NEN 7510 voor wellness-tools: wat HR moet weten

Published May 25, 2026 · Last reviewed May 25, 2026 · 9 min lezen · Privacy & HR

NEN 7510 is verplicht voor zorg — en steeds vaker een eis in MKB-aanbestedingen. Wat de norm precies vraagt van een wellness-platform en hoe je auditbestendig kiest.

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Sinds 2022 is het in zorginstellingen wettelijk verplicht voor verwerkers van patiëntgegevens. Daarbuiten wint de norm snel aan grond als kwaliteitsstempel: 38% van de MKB-aanbestedingen vraagt naar NEN 7510 of een gelijkwaardige norm, ook buiten de zorg (Nictiz 2024). Wat moet HR weten als ze een welzijnsplatform kiezen?

Wat NEN 7510 eigenlijk is

De norm is een aanvulling op ISO/IEC 27001 (algemene informatiebeveiliging) met zorgspecifieke uitbreidingen. De kern: 14 maatregelcategorieën met 113 specifieke controles, gericht op vertrouwelijkheid, integriteit en beschikbaarheid van gezondheidsgegevens. Voor wellness-platforms zijn vooral relevant:

Toegangsbeheer (Cat. 9): role-based access, sterke authenticatie, audit-logs van alle datatoegang.
Cryptografie (Cat. 10): encryptie at-rest met sleutelbeheer, encryptie in-transit (TLS 1.2+), pseudonimisatie van persoonsgegevens.
Leveranciersrelaties (Cat. 15): sub-processors lijst, DPA, periodieke audit.
Incidentmanagement (Cat. 16): meldingsprocedures, datalek-respons binnen 72 uur.
Naleving (Cat. 18): jaarlijkse interne audit, externe certificering eens per 3 jaar.

Verplicht? Aanbevolen? Onderscheidend?

Zorginstellingen: Verplicht voor IT-systemen die patiëntdata verwerken. Voor HR-tools die uitsluitend werknemersdata verwerken: niet wettelijk verplicht, maar door ketenpartnereisen vaak feitelijk verplicht.
Onderwijs, gemeente, overheid: Steeds vaker eis in aanbestedingen via BIO (Baseline Informatiebeveiliging Overheid). NEN 7510 voldoet aan BIO-deeleisen.
MKB algemeen: Niet verplicht, wel onderscheidend. Vooral B2B-klanten die zelf gecertificeerd zijn vragen ernaar.

Drie certificeringsniveaus

NEN 7510 self-assessment. Eigen verklaring "wij voldoen aan de norm". Weinig externe waarde.
Onafhankelijke beoordeling (assurance rapport). Externe auditfirm bevestigt naleving van een subset controles. Kosten ~€8.000-€15.000.
Volledige certificering (ISO/IEC 17021). Geaccrediteerde certificerende instelling verleent certificaat geldig 3 jaar, met tussentijdse surveillance audits. Kosten ~€25.000-€50.000.

Wat HR moet uitvragen bij leverancier

"Wat is jullie NEN 7510-status?" — Selfassessment, in-audit, geaccrediteerd gecertificeerd, of niet bezig. Geen schande als ze "in audit" zijn; reden voor zorg als ze niet weten wat de norm is.
"Welke maatregelcategorieën dekken jullie volledig en welke gedeeltelijk?" — Volwassen leveranciers kunnen dit per categorie aangeven.
"Mag ik het assurance-rapport of de Statement of Applicability zien?" — Toonbaar onder NDA.
"Wat is jullie sub-processors lijst en hoe communiceer je wijzigingen?" — Bij iedere nieuwe sub-processor: vooraf melding, opt-out optie voor verwerkingsverantwoordelijke.
"Hoe lang bewaren jullie data, en hoe wordt het vernietigd?" — Bewaartermijnen schriftelijk, vernietigingsprocedure met certificaat.

De vier rode vlaggen

"We voldoen aan AVG, NEN 7510 is niet nodig." AVG is een wettelijke verplichting, NEN 7510 is een uitvoeringsstandaard. De ene vervangt de andere niet. Als een leverancier dit niet snapt: weglopen.
Sub-processors in landen buiten EU/EER zonder adequacy decision. Schrems II-issue. Vraag specifiek naar AWS-regio's of Azure-tenants.
Geen role-based access; ondersteuningmedewerkers zien klantdata. Toelaatbaar onder beperkte voorwaarden (need-to-know, audit-log) maar moet expliciet gedocumenteerd zijn.
Geen documenteerde incident-respons. Bij datalek 72 uur naar AP melden — een leverancier zonder oefendraaiboek brengt jou in problemen.

De praktische selectiechecklist

Vóór je tekent:

☐ DPA ontvangen en getekend (verwerker overeenkomst)
☐ Sub-processors lijst ontvangen en geverifieerd (datalanden, opt-out clausule)
☐ NEN 7510-status documentair ontvangen
☐ DPIA-template van leverancier voor jouw verwerkingsmodel
☐ Incident-respons SLA (binnen X uur melden bij datalek)
☐ Exit-clausule: hoe en hoe snel krijg je data terug en hoe wordt het bij leverancier vernietigd?

Mythes

"Het ISO 27001-certificaat van Amazon dekt onze NEN 7510." Onjuist. Cloud-provider-certificaat dekt de infrastructuur, niet jullie applicatielaag.
"NEN 7510 is alleen voor zorginstellingen." Niet meer; ook welzijnstools verwerken Art. 9 AVG-data en voldoen idealiter aan de norm.
"Certificering = compliance." Certificaat is momentopname. Continue auditing en herziening is wat compliance werkelijk maakt.

Voor HR-teams die een welzijnsplatform kiezen en NEN 7510 als selectiecriterium hanteren: Arpsy Pro ondersteunt assurance-rapport rondom NEN 7510 (voltooide audit zorg-subset, volledige certificering in afrondingsfase). Bekijk FAQ voor de actuele status of vraag het assurance-rapport op.