We gebruiken cookies om je ervaring met onze website te verbeteren. Meer informatie.
WeigerenAccepteren

Wordt je aangevallen?

Cyber bijstand
Sluiten
Stand-by

Informatiebeveiliging en cybersecurity voor zorginstellingen

Wat wij zien in de praktijk

Een IT-team van drie mensen. Verantwoordelijk voor de dagelijkse operatie, de beveiliging van patiëntdossiers én de aantoonbaarheid richting toezichthouders.

Dat is de realiteit bij een groot deel van de zorgsector.

De zorg digitaliseert snel. Meer koppelingen met externe partijen, meer medische apparaten op het netwerk, hogere eisen vanuit wet- en regelgeving. Tegelijkertijd blijft de IT-afdeling bij veel zorginstellingen klein. Dat is een reële spanning die structureel om aandacht vraagt.

Medische systemen staan op hetzelfde netwerk als het kantoor. Externe leveranciers hebben toegang zonder dat die rechten periodiek worden gereviewd. Incidentprocedures bestaan op papier, maar zijn nooit getest.

Dit zijn geen uitzonderingen. Dit is de realiteit bij een groot deel van de sector.

Plan een kennismaking

Informatiebeveiliging en cybersecurity voor zorginstellingen

Wat wij zien in de praktijk

Een IT-team van drie mensen. Verantwoordelijk voor de dagelijkse operatie, de beveiliging van patiëntdossiers én de aantoonbaarheid richting toezichthouders.

Dat is de realiteit bij een groot deel van de zorgsector.

De zorg digitaliseert snel. Meer koppelingen met externe partijen, meer medische apparaten op het netwerk, hogere eisen vanuit wet- en regelgeving. Tegelijkertijd blijft de IT-afdeling bij veel zorginstellingen klein. Dat is een reële spanning die structureel om aandacht vraagt.

Medische systemen staan op hetzelfde netwerk als het kantoor. Externe leveranciers hebben toegang zonder dat die rechten periodiek worden gereviewd. Incidentprocedures bestaan op papier, maar zijn nooit getest.

Dit zijn geen uitzonderingen. Dit is de realiteit bij een groot deel van de sector.

Plan een kennismaking
enterprise cybersecurity support

NEN 7510 zorginstelling

Wat de wet van u vraagt

Zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zijn wettelijk verplicht om aantoonbaar aan NEN 7510 te voldoen. De Inspectie Gezondheidszorg en Jeugd (IGJ) verwacht dat zorgaanbieders kunnen aantonen dat hun informatiebeveiliging op orde is, inclusief een getest continuïteitsplan. Certificering is daarvoor niet verplicht, maar aantoonbaarheid wel.

De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, voegt daar aanvullende eisen aan toe: risicobeheer, incidentmelding binnen 24 uur en ketenbeveiliging. Die verplichting geldt ook voor uw leveranciers.

NEN 7510 en de Cyberbeveiligingswet vullen elkaar aan. NEN 7510 beschrijft hoe u informatiebeveiliging inricht specifiek voor de zorgcontext. De Cyberbeveiligingswet stelt aanvullende bestuurlijke en organisatorische eisen. Samen vormen zij het wettelijke kader waarop toezichthouders, zorgverzekeraars en auditors toetsen.

Belangrijk: de herziene NEN 7510-norm is gepubliceerd in februari 2025. Zorginstellingen met een bestaand certificaat moeten voor 20 februari 2027 voldoen aan de nieuwe norm.

ketenbeveiliging zorginstelling

Ketenbeveiliging: uw leveranciers zijn uw risico

Zorginstellingen werken met tientallen externe partijen. Softwareleveranciers, medische apparatuurfabrikanten, externe helpdesks. Al die koppelingen zijn potentiële toegangspunten.

De Cyberbeveiligingswet maakt dit expliciet: u bent verantwoordelijk voor de beveiliging van uw keten, niet alleen uw eigen omgeving. In de praktijk kan een zorginstelling van haar leveranciers eisen dat zij aantoonbaar voldoen aan NEN 7510, zeker wanneer die leveranciers toegang hebben tot patiëntgegevens.

Drie vragen die daarbij centraal staan:

  • Weet u welke externe partijen toegang hebben tot uw systemen?
  • Worden die toegangsrechten periodiek gereviewd en ingetrokken wanneer dat nodig is?
  • Heeft u aantoonbare beveiligingseisen gesteld aan uw leveranciers?

Bij de meeste zorginstellingen is het antwoord op minimaal één van deze vragen: nee, of niet volledig.

Wij werken voor maakbedrijven

Maakindustrie

Logistiek

Gesprek aanvragen

Wat structureel op orde moet zijn

Nulmeting
Nulmeting

Segmentatie tussen medische systemen, kantoornetwerk en externe koppelingen

Architectuur
Architectuur

Monitoring met directe opvolging bij afwijkingen, ook buiten kantooruren

Monitoring
Monitoring

Toegangsbeheer voor medewerkers én externe partijen, periodiek gereviewd

Incidentprocedure
Incidentprocedure

Aantoonbaarheid richting IGJ, toezichthouders, zorgverzekeraars en auditors

Doorlopend beheer
Doorlopend beheer

Een incidentenprocedure die getest is, zodat u weet wat u doet als het misgaat

Nulmeting
Nulmeting

Nulmeting

Wat staat er, en hoe verhoudt zich dat tot NEN 7510 en de Cyberbeveiligingswet.

