NVZ / NEN 7510


Ziekenhuizen hebben informatiebeveiliging hoog op de agenda staan. Samenwerkingsorganen en toezichthouders spelen hierop in.


De Nederlandse Vereniging van Ziekenhuizen (NVZ) en de Nederlandse Federatie van Universitair Medische centra (NFU) hebben samen een Routekaart opgesteld en opgenomen in een beleidskader om als sector stappen te kunnen zetten. Het einddoel is een sector brede kwaliteitsverbetering te realiseren naar minimaal het niveau van de NEN 7510 standaard. Dit sluit aan op de eis te voldoen aan de NEN 7510 standaard (en aansluitende standaarden) die is vastgelegd in een wettelijk besluit en regeling. De Routekaart vraagt om twee audits die Secura levert.


NVZ Gedragslijn Audit

De NVZ en NFU hebben bestuurlijke afspraken met de Autoriteit Persoonsgegevens (AP) voor een ‘Gedragslijn Toegangsbeveiliging digitale patiëntendossiers’ (en het bijbehorende auditkader). Onderdeel van deze afspraak is dat aangesloten organisaties zich laten auditen door een gekwalificeerde RE (Register EDP Auditor) om vast te stellen of de minimaal beoogde beveiligingsmaatregelen aanwezig zijn. De te hanteren normen zijn vastgelegd in het auditkader van de Gedragslijn Toegangsbeveiliging digitale patiëntendossiers en betreffen:

  • Authenticatie
  • Autorisatie
  • Logging
  • Monitoring
  • Bewustzijn


Eventuele tekortkomingen moeten worden opgevolgd en weer geverifieerd. Het betreft een Assurance audit gericht op het geven van een oordeel met redelijke mate van zekerheid volgens de Richtlijn 3000 voor Assurance opdrachten van de NOREA.


Nulmeting NEN 7510

Met een nulmeting kan een organisatie aantonen dat zij ‘in control’ is op informatiebeveiliging en/of inzichtelijk krijgen waar nog verbeteringen zijn te realiseren. De standaard hiervoor is de NEN 7510. Deze nulmeting beslaat 4 stappen:

  1. Scope
  2. Inventarisatie en meten
  3. Analyse
  4. Rapporteren

In de rapportage vindt u de belangrijkste bevindingen samengevat en de samenhangende risico’s toegelicht met een heat map. Deze ondersteunt bij het prioriteren van verbetermaatregelen en het inzichtelijk maken van verbeteringen aan de hand van de deltametingen. Samen met de Auditor stelt de organisatie een actiepunten lijst op. De integrale bevindingen en acties zijn opgenomen in een bijlage en worden verstrekt in een Excelbestand.


Hoe kan Secura helpen?

Een bij de NOREA ingeschreven IT Auditor (RE) van Secura, met specifieke deskundigheid in de sector, is verantwoordelijk voor de uitvoering van de audits.

Secura biedt de volgende diensten:

  1. NVZ Gedragslijn Audit
  2. Nulmeting NEN 7510
Secura Contact Shape
Partners van Secura

Cybersecurity is meer dan alleen techniek. Secura werkt daarom samen met partners op het gebied van compliance en risicomanagement, integrale applicatieveiligheid, privacy, IT- en internetrecht en certificering.