HomeZakelijkThe Digital DutchKlantcasesEen NEN 7510-certificering die leeft: zo doet zorgorganisatie Cello dat
Labels:

Een NEN 7510-certificering die leeft: zo doet zorgorganisatie Cello dat

27-05-2026
6 min
Als zorgorganisatie geef je om je mensen. Je cliënten, zorgprofessionals en andere medewerkers. Je wilt ze beschermen, hun digitale gegevens en de processen daaromheen. ‘NEN 7510 is daarvoor een perfecte kapstok,’ vertelt Mark van Engelen, ISO bij zorgorganisatie Cello. ‘Maar benader deze norm wel op een mensgerichte manier. Je wilt geen papieren tijger. Bij ons leeft het nu, zowel bij cliënten als bij de zorgteams en het management.’
HomeZakelijkThe Digital DutchKlantcasesEen NEN 7510-certificering die leeft: zo doet zorgorganisatie Cello dat

Samen met projectleider Adriana Quintero Ramirez (​​Innovadri) werkt information security officer (ISO) Mark van Engelen bij zorgorganisatie Cello aan de implementatie van dé norm voor informatiebeveiliging in de zorg: NEN 7510. KPN begeleidt ze daarbij met strategisch en praktisch advies. Doordat Cello het integraal en heel pragmatisch aanpakt, krijgen ze de handen intern goed op elkaar, vertelt Mark. Stap voor stap maken ze, heel gestaag, grote vorderingen in de implementatie van NEN 7510.

Meer dan een verplichting

Natuurlijk, NEN 7510 is verplicht wanneer je in de zorg cliëntgegevens wilt uitwisselen. Maar NEN 7510 is meer dan een moetje. Voor grotere zorgorganisaties zoals Cello is het een perfecte kapstok, vertelt Mark. Het Noord-Brabantse Cello biedt zorg en ontplooiing aan ruim 2.500 cliënten met een verstandelijke beperking. Met 3.000 medewerkers, vrijwilligers en stagiaires, verspreid over 150 locaties, zijn ze verantwoordelijk voor véél persoonlijke gegevens en digitale processen. Informatiebeveiliging is dus ontzettend belangrijk voor ze. Maar hoe krijg je dat bij iedereen goed tussen de oren?

Implementatie op gang

Hoewel Cello al even met de implementatie van NEN 7510 bezig was, kregen ze het niet goed op gang. Onder meer omdat ​de​ zorgorganisatie de handen vol had aan andere zaken. Daarom riepen ze de hulp in van projectleider Adriana. Een paar maanden later kwam Mark bij Cello werken, als eerste ISO. Adriana en Mark veranderden de koers van de implementatie: van een ICT-gerichte naar een mensgerichte benadering.

Mark: ‘Informatiebeveiliging is er niet om zorgprofessionals lastig te vallen, maar om ze te hélpen. Zodat ze bijvoorbeeld altijd bij ​​cliëntgegevens kunnen. Of dat vertrouwelijke informatie ook echt vertrouwelijk blijft. Bij ons werkte het goed om metaforen te gebruiken. Geen taaie technische kost, maar vergelijkingen en situaties uit de dagelijkse praktijk van de zorgprofessionals.’

Voor extra advies en een zo efficiënt mogelijk traject schakelden ze KPN in, voor Cello een bekende en vertrouwde partner. Maandelijks sparden ze met een securityexpert over aanpak en voortgang. Mark: ‘Het voordeel van KPN is dat ze dit soort implementaties bij heel veel andere organisaties begeleiden. Die kennis nemen ze ook mee naar ons.’ De tip van metaforen kwam trouwens van de expert van KPN, voegt Mark daaraan toe.

Risicoanalyse als basis

Risico’s staan centraal in de NEN 7510. Met een risicoanalyse als basis, ontwikkel je vervolgens een Informatiebeveiligingsmanagementsysteem (ISMS). Met dat ISMS bepaal je wat de passende maatregelen zijn om specifieke risico's, zoals datalekken of gijzelsoftware, te beheersen. Dat kan heel technisch zijn, maar wil je dat het gaat leven, dan is een mensgerichte benadering veel beter.

Adriana: ‘Je kan met 2 ICT’ers en een lijst de organisatie ingaan en risico’s zoeken. Maar dan krijg je alsnog die papieren tijger die je niet wilt. Beter is de risicoanalyse niet vanuit ICT-perspectief te doen, maar vanuit het perspectief van de zorg. In werksessies betrokken we daarom zo’n 20 medewerkers, een dwarsdoorsnede uit de organisatie, dus ook uit het primaire zorgproces. Met hen stelden we de risico’s vast.’

