NEN 7510 voor kleine zorgpraktijken — 12 minimale controles

NEN 7510 is de Nederlandse standaard voor informatiebeveiliging in de zorg. Volledige certificering kost >€20k en tientallen uren werk — niet realistisch voor een solo-praktijk. Maar er is een minimum-set die elke zorgpraktijk zou moeten hebben, ook zonder formele audit.

De 12 essentiële controles

1. Beleid: één document waarin staat wie wat mag, en wat er gebeurt bij incidenten. Wij hebben een 2-pagina template.
2. Toegangscontrole: unieke logins per medewerker, rolgebaseerde rechten, automatisch uitloggen.
3. Wachtwoord-beleid: minimaal 12 tekens, 2FA aan voor medisch personeel.
4. Versleuteling: at-rest (database) én in-transit (TLS 1.3). Backups versleuteld.
5. Logging + audit-trail: wie keek wanneer naar wat? Bewaartermijn 7 jaar.
6. Incident-procedure: wie wordt gebeld bij een datalek, binnen welk venster moet AP-melding gebeuren (72u).
7. Sub-processor-disclosure: lijst van leveranciers die data zien (Twilio, AWS, etc.) met getekende DPA.
8. Bewaartermijnen: per data-categorie. Medisch dossier: 20 jaar. Telefoonlogs: 7 jaar. Marketing-data: 2 jaar.
9. Patiënt-rechten-flow: hoe handelt u een inzage-/verwijderverzoek af binnen 30 dagen?
10. Back-up + recovery-test: minimaal 1× per kwartaal testen of u écht uw data kunt herstellen.
11. Awareness-training: 1× per jaar voor alle medewerkers. 30 minuten, online.
12. DPIA voor risico-systemen: verplicht voor AI, geautomatiseerde verwerking, bijzondere persoonsgegevens.

Wat PraktijkBot u uit handen neemt

Controles 3, 4, 5, 7, 8, 9, 10 zijn ingebouwd. Voor 1, 2, 6, 11, 12 geven we templates en automatische reminders. U houdt nog steeds eigen verantwoordelijkheid (NEN is een management-systeem, geen leverancier-product), maar u staat 90% van de weg er al.