Overslaan naar inhoud

NEN 7510 & NIS2 aantoonbaar geborgd met de NEN‑cockpit

Brengt e‑learning, het managementsysteem (ISMS), documentbeheer, voortgangsbewaking en communicatie samen in één overzichtelijk platform.


  Begin nu >  

De NEN-cockpit

Het alles‑in‑één platform voor NEN 7510 & NIS2 in de zorg

NEN‑cockpit brengt e‑learning, het managementsysteem (ISMS), documentbeheer, voortgangsbewaking en communicatie samen in één overzichtelijk platform. Ontwikkeld voor zorginstellingen die de informatiebeveiligingsnorm NEN 7510 en de Cyberbeveiligingswet NIS2 aantoonbaar, werkbaar en blijvend op orde willen hebben.

Waar informatiebeveiliging vaak wordt ervaren als complex en administratief, zorgt de NEN‑cockpit voor duidelijkheid en eenvoud. Normvereisten worden vertaald naar concrete taken per rol, met praktische ondersteuning per beheersmaatregel. Geen losse documenten of eenmalige projecten, maar een levend managementsysteem dat meegroeit met de organisatie en informatiebeveiliging verankert in de dagelijkse zorgpraktijk.

De totaaloplossing waarin e‑learning, het Information Security Management Systeem (ISMS), documentbeheer, voortgangsbewaking en communicatie samenkomen in één geïntegreerd platform. Speciaal ontwikkeld voor zorginstellingen die moeten voldoen aan NEN 7510:2024.

Veel zorgorganisaties ervaren informatiebeveiliging als complex, tijdrovend en vooral als veel papierwerk. De NEN‑cockpit doorbreekt dit beeld met een efficiënte en interactieve aanpak die veiligheid werkbaar maakt voor de dagelijkse zorgpraktijk.

De NEN‑cockpit vertaalt de normvereisten van NEN 7510:2024 naar concrete, begrijpelijke acties. Geen theoretische normuitleg of losse documenten, maar één compleet en praktisch managementsysteem dat organisaties ondersteunt om informatiebeveiliging aantoonbaar, structureel en beheersbaar te organiseren.

Centraal in deze aanpak staat de NEN‑cockpit als praktisch en overzichtelijk ISMS voor de zorg. Alle normeisen en bijbehorende beheersmaatregelen zijn logisch gestructureerd en gekoppeld aan duidelijke verantwoordelijkheden, taken en terugkerende acties.
De NEN‑cockpit ondersteunt zorgorganisaties bij het realiseren en onderhouden van informatiebeveiliging conform de geldende norm NEN 7510:2024, zonder dit als een los project te hoeven organiseren.

Ook Cyberbeveiligingswet NIS2 geïntegreerd

Naast NEN 7510:2024 beschikt de NEN‑cockpit over een uitgewerkte mapping naar Cyberbeveiligingswet NIS2. De relevante verplichtingen en zorgplichten zijn gekoppeld aan 86 bestaande beheersmaatregelen binnen het ISMS, waardoor organisaties NIS2 niet als een los traject hoeven te organiseren. Zo kan ook compliance met NIS2 op gestructureerde en aantoonbare wijze worden beheerd vanuit hetzelfde platform.

Kenmerkend voor de NEN‑cockpit is dat:
​- iedere normeis en beheersmaatregel is toegewezen aan een vaste aandachthouder;
- medewerkers (control owners) alleen die taken en maatregelen zien die relevant zijn voor hun rol;
​- instructies (zoals korte video’s), documentatie en communicatie per maatregel centraal beschikbaar zijn;
​- voortgang, naleving en openstaande acties continu inzichtelijk blijven.

Hierdoor ontstaat geen eenmalig implementatietraject, maar een levend beheerssysteem dat meebeweegt met de organisatie en informatiebeveiliging verankert in de dagelijkse werkprocessen.