Samen op zoek naar praktische invulling

Hoe ze het voor elkaar kregen dat zorgprofessionals schaarse tijd hiervoor vrij maakten? Adriana: ‘Van tevoren gaven we heel duidelijk aan dat ze hier maar 10 uur per kwartaal voor nodig hadden. Daarnaast beloofden we: geen huiswerk. Zelf zorgden wij voor de voorbereiding en de uitwerking.’ De werksessies waren een succes. ‘Met al die verschillende achtergronden aan tafel ontstonden direct goede gesprekken over de risico’s. Kijk, de norm stelt duidelijke kaders. Maar de praktische invulling, daar moet je samen naar op zoek. Bewaartermijnen van gegevens, bijvoorbeeld. Hoe zorg je ervoor dat cliëntdata op tijd uit de systemen verwijderd worden? Je zag mensen meedenken en tegelijk de bewustwording groeien.’

Bewustwording bij managers

Ook het management moest getraind worden. Dat deden Mark en Adriana samen met KPN. Voor het management en vooral de raad van bestuur golden deels andere argumenten dan voor de zorgprofessionals en andere medewerkers. Zo voldoe je met NEN 7510 al voor zo’n 70% aan NIS2, vertelt Mark. ‘De persoonlijke aansprakelijkheid voor bestuurders speelde zeker ook een rol. Met de managementtraining gaven we ze het comfortabele gevoel dat ze wisten waar de regelgeving over ging. En waar ze dan precies voor verantwoordelijk zijn.’

Integrale aanpak

Terug naar de implementatie. Waar staat Cello nu? Mark: ‘We hebben nog 2 belangrijke stappen te gaan: de afronding van de implementatie en de ontvangst van het certificaat. Eind dit jaar willen we klaar zijn, dan zijn we bijna 2 jaar met de implementatie bezig geweest. Dat is misschien niet heel snel, maar je ziet dat certificeringsprojecten die los van de organisatie worden opgepakt, weliswaar sneller starten maar ook sneller leegbloeden. Een integrale aanpak is dus bepalend voor het succes.’

‘Belangrijk is ook dat wij géén eigenaar zijn van de processen, anders wordt het toch weer ‘‘iets van ICT’’. Zonder eigenaarschap in de organisatie gebeurt er niets, met eigenaarschap kan je stappen zetten. Het stelt je in staat om echt samen te werken aan de professionalisering van informatiebeveiliging op de werkvloer. Zoals de bewaartermijnen van cliëntgegevens: teams moeten zelf het beleid kunnen vertalen naar de praktijk, knelpunten signaleren en die samen oplossen.’

Cliënten en verwanten betrekken

Adriana: ‘Wat ook hielp bij de bewustwording was dat we cliënten en verwanten betrokken. We vroegen hen bijvoorbeeld naar het belang van informatiebeveiliging. Waar liepen ze tegenaan? Hoe zouden ze het graag anders zien? Die gesprekken legden we vast op video en gebruikten we bij de managementtraining. Voor bestuurders en andere collega’s was het een eyeopener dat informatiebeveiliging en privacy zo sterk bij cliënten en verwanten speelde. Dat het kennisniveau zo hoog was.’

Geleerde lessen van ISO Mark bij de NEN 7510-implementatie

  • Begin breed, betrek mensen uit het primaire proces en andere afdelingen.
  • Pak de tijd, verwacht niet dat je de implementatie binnen een half jaar afrondt.
  • Focus op het neerzetten van een doorlopend plan-do-check-act-proces, niet alleen op het verkrijgen van het certificaat.
  • Benut het risicogebaseerde uitgangspunt van de norm en onderzoek: wat willen we echt verbeteren?
  • Voeg processen zoveel mogelijk samen met die van andere managementsystemen, audits en standaarden (ISO 9001 bijvoorbeeld).
  • Betrek een externe specialist voor de rol van projectmanager, bliksemafleider én sparringpartner.
  • Spiegel uitgangspunten en ideeën bij je cliënten, zij hebben waardevolle inzichten.

Meer weten over informatiebeveiliging in de zorg?

Wil je ook aan de slag met het verbeteren van de security in je zorgorganisatie, dan helpen wij je graag. Ontdek hoe wij je ondersteunen op ​Security in de zorg.

Klantcase delen
Tags
Labels: