Regionaal project

Informatiebeveiliging en privacy

Het project richt zich op aantoonbare NEN 7510-compliance bij huisartsen, apotheken en VVT. Doel is veilige gegevensuitwisseling en uniforme beveiliging als basis voor RGIS en digitale samenwerking, met realisatie richting 2027.

  • NEN7510, NEN7512, NEN7513
  • Implementatie van de NEN normen rond informatiebeveiliging en communicatie in de zorg.

Inleiding en context

Binnen het Booozt programma in Noordoost-Brabant wordt actief gewerkt aan het op orde brengen van de digitale randvoorwaarden voor gegevensuitwisseling. Een van de belangrijkste pijlers hierin is het verbeteren van informatiebeveiliging en privacy. Dit is een essentiële randvoorwaarde voor veilige gegevensuitwisseling, databeschikbaarheid en vertrouwen tussen zorgaanbieders, inwoners en ketenpartners.

Hoewel de drie ziekenhuizen in de regio reeds NEN 7510 gecertificeerd zijn, geldt dit nog niet voor de sectoren huisartsen, apotheken en VVT-instellingen. Dit betekent dat er een duidelijke ontwikkelopgave ligt om deze partijen te ondersteunen bij het aantoonbaar voldoen aan de norm.

Doel van het project

Het doel van dit project is om zorgaanbieders in de eerste lijn en VVT-sector te ondersteunen bij het aantoonbaar voldoen aan de NEN 7510 norm voor informatiebeveiliging. Hiermee wordt een uniforme en veilige basis gecreëerd voor digitale samenwerking en gegevensuitwisseling in de regio.

De focus ligt niet uitsluitend op certificering, maar op het daadwerkelijk inrichten en borgen van informatiebeveiliging in processen, systemen en gedrag. Het uitgangspunt is dat organisaties kunnen aantonen dat zij “in control” zijn op informatiebeveiliging.

Wettelijk kader en verplichtingen

De noodzaak voor dit project is sterk verankerd in wet- en regelgeving. Zorgaanbieders zijn op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wavpz) en het Besluit elektronische gegevensverwerking verplicht om aan te tonen dat hun informatiebeveiliging op orde is volgens de NEN 7510 norm.

De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op deze verplichting en verwacht dat organisaties dit aantoonbaar kunnen maken, bijvoorbeeld via audits of onafhankelijke beoordelingen. Hoewel een formeel certificaat niet altijd wettelijk verplicht is, is het in de praktijk vaak noodzakelijk, onder andere doordat zorgverzekeraars, gemeenten en ketenpartners dit eisen in contracten en samenwerkingsafspraken.

Huidige situatie in Noordoost-Brabant

Binnen de regio is sprake van een ongelijk speelveld. De ziekenhuizen hebben hun informatiebeveiliging op orde en zijn gecertificeerd, terwijl huisartsen, apotheken en VVT-instellingen zich in verschillende stadia van volwassenheid bevinden.

Dit leidt tot risico’s in de keten, omdat gegevensuitwisseling alleen veilig en betrouwbaar kan plaatsvinden als alle schakels voldoen aan dezelfde basisnormen. Het ontbreken van een uniforme basis belemmert daarmee ook de verdere ontwikkeling van digitale toepassingen en databeschikbaarheid.

Aanpak en werkwijze

Binnen het Booozt programma wordt gekozen voor een pragmatische en gefaseerde aanpak, gericht op het realiseren van aantoonbare compliance met de NEN 7510 norm.

De aanpak bestaat uit de volgende elementen:

  • Inzicht creëren in de huidige volwassenheid van organisaties op het gebied van informatiebeveiliging

  • Ondersteunen bij het opstellen en implementeren van beleid, processen en maatregelen conform NEN 7510

  • Organiseren van kennisdeling en gezamenlijke sessies, bijvoorbeeld met CISO’s en securityspecialisten

  • Faciliteren van audits en toetsing, zodat organisaties kunnen aantonen dat zij voldoen aan de norm

  • Stimuleren van samenwerking tussen organisaties om kennis en middelen te delen

Deze aanpak sluit aan bij het principe van “samen leren en samen ontwikkelen”, waarbij de regio optrekt als netwerk in plaats van dat iedere organisatie afzonderlijk het wiel opnieuw uitvindt.

Relatie met Booozt en RGIS

Het project informatiebeveiliging en privacy is een essentieel onderdeel van de bredere Booozt werkagenda en vormt een randvoorwaarde voor de ontwikkeling van het Regionaal Gezondheidsinformatiestelsel (RGIS).

Zonder aantoonbare informatiebeveiliging is het niet mogelijk om:

  • Gegevens veilig uit te wisselen

  • Vertrouwen te creëren bij zorgprofessionals en inwoners

  • Aansluiting te realiseren op landelijke voorzieningen en standaarden

  • Digitale toepassingen op schaal te implementeren

Daarmee is dit project niet alleen een compliance-opgave, maar ook een strategische voorwaarde voor de digitale transformatie in de regio.

Governance en samenwerking

De uitvoering van dit project vraagt om nauwe samenwerking tussen verschillende partijen, waaronder zorgaanbieders, regionale samenwerkingsorganisaties en landelijke initiatieven.

Binnen de regio wordt gewerkt met een gezamenlijke governance, waarin:

  • Afstemming plaatsvindt over normen, interpretaties en implementatie

  • Kennis en best practices worden gedeeld

  • Voortgang wordt gemonitord en bijgestuurd

De betrokkenheid van CISO’s en security-experts speelt hierin een belangrijke rol, evenals de afstemming met landelijke kaders en ontwikkelingen.