Architectuur
Architectuur

Architectuur

Ingericht op de specifieke eisen van een zorgomgeving (beschikbaarheid, segmentatie, toegangsbeheer).

Monitoring
Monitoring

Monitoring

Actief, met opvolging, afgestemd op uw 24/7-realiteit.

Incidentprocedure
Incidentprocedure

Incidentprocedure

Getest, met heldere rollen tussen IT, zorginhoud en bestuur.

Doorlopend beheer
Doorlopend beheer

Doorlopend beheer

zodat u niet afhankelijk bent van één persoon of leverancier.

Veelgestelde vragen

 Zijn zorginstellingen verplicht om te voldoen aan NEN 7510?

Zorginstellingen die persoonlijke gezondheidsinformatie verwerken zijn wettelijk verplicht om aantoonbaar aan NEN 7510 te voldoen. Certificering is niet wettelijk verplicht, maar de IGJ verwacht dat u kunt aantonen dat uw informatiebeveiliging op orde is. In de praktijk is certificering de meest gangbare manier om dat te doen.

Wat is het verschil tussen NIS2 en NEN 7510?

NIS2 is Europese wetgeving die verplichtingen oplegt aan aanbieders van essentiële diensten, waaronder de zorg. NEN 7510 is een Nederlandse norm die specifiek gaat over informatiebeveiliging in de zorgsector. De twee vullen elkaar aan: NIS2 stelt bestuurlijke en organisatorische eisen, NEN 7510 beschrijft hoe u informatiebeveiliging concreet inricht voor de zorgcontext.

 Wij hebben al een ISO 27001-certificering. Is dat niet voldoende?

ISO 27001 is een goede basis, maar dekt niet alle specifieke eisen die voor de zorgsector gelden. NEN 7510 is de sectorspecifieke uitwerking en voegt verplichtingen toe die in ISO 27001 niet staan, zoals specifieke eisen aan logging van patiëntgegevens en ketenafspraken met leveranciers. IGJ en auditors toetsen op NEN 7510, niet op ISO 27001 alleen.

Wat als er een incident plaatsvindt?

De Cyberbeveiligingswet verplicht zorginstellingen om significante incidenten binnen 24 uur te melden bij de toezichthouder. Dat vraagt om een geteste incidentprocedure én om monitoring die een incident tijdig signaleert. Z-CERT ondersteunt de zorgsector bij het afhandelen van cyberincidenten. Zonder monitoring en een getest plan bent u afhankelijk van geluk.

Hoe ver reikt onze verantwoordelijkheid voor leveranciers?

U bent verantwoordelijk voor de toegang die externe partijen hebben tot uw systemen en patiëntgegevens. Dat betekent: periodieke review van toegangsrechten, contractuele eisen aan leveranciers en aantoonbaar toezicht op de keten. Een zorginstelling mag van leveranciers die toegang hebben tot patiëntgegevens eisen dat zij aantoonbaar voldoen aan NEN 7510.

Kunnen wij dit zelf regelen met onze eigen IT-afdeling?

Dat hangt af van de beschikbare capaciteit en expertise. Veel zorginstellingen hebben een IT-team dat sterk is in de dagelijkse operatie, maar waarbij security, compliance en aantoonbaarheid er structureel bij inschieten. Wij werken regelmatig naast een interne IT-afdeling, als aanvulling, niet als vervanging.

Wat betekent de herziene NEN 7510 norm voor onze instelling?

De nieuwe NEN 7510:2025 is gepubliceerd in februari 2025. Zorginstellingen met een bestaand certificaat moeten voor 20 februari 2027 voldoen aan de herziene norm. De nieuwe versie sluit nauwer aan op ISO 27001 en NIS2. Wacht niet tot 2027 met de voorbereiding, want de aanpassing vraagt om een volledige herziening van uw managementsysteem voor informatiebeveiliging.

 Heeft uw instelling aantoonbaar op orde wat de IGJ en de Cyberbeveiligingswet van u verwachten?

Structurele uitvoering van netwerk- en securityomgevingen
ISO-gecertificeerde cybersecuritydienstverlening
Diensten
Managed SecuritySupportConsultancy
Snelle links
CasesArtikelenOver
Snel naar
VacaturesContactCyberincident
Contact
phone
085 - 06 03 228
mail
info@cyberpeak.nl
linkdin
Blijf op de hoogte
Structurele uitvoering van netwerk- en securityomgevingen
ISO-gecertificeerde cybersecuritydienstverlening

Managed SecuritySupportConsultancy

CasesArtikelenOverVacaturesContactCyberincident

phone
085 - 06 03 228
mail
info@cyberpeak.nl
linkdin
Blijf op de hoogte
Portal
© CyberPeak 2026
Algemene voorwaardenPrivacyCookies