1. Duidelijke verantwoordelijkheid en gerichte uitvoering
Elke beheersmaatregel is toegewezen aan één specifieke aandachtshouder (control owner). Medewerkers zien uitsluitend de maatregelen waarvoor zij verantwoordelijk zijn en krijgen per maatregel heldere instructies over wat er moet gebeuren, wanneer en door wie.

2. Praktische ondersteuning per beheersmaatregel
Alle 23 normeisen en 101 beheersmaatregelen zijn voorzien van concrete instructies, korte instructievideo’s, infographics en direct toepasbare sjablonen. Hierdoor is direct duidelijk wat de bedoeling is en kan implementatie zonder interpretatieverschillen plaatsvinden.

3. Overzichtelijke en inhoudelijke structuur
De beheersmaatregelen zijn logisch ingedeeld in drie categorieën:

Categorie 1 – Basismaatregelen
​Direct nodig om de informatiebeveiliging op orde te brengen.

Categorie 2 – Risico‑reducerende maatregelen
​Gericht op het verkleinen van specifieke, organisatie‑afhankelijke risico’s.

Categorie 3 – Besturende maatregelen
​Zorgen voor structurele borging en aantoonbare naleving van NEN 7510:2024.

4. Centrale dossiervorming, communicatie en voortgangsbewaking
Per beheersmaatregel vindt dossiervorming, communicatie en afstemming plaats op één centrale plek. Periodieke en terugkerende acties worden actief gemonitord door Stichting Privacyzorg, waardoor belangrijke verplichtingen niet worden vergeten en knelpunten in voortgang snel zichtbaar zijn.

5. Continuïteit zonder zwaar projectmanagement
Zwaar en tijdrovend projectmanagement is niet nodig. Na implementatie wordt de PDCA-cyclus structureel bewaakt om stilstand van het ISMS te voorkomen. Deze beheerfase en monitoring kunnen volledig worden uitbesteed aan Stichting Privacyzorg.

Van taaie normtekst naar de werkvloer – ontwikkeld voor de zorgpraktijk

De NEN-cockpit is ontwikkeld op basis van jarenlange ervaring in de zorgsector en sluit naadloos aan bij de schaal, capaciteit en dagelijkse realiteit van zorginstellingen. Stichting Privacyzorg neemt met de NEN-cockpit het denken, structureren, bewaken en onderhouden van NEN7510 uit handen.

Door de NEN-cockpit vervallen voor de zorginstelling meerdere zware randvoorwaarden:

√ Geen eigen beheer capaciteit nodig
In veel zorginstellingen is de CISO (of vergelijkbare rol) een schaars en kostbaar profiel. In de praktijk wordt deze functie echter vaak belast met operationele regie‑ en controletaken zoals:
  • voortgangsbewaking,
  • het aanjagen van control owners,
  • het verzamelen van bewijs,
  • het bijhouden van overzichten,
  • het beantwoorden van vragen over de norm,
  • en het bewaken van terugkerende activiteiten.
Deze taken vragen nauwelijks specialistische beveiligingskennis of diepgaande organisatiekennis, maar kosten wél structureel tijd en aandacht. Juist daardoor komt de interne CISO onvoldoende toe aan de werkzaamheden waar hij of zij daadwerkelijk toegevoegde waarde levert.

De NEN‑cockpit keert dit om: door regie, opvolging en ondersteuning van beheersmaatregelen grotendeels te automatiseren en te structureren, kan de CISO zich richten op inhoudelijke, specialistische taken waarvoor kennis van de organisatie en het zorgdomein wél essentieel is.

√ Geen losse systemen en documenten
Geen versnippering meer over losse beleidsdocumenten, Excel-overzichten, SharePoint-mappen, e-mails, tickets, etc.). Alles zit geïntegreerd in één platform.

√ Geen norminterpretatie of zelf moeten uitzoeken
Medewerkers hoeven niet vooraf volledig getraind te worden om te kunnen interpreteren wat de norm bedoelt of hoe iets moet worden ingericht.

√ Geen continu “papierwerk gevoel”

Informatiebeveiliging wordt geen administratieve last meer, maar een werkbaar onderdeel van de dagelijkse zorgpraktijk.

