Huisartsenspoedzorg moet zo snel mogelijk voldoen aan de norm voor informatiebeveiliging

Publicatie13-10-2025

Hoe staat het met de informatiebeveiliging in de huisartsenspoedzorg? De Inspectie Gezondheidszorg en Jeugd (IGJ) startte in het najaar van 2024 een onderzoek naar informatiebeveiliging bij alle organisaties die huisartsenspoedzorg leveren in Nederland. Daarbij was de vraag of zij werkten volgens de wettelijk verplichte norm, de NEN 7510. Van de 49 organisaties bleken er 43 nog niet -volledig- aan die norm te voldoen. Wel is er bewustwording rondom het thema en nemen organisaties diverse maatregelen om risico’s te beperken.

De inspectie verwacht dat alle organisaties die huisartsenspoedzorg leveren zo snel mogelijk werken volgens de norm.

Informatie(beveiliging) cruciaal in de acute zorg

In 2024 maakte 15,7% (bron: Nivel) van de Nederlanders ten minste eenmaal gebruik van een huisartsenspoedpost. Dit gaat om circa 2,6 miljoen mensen per jaar. Om de zorg goed af te kunnen stemmen op de individuele patiënt, maken zorgverleners van huisartsenspoedposten gebruik van digitale informatie. Denk daarbij aan gegevens over het medicatiegebruik en de medische voorgeschiedenis van de patiënt. Deze digitale informatie is afkomstig van bijvoorbeeld het ziekenhuis, de huisarts en de apotheek. Het is van belang dat medische informatie beschikbaar is voor de juiste personen op de momenten dat het telt. Daarom is goede informatiebeveiliging van groot belang voor de kwaliteit van zorg.

Het onderzoek

Ten tijde van het onderzoek waren er 49 organisaties die huisartsenspoedzorg leverden in Nederland.
Alle organisaties die huisartsenspoedzorg leveren, ontvingen van de IGJ een digitale vragenlijst over informatiebeveiliging en de NEN 7510 norm. De inspectie vroeg elke organisatie of zij volgens de norm werkten en of zij dit konden onderbouwen met bewijsstukken.

Wettelijk verplicht: werken aan informatiebeveiliging

Zorgaanbieders hebben al jaren een wettelijke verplichting om te werken aan informatiebeveiliging. De NEN 7510 is de norm voor informatiebeveiliging in de zorg in Nederland. Er staat in hoe organisaties in de zorg hun informatiebeveiliging moeten inrichten. De kern van de NEN 7510 gaat over het managementsysteem voor informatiebeveiliging. Dit heet ook wel een ‘information security management system’ of ISMS. Verder beschrijft de norm een serie beheersmaatregelen. Hiermee kunnen organisaties risico’s wegnemen of kleiner maken.

Werken volgens de NEN 7510 betekent dat het information security management system (ISMS) goed werkt. De organisatie kan dan laten zien dat de kwaliteitscyclus voor informatiebeveiliging functioneert. Daarvoor is het niet genoeg dat er beleid is en beheersmaatregelen zijn. De organisatie moet ook controleren of deze werken zoals bedoeld. Als het nodig is, moet de organisatie verbeteringen uitvoeren.

De NEN 7510 norm bestaat uit 2 delen. Het 1^edeel van de norm stelt eisen aan het managementsysteem, het ISMS, en in het 2^e deel staan de richtlijnen beschreven van de beheersmaatregelen.

In de NEN 7510 staat dat de organisatie de informatiebeveiliging regelmatig onafhankelijk moet laten beoordelen. Zorgaanbieders zijn verplicht deze onafhankelijke beoordelingen uit te laten voeren. Certificering is een specifieke manier om aan te tonen dat een organisatie volgens de norm werkt. Een zorgaanbieder is echter niet verplicht om te certificeren.

Voor meer informatie, zie de pagina Vragen over NEN 7510 (op igj.nl) .

Resultaten

De inspectie heeft van alle benaderde organisaties een reactie ontvangen. De meerderheid voldeed nog niet aan de norm: 43 van de 49 organisaties.

Bij alle organisaties ziet de inspectie wel dat er bewustzijn is rondom het thema. De meeste organisaties die huisartsenspoedzorg leveren, hebben diverse maatregelen genomen, zoals multifactor-authenticatie en scholing voor medewerkers, om risico’s op het gebied van informatiebeveiliging te beperken.

Door een onafhankelijke beoordeling uit te laten voeren, tonen organisaties aan dat ze aan de norm voor informatiebeveiliging, de NEN 7510, voldoen. Deze beoordeling moet uitgevoerd worden op beide delen van de norm. Organisaties moeten ook laten toetsen of het beleid rondom informatiebeveiliging in de praktijk werkt.

6 organisaties konden, bijvoorbeeld door een certificaat, direct aantonen dat ze volgens de norm werken. Zij laten regelmatig hun informatiebeveiliging onafhankelijk toetsen.

Van de overige 43 organisaties hebben 9 wel een onafhankelijke beoordeling uitgevoerd om te zien waar ze staan ten opzichte van de norm. Deze beoordelingen waren echter veelal gebaseerd op documentatie en beleidsstukken en nog niet op de daadwerkelijke werking van informatiebeveiliging in de praktijk. Daarom voldeden deze organisaties nog niet aan de norm.

Een deel van de organisaties dat nog niet voldeed, had wel een streefdatum gesteld om te voldoen. Zo willen 11 organisaties in 2025 aantoonbaar gaan voldoen aan de norm door middel van het uitvoeren van een onafhankelijke beoordeling op informatiebeveiliging.

Aan de slag

Waar organisaties nog niet volgens de norm werkten, heeft de inspectie aanvullende vragen gesteld. Dit gebeurde in vervolggesprekken. Met alle organisaties die nog niet voldeden, heeft de inspectie afspraken gemaakt. Bijvoorbeeld over een duidelijke streefdatum en het laten uitvoeren van een deskundige, onafhankelijke beoordeling. Ook vraagt de inspectie verbeterplannen op en volgt de voortgang.

Goede voorbeelden

De inspectie ziet dat de meeste organisaties die huisartsenspoedzorg leveren nog niet aantoonbaar voldoen aan de norm. Maar we zien ook goede bewegingen in de praktijk.

Bewustzijn bij bestuurders

De inspectie heeft de indruk dat bestuurders van organisaties die huisartsenspoedzorg leveren het belang van goede informatiebeveiliging onderkennen. Er is bij alle organisaties die huisartsenspoedzorg leveren bewustzijn ten aanzien van het thema en alle organisaties hebben maatregelen genomen om risