Factsheet Normenkader informatiebeveiliging
Voldoen aan het Normenkader informatiebeveiliging
Wat is NEN 7510?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Deze norm is gebaseerd op de internationale norm ISO 27001, met aanvullende maatregelen specifiek voor de bescherming van persoonlijke zorggegevens, zoals patiënt- en behandeldata.
Organisaties die NEN 7510 implementeren, voldoen automatisch aan ISO 27001. Daarom worden beide normen vaak samen genoemd. Certificerende partijen bieden doorgaans een gecombineerd traject aan.
De officiële NEN 7510-normdocumentatie (NEN 7510-1 voor het managementsysteem en NEN 7510-2 voor de beheersmaatregelen) is gratis beschikbaar via de NEN-website.
NEN 7510 en MedMij
Om MedMij-deelnemer te worden, heb je een geldig NEN 7510-certificaat nodig. Daarnaast moet je voldoen aan het Normenkader informatiebeveiliging MedMij.
Normenkader informatiebeveiliging
Bij de ontwikkeling van het MedMij Afsprakenstelsel voerden we een uitgebreide risicoanalyse uit. Vervolgens werd besloten om de beheersmaatregelen uit NEN 7510 als uitgangspunt te nemen voor het beheersen van de geïdentificeerde risico’s.
Naast de algemene NEN 7510-eisen stelt MedMij aanvullende eisen aan informatiebeveiliging. Deze zijn vastgelegd in het Normenkader Informatiebeveiliging MedMij, dat onderdeel is van het afsprakenstelsel. Hierin vind je welke specifieke beheersmaatregelen verplicht zijn voor MedMij-deelnemers.
Voor een volledig overzicht van deze eisen, raadpleeg het MedMij Afsprakenstelsel.
MedMij-specifieke eisen
- De organisatienaam op het NEN 7510-certificaat moet overeenkomen met die op de MedMij Deelnemersovereenkomst.
- De scope van het certificaat moet minimaal de MedMij-dienstverlening omvatten.
- Is dat nog niet het geval? Dan moet je dit toevoegen bij de eerstvolgende audit.
- Alle verplichte maatregelen uit het Normenkader Informatiebeveiliging moeten zijn opgenomen in je managementsysteem. Dit wordt duidelijk uit de NEN 7510 aanvullende auditverklaring die je bij ons moet aanleveren.
Het certificatietraject: stappen en tijdlijn
Opbouw certificatie
De NEN 7510-certificering wordt uitgevoerd door een erkende, onafhankelijke instantie. Een overzicht van geaccrediteerde partijen vind je op de NEN-site.
Het traject bestaat uit twee verplichte audits:
- Fase 1-audit: controle op aanwezigheid en volledigheid van het informatiebeveiligingsmanagementsysteem (ISMS).
- Fase 2-audit: beoordeling van de werking van het ISMS op basis van interviews, observaties en bewijsmateriaal.
Tussen de twee audits zit doorgaans 4 tot 6 weken. Zo heb je tijd om eventuele bevindingen uit fase 1 te verwerken.
Het aantal auditdagen hangt af van de omvang en complexiteit van je organisatie en dienstverlening.
Doorlooptijd en voorbereiding
Voor je certificering moet je eerst een ISMS opzetten. Dat kan zelfstandig op basis van de NEN 7510-documentatie of met hulp van gespecialiseerde adviseurs.
Het ISMS moet je minimaal enkele maanden vóór de fase 2-audit implementeren. De auditor wil namelijk bewijs zien dat het systeem structureel werkt.
Indicatieve tijdlijn
| Fase | Doorlooptijd |
| Start implementatie | – |
| Selectie certificerende partij | 4-8 weken |
| Fase 1-audit | |
| Uitvoeren penetratietest | 4 weken |
| Fase 2-audit | 4 weken |
| Opvolgen bevindingen | variabel |
| Certificatiebeslissing en uitgifte |
Penetratietest (verplicht)
Volgens norm A.18.2.3 van het MedMij Normenkader Informatiebeveiliging is een penetratietest verplicht. Deze test beoordeelt of je systeem kwetsbaar is voor aanvallen van buitenaf.
- Eisen aan de uitvoerder
- De test moet worden uitgevoerd door een externe én onafhankelijke partij.
- De tester moet beschikken over:
- Aantoonbare expertise (zoals CEH, OSCP-certificeringen)
- Ervaring met de door jullie gebruikte technologieën
- Voor DVA’s: ervaring met het Logius DigiD Technisch Normenkader
Type penetratietest: greybox
Bij toetreding en bij grootschalige wijzigingen of herbouw van de applicatie moet een greybox penetratietest worden uitgevoerd. Dit betekent dat de tester beperkte voorkennis heeft en toegang krijgt tot onder meer:
- Architectuur- en ontwerpdocumentatie
- Inloggegevens voor verschillende gebruikersrollen
Deze testvorm biedt een realistisch beeld van mogelijke kwetsbaarheden, terwijl de tester doelgericht te werk kan gaan.
Let op:
Voor toetreding geldt dat alle bevindingen met een hoog of midden risico (CVSS ≥ 4,0) op de externe MedMij-koppelvlakken opgelost moeten zijn voordat je kunt deelnemen.
Na toetreding
Voer je na toetreding een penetratietest uit? Dan moet je voor minimaal alle bevindingen met een hoog of midden risico die de MedMij-dienstverlening raken een actieplan opstellen. Dit plan:
- moet je delen met MedMij
- beschrijft hoe en wanneer je de risico’s corrigeert
- moet tijdig worden uitgevoerd.
Scope
De focus van de test ligt op de beveiliging van gegevens die via het MedMij-netwerk worden uitgewisseld. Het is dus niet nodig om je hele infrastructuur of alle programmatuur te laten testen. Let vooral ook op externe MedMij-koppelvlakken, zoals apps of webportalen.
Heb je als deelnemer vragen? Neem dan contact met ons op via regie@medmij.nl.
Beoordeling
Je hoeft het testrapport niet met MedMij te delen. De NEN 7510-auditor beoordeelt het rapport tijdens de fase 2-audit en kijkt of het voldoet aan de eisen uit het Normenkader Informatiebeveiliging.
Voor DVA’s (Dienstverlener in het (zorg)aanbiedersdomein)
Ben je DVA? Dan kun je onderdelen van een eerdere DigiD-audit mogelijk hergebruiken voor je penetratietest. Neem vooraf contact op met het MedMij Loket.
Meer informatie of vragen
Neem contact op met het MedMij Loket via info@medmij.nl.
*Let op: Ivm de transitie kan het zijn dat niet alle teksten actueel zijn. Uiterlijk 1 oktober 2025 zijn alle teksten aangepast naar de nieuwe situatie. Laatste update van dit factsheet was in september 2025.