Onze werkwijze in vijf eenvoudige stappen

1

ISMS‑basis & normkaders

Stichting Privacyzorg doorloopt samen met de klant de normeisen uit NEN 7510:2024 deel 1. Dit vormt de basis van het ISMS en de PDCA cyclus.

Onderwerpen die hier minimaal worden vastgesteld:
• context van de organisatie;
• stakeholders en belanghebbenden;
• scope en toepassingsgebied van het ISMS;
• rollen, verantwoordelijkheden en bevoegdheden;
• beleidskaders en doelstellingen;
• risicomanagement proces.

➡️ Resultaat: vastgelegde ISMS-basis conform uit deel 1.

2

Risicoanalyse & prioritering

Op basis van de vastgestelde context voert Privacyzorg (met input van u) een risicoanalyse uit.

Hierbij worden:
• risico’s geïdentificeerd,
• kans en impact beoordeeld,
• risico’s geprioriteerd,
• en vastgelegd in een risicoregister.

De zorginstelling besluit over:
• risicoacceptatie,
• aanvullende beheersing,
• prioritering.

➡️ Resultaat: actueel en onderbouwd risicoregister.

3

Selectie maatregelen & VvT

Privacyzorg vertaalt de vastgestelde context, het risicoregister en de stakeholderanalyse naar de beheersmaatregelen uit NEN 7510:2024 deel 2.

Hierbij wordt bepaald welke maatregelen van toepassing zijn, welke prioriteit hebben en welke niet van toepassing zijn gezien de aard en omvang van de organisatie. Op basis hiervan stelt Privacyzorg de Verklaring van Toepasselijkheid (VvT) op.

➡️ Resultaat: een onderbouwde selectie van beheersmaatregelen en een vastgestelde, verdedigbare VvT.

4

Actie‑ en implementatie

planning

Stichting Privacyzorg stelt voor u een actieplan op waarin per beheersmaatregel wordt vastgelegd:
• wat moet worden ingericht;
• in welke volgorde;
• met welke ondersteuning;
• binnen welke termijn.

Het actieplan is afgestemd op:
• prioriteiten uit de risicoanalyse;
• categorie indeling (basis / risico reducerend / besturend).

➡️ Resultaat: concreet en gefaseerd implementatieplan.

5

Uitvoering & eigenaarschap

De door u aangewezen aandachtshouders voeren de beheersmaatregelen uit, ondersteund door de NEN-cockpit en Stichting Privacyzorg.

Ondersteuning bestaat uit:
• instructies (bijv. video’s en toelichtingen);
• voorbeeldteksten en sjablonen;
• centrale vastlegging van bewijs;
• directe ondersteuning door het supportteam in alle beheersmaatregelen
• voortgangsbewaking via het platform.

➡️ Resultaat: consistente en aantoonbare uitvoering.
duidelijke rolverdeling en eigenaarschap.

Onze structuur: Werken met categorieën


Waarom deze indeling?

De NEN7510:2024 bevat 124 eisen en beheersmaatregelen. Voor kleine zorginstellingen is het vaak lastig om te bepalen wat nu écht noodzakelijk is, wat afhankelijk is van risico’s, en wat vooral bedoeld is om aantoonbaar en structureel te werken. Daarom hanteren wij een praktische categorisering van alle normonderdelen in drie maatregelen. Deze indeling helpt om gericht te prioriteren, zonder afbreuk te doen aan de norm. Alle eisen en beheersmaatregelen uit NEN7510:2024 zijn in te delen in: 'basis', 'risico-reducerende' en 'besturende' maatregelen. Deze indeling helpt zorginstellingen om veilig, haalbaar en aantoonbaar compliant te werken.