Uitdagingen en aandachtspunten

De implementatie van NEN 7510 binnen de eerste lijn en VVT kent een aantal specifieke uitdagingen:

  • Beperkte capaciteit en expertise bij kleinere organisaties

  • Verschillen in volwassenheid en prioriteitstelling

  • Complexiteit van de norm en de benodigde maatregelen

  • Afhankelijkheid van leveranciers en ICT-systemen

Daarom is het belangrijk om de aanpak pragmatisch en ondersteunend in te richten, met oog voor de verschillen tussen organisaties.

Planning en doelstelling richting 2027

Het project loopt parallel aan het Booozt programma en heeft als doel om uiterlijk medio 2027 te komen tot een situatie waarin alle relevante zorgaanbieders in de regio aantoonbaar voldoen aan de NEN 7510 norm.

Dit betekent dat:

  • Organisaties hun informatiebeveiliging op orde hebben

  • Er aantoonbaarheid is richting toezichthouders en ketenpartners

  • De basis is gelegd voor veilige en betrouwbare gegevensuitwisseling

Conclusie

Het project informatiebeveiliging en privacy vormt een cruciale bouwsteen binnen de digitale ontwikkeling van Noordoost-Brabant. Door gezamenlijk te werken aan het aantoonbaar voldoen aan de NEN 7510 norm wordt een uniforme en veilige basis gecreëerd voor samenwerking, databeschikbaarheid en digitale zorg.

Deze aanpak zorgt ervoor dat de regio niet alleen voldoet aan wettelijke eisen, maar ook klaar is voor de toekomst van netwerkzorg en digitale ondersteuning.

Voortgang

Voortgang informatiebeveiliging en privacy (NEN 7510)

De voortgang op het thema informatiebeveiliging en privacy binnen het Booozt programma bevindt zich in een actieve opstart- en implementatiefase. Op basis van de voortgangsrapportage is zichtbaar dat de eerste concrete stappen zijn gezet richting structurele borging van NEN 7510 binnen de VVT-sector en andere eerstelijnspartijen.

Opstart en bewustwording

In de afgelopen periode is gestart met het organiseren van de implementatie van informatiebeveiliging binnen de VVT-sector. Hierbij zijn onder andere startmomenten ingepland en is een eerste monitoring opgezet om inzicht te krijgen in de mate waarin organisaties voldoen aan de norm.

Daarnaast zijn CISO’s actief betrokken via een aftrapbijeenkomst, waarin het Booozt programma en de werkwijze zijn toegelicht. Hiermee is een belangrijke stap gezet in het creëren van bewustwording en het organiseren van expertise rondom informatiebeveiliging in de regio. 

Implementatie en eerste stappen

De eerste implementatiestappen richten zich op het in kaart brengen van de huidige situatie en het voorbereiden van organisaties op aantoonbare compliance met de NEN 7510 norm. Hierbij wordt gewerkt aan:

  • Het opzetten van een gestructureerde aanpak voor informatiebeveiliging binnen organisaties

  • Het verzamelen van inzicht in bestaande maatregelen en hiaten

  • Het voorbereiden van organisaties op toetsing en monitoring

Voor de VVT-sector wordt specifiek gewerkt aan een eerste monitoring van de stand van zaken rondom informatiebeveiliging, wat een belangrijke basis vormt voor verdere sturing en prioritering.

Samenhang met andere Booozt-thema’s

De voortgang op informatiebeveiliging loopt parallel aan andere onderdelen binnen het Booozt programma, zoals Zorg-AB, Mitz en medicatieoverdracht. De afhankelijkheden tussen deze thema’s zijn groot, omdat veilige gegevensuitwisseling alleen mogelijk is wanneer de basis op orde is.

Dit betekent dat de voortgang op NEN 7510 direct bijdraagt aan de haalbaarheid van andere digitale ontwikkelingen binnen de regio.

Aandachtspunten en uitdagingen

Een belangrijk aandachtspunt is dat de voortgang afhankelijk is van meerdere partijen en sectoren, waarbij verschillen bestaan in volwassenheid, capaciteit en prioriteit. Daarnaast spelen wisselende tijdslijnen en afhankelijkheden een rol, wat vraagt om continue afstemming en regie.

De complexiteit van de norm en de benodigde organisatorische veranderingen maken dat de implementatie tijd vraagt en zorgvuldig moet worden begeleid.

Vooruitblik

De komende periode staat in het teken van verdere uitrol en concretisering. Hierbij wordt ingezet op het uitbreiden van de monitoring, het ondersteunen van organisaties bij implementatie en het versterken van regionale samenwerking.

De ambitie blijft om toe te werken naar een situatie waarin alle relevante zorgaanbieders aantoonbaar voldoen aan de NEN 7510 norm, als basis voor veilige gegevensuitwisseling en digitale samenwerking richting 2027.

  • Implementatie
  • RSO Noord-Oost Brabant
  • Oktober 2025
  • Juli 2027
  • Michelle Kuiper – Zwambach
  • Tijs Samson
  • Stef Mentzel
  • Generieke functies

Betrokken sectoren

Klik op de sector voor een totaaloverzicht per sector.

Betrokken zorgregio's

Klik op de zorgregio voor een totaaloverzicht per zorgregio.
Laatst bijgewerkt op: 12 april 2026
© 2026 RSO Nederland | Versie #1.2.2| Algemene voorwaarden | Disclaimer | Privacy verklaring | Technische realisatie Sieronline B.V.