajecten met overlappende awareness-acties die afzonderlijk worden gerapporteerd.
Sluitende aanpak: één awareness-programma met één rapportage-laag, waarbij elke deelname gekoppeld wordt aan zowel NEN 7510-controls als Cbw-artikelen. Voor IGJ-toezicht exporteer je per NEN 7510-control; voor Cbw-toezicht per Cbw-artikel. De onderliggende data is dezelfde.
Modern security awareness platforms (zoals 2LRN4) ondersteunen deze dubbel-mapping standaard. Per training-event wordt vastgelegd welke NEN 7510-paragraaf en welk Cbw-artikel het invult — en welke doelgroep, datum, leverancier en evaluatie-resultaat. Bij een audit kun je in één export de relevante view kiezen.
Bekijk hoe 2LRN4 dit thema vertaalt naar een werkbaar Cbw-programma met training, phishing simulatie en bestuursrapportage.
Bekijk de platformpaginaGerelateerd in de kennisbank
Bronnen
FAQ
Is NEN 7510 verplicht voor zorginstellingen?
NEN 7510 is geen wet maar wordt de facto verplicht doordat IGJ er toezicht op uitoefent als invulling van de Wkkgz-zorgvuldigheidseis voor informatiebeveiliging. Voor zorgaanbieders die met patiëntgegevens werken is naleving in de praktijk noodzakelijk.
Welk kader is het zwaarst — NEN 7510 of Cbw?
De Cbw heeft formeel meer kracht (nationale wet, persoonlijke bestuursaansprakelijkheid, hogere boetes). NEN 7510 is detail-rijker op zorg-specifieke onderwerpen. Beide naleven is geen optie maar verplichting; in de praktijk dekt een goed Cbw-programma het meeste van NEN 7510 al af.
Vallen alle zorgorganisaties onder de Cbw?
De meeste wel — ziekenhuizen, ggz, ouderenzorg, gehandicaptenzorg en grotere eerstelijnsverbanden zijn als essentiële entiteit aangewezen. Kleine huisartsenpraktijken (<50 medewerkers) vallen er meestal buiten, maar moeten nog steeds AVG en NEN 7510 naleven.
Hoe vaak moet awareness-training herhaald worden?
NEN 7510 spreekt over "periodiek". In de praktijk-richtlijnen wordt minimaal jaarlijks gehanteerd, met onboarding-training voor nieuwe medewerkers en extra training na incidenten of beleidswijzigingen. Effectiever zijn kortere modules verspreid over het jaar (microlearning) dan één lange jaarsessie.
Wat is het verschil tussen NEN 7510 en ISO 27001?
NEN 7510 is gebaseerd op ISO 27001/27002 maar voegt zorg-specifieke eisen toe (paragrafen rond patiëntinformatie, beroepsgeheim, elektronische verwerking). ISO 27001-certificering wordt soms door zorgorganisaties gehanteerd als opmaat naar NEN 7510-conformiteit, maar ze zijn niet uitwisselbaar.
Hoe sluit dit aan op de AVG?
AVG is de wettelijke basis voor verwerking van persoonsgegevens — inclusief medische gegevens als bijzondere categorie. NEN 7510 geeft de praktische invulling van de AVG-zorgvuldigheidseisen voor de zorgsector. Een datalek bij patiëntgegevens leidt zowel tot AVG-meldplicht (AP) als NEN 7510-incidentafhandeling als Cbw-meldplicht — drie meldroutes voor één incident, te coördineren.