Deze methodiek maakt het mogelijk om:
  • eerst de echte veiligheidsbasis op orde te brengen,
  • vervolgens gericht risico’s te verminderen,
  • en tegelijk toe te werken naar structurele borging en aantoonbaarheid.
Zo ontstaat een aanpak die:
  • werkbaar is voor zorgorganisaties,
  • aansluit op de NEN7510:2024,
  • en bestand is tegen audits zonder onnodige bureaucratie.

BASIS

maatregelen maken de zorgorganisatie direct en aantoonbaar veiliger.

Basismaatregelen vormen het fundament van informatiebeveiliging. Ze zorgen ervoor dat de kans op incidenten aantoonbaar kleiner wordt en dat de impact van incidenten wordt beperkt wanneer deze zich toch voordoen. 

Deze maatregelen zijn vrijwel altijd noodzakelijk, ongeacht de grootte of complexiteit van de organisatie, en leveren direct zichtbare en meetbare verbeteringen op.

Omdat basismaatregelen aansluiten op alledaagse werkprocessen, zijn ze eenvoudig toe te passen en goed te begrijpen binnen de zorgpraktijk. Ze leggen een solide minimum­basis waarop verdere beveiligingsmaatregelen kunnen voortbouwen.

Kenmerken
  • Direct effect op informatiebeveiliging en continuïteit
  • Laag in complexiteit, hoog in opbrengst
  • Praktisch, voorspelbaar en direct uitvoerbaar
  • Begrijpelijk voor medewerkers én management
  • Gericht op het voorkomen van de meest voorkomende incidenten
Voorbeelden
  • Toegangsbeveiliging en multi‑factor authenticatie (MFA)
  • Back‑ups en periodiek testen van herstel
  • Patch‑ en updatebeheer van systemen en werkplekken
  • Duidelijke afspraken over het veilig gebruik van systemen en gegevens
  • Basisafspraken voor incidentmelding en eerste respons
Zonder deze basismaatregelen is een organisatie aantoonbaar kwetsbaar en ontbreekt een solide uitgangspunt voor verdere informatiebeveiliging.

RISICO-REDUCERENDE

maatregelen verlagen specifieke risico’s op basis van context.

Risico-reducerende maatregelen zijn bedoeld om de belangrijkste geïdentificeerde risico’s gericht te verkleinen. 

Welke maatregelen nodig zijn, hangt af van onder meer:
  • de gebruikte systemen,
  • de aard van de zorg,
  • uitbesteding en leveranciers,
  • gegevensstromen en koppelingen.
Vooraf: risicoanalyse en risicoregister

Voorafgaand aan het selecteren en toepassen van risico‑reducerende maatregelen wordt een risicoanalyse uitgevoerd. De uitkomsten hiervan worden vastgelegd in een risicoregister. In de risicoanalyse brengt de zorginstelling de relevante risico’s voor de informatiebeveiliging in kaart, beoordeelt deze op kans en impact, en stelt prioriteiten. 

Op basis hiervan wordt bepaald:
  • welke risico‑reducerende maatregelen noodzakelijk zijn, en
  • welke maatregelen prioriteit krijgen (bijvoorbeeld focus op de top‑5 grootste risico’s).
Deze aanpak zorgt ervoor dat risico‑reducerende maatregelen gericht, onderbouwd en proportioneel worden ingezet, passend bij het daadwerkelijke risicoprofiel van de organisatie.

Kenmerken:
  • Afhankelijk van het risicoprofiel
  • Technisch of organisatorisch verdiepend
  • Gericht op specifieke dreigingen
  • Inzetbaar op prioriteit (bijv. top‑5 risico’s)
Deze maatregelen worden gekozen omdat zij aantoonbaar bijdragen aan het verminderen van concrete risico’s.

BESTURENDE

maatregelen zorgen voor structurele borging en aantoonbaarheid.

Besturende maatregelen richten zich niet primair op techniek of dagelijkse uitvoering, maar op sturing, besluitvorming en herhaalbaarheid. Ze geven richting aan hoe informatiebeveiliging binnen de organisatie wordt georganiseerd, bewaakt en verbeterd.
Deze maatregelen zorgen ervoor dat informatiebeveiliging geen losse of eenmalige actie is, maar een structureel en doorlopend proces dat meebeweegt met veranderingen in de organisatie, de zorgpraktijk en het dreigingslandschap. Hiermee ontstaat grip op informatiebeveiliging, zowel inhoudelijk als bestuurlijk.

Kenmerken
  • Ondersteunen de PDCA‑cyclus (plan‑do‑check‑act)
  • Leggen verantwoordelijkheden, taken en besluiten expliciet vast
  • Zorgen voor structureel inzicht, controle en bijsturing
  • Maken toezicht, verantwoording en verbetering mogelijk
  • Noodzakelijk om informatiebeveiliging aantoonbaar en beheerst in te richten

Voorbeelden
  • Risicomanagement en vastgelegde risicobesluiten
  • Interne audits en evaluaties
  • Periodieke managementreview
  • Vastlegging en beheer van beleid en procedures
  • Monitoring van naleving, evaluatie van resultaten en uitvoering van verbeteracties


Door deze besturende maatregelen kan de organisatie aantonen dat informatiebeveiliging niet alleen is ingericht, maar ook structureel wordt beheerd, bewaakt en verbeterd. 

Implementatievariant: NEN-cockpit Light

Voor kleine zorginstellingen (huisartsen, apotheken, < ±10 medewerkers)

De NEN-cockpit Light is gebaseerd op dezelfde methodiek als de volledige NEN-cockpit, maar aangepast aan de schaal en praktijk van kleine zorgorganisaties:
  • Beperkte organisatiestructuur (geen complexe governance)
  • Weinig rollen en functies (vaak 1–2 aandachthouders)
  • Hoog gebruik van standaard zorginformatiesystemen
  • Beperkte tijd en capaciteit voor individuele implementaties
Principes:
  • Zo veel mogelijk vooraf ingevuld
  • Standaard waar het kan, maatwerk waar nodig
  • Geen individuele auditsessies, maar begeleide groepssessies
  • Focussen op basis- en relevante risicoreducerende maatregelen


Voorbereidingfase


Intake & afbakening
Stap 1

Doel: Vaststellen dat de NEN‑cockpit Light passend is voor de zorginstelling.

De intake en afbakening worden gezamenlijk en efficiënt uitgevoerd en richten zich uitsluitend op het bepalen van de geschiktheid van de Light‑variant. Er wordt geen uitgebreide analyse gedaan, maar gekeken of de organisatie past binnen de vooraf gedefinieerde uitgangspunten van NEN‑cockpit Light.

De intake bestaat uit:
 ​• Type zorginstelling (bijv. huisartsenpraktijk of apotheek)
 ​• Omvang van de organisatie (beperkt aantal medewerkers en rollen)
 ​• Gebruikte kernsystemen (HIS/AIS, e‑mail, standaard cloudoplossingen)
 ​• ICT‑complexiteit (geen maatwerkkoppelingen of complexe uitbesteding)

➡️ Resultaat: bevestigde scope en vaststelling dat de NEN‑cockpit Light passend wordt ingezet.

  • Vooraf ingevulde NEN-cockpit Light
    Stap 2

    Doel: Beperken van invulinspanning voor de zorginstelling.

    Voor alle deelnemers wordt de NEN-cockpit Light vooraf gevuld op basis van:
    ​• Best practice inrichting voor kleine zorgorganisaties
    ​• Standaard juridische en organisatorische uitgangspunten
    ​• Generieke risico’s in de eerstelijnszorg

    Vooraf ingevuld:
    ​• Context, belanghebbenden en risicoregister
    ​• Rollen & verantwoordelijkheden (vereenvoudigd)
    ​• Standaard beleidskaders

    Groot deel van de normeisen uit NEN7510:2024 deel 1 worden hiermee vooringevuld.

    ➡️ Resultaat: direct werkbaar ISMS zonder ‘leeg papier’

  • Beperkte selectie maatregelen
    Stap 3

    Doel: Alleen uitvoeren wat aantoonbaar nodig en passend is voor de zorginstelling.

    Niet‑standaard of instellingsspecifieke beheersmaatregelen uit NEN 7510:2024 deel 2 worden binnen de NEN‑cockpit Light niet individueel geïnventariseerd of volledig uitgewerkt door de zorginstelling zelf. In plaats daarvan maakt Privacyzorg vooraf een gerichte selectie van de maatregelen die daadwerkelijk relevant kunnen zijn.

    De selectie vindt plaats op basis van:
    ​• Informatie uit de voorgaande stappen, waaronder de intake en scope
    ​• Type zorgverlening (bijv. huisartsenzorg of farmacie)
    ​• Gebruik van externe leveranciers en ICT‑diensten
    ​• Gegevensuitwisseling, zoals LSP, ketenzorg of andere samenwerkingsverbanden

    Dit betreft uitsluitend:
     ​• Relevante basis- en risico-reducerende beheersmaatregelen
     ​• Geen complexe, technische of expliciet certificerende eisen
     ​• Maatregelen die binnen de schaal en praktijk van kleine zorginstellingen uitvoerbaar zijn

    ➡️ Resultaat: een korte, beheersbare restlijst met maatregelen die gezamenlijk verder worden opgepakt.

Uitvoeringsfase


Periodieke groepssessies
Stap 4

Doel: Efficiënte begeleiding zonder individuele trajecten.

De resterende maatregelen worden behandeld via:
    • Periodieke groepssessie via video-overleg (6x per jaar)
    ​• Meerdere zorginstellingen tegelijk
    • Gericht op uitleg, keuzes en minimale vastlegging

Kenmerken:
    ​• Praktisch, geen normtaal
​    • Veel herkenbare situaties
    • Stapsgewijs door de cockpit heen
    • Ruimte voor vragen, zonder individuele consultancy

➡️ Resultaat: maatregelen gezamenlijk afgerond

Vastlegging & aantoonbaarheid
Stap 5

Doel: Aantoonbaar voldoen zonder overdocumenteren.

De NEN-cockpit Light fungeert hierbij als centraal en uniform vastlegpunt, passend bij de schaal van een kleine zorginstelling.

Na afronding:
    • Maatregelen staan “afgerond” in de NEN-cockpit Light
    • Vastlegging is kort, herkenbaar en uniform
    • Eenduidige structuur, gelijk voor alle deelnemende zorginstellingen

Geschikt voor:
    ​• Interne verantwoording
    ​• IGJ-vragen
    ​• Zorgverzekeraars
    ​• Samenwerkingspartners

➡️ Resultaat: Geen zware auditdossiers, wél aantoonbaarheid

Beheer & jaarlijkse cyclus (licht)
Stap 6

Doel: Zorgen dat voldoen beheersbaar blijft zonder extra belasting voor de organisatie.

Na afronding van de implementatie wordt de NEN‑cockpit Light gebruikt als licht beheermodel. Het doel is het aantoonbaar en praktisch op orde houden van de informatiebeveiliging binnen de grenzen van een kleine zorginstelling.

Het beheer bestaat uit:
    • Jaarlijkse groepsbijeenkomst (video-overleg)
    ​- Korte evaluatie van het afgelopen jaar
    ​- Bespreken van relevante wijzigingen in wet- en regelgeving
    ​- Vaststellen van beperkte en haalbare verbeterpunten
    • Automatische signalering en herinneringen via de NEN-cockpit Light
    • Uniforme vastlegging, zonder extra documentatie-eisen

Kenmerken:
    • Licht en voorspelbaar beheer
    • Geen individuele verbetertrajecten
    • Geen uitgebreide interne audits
    • Aansluitend bij dagelijkse zorgpraktijk

➡️ Resultaat: de informatiebeveiliging blijft aantoonbaar op orde, met minimale inspanning voor de zorginstelling.

2,500+ zorginstellingen maken reeds gebruik van onze dienstverlening.

Doe mee en neem vandaag nog contact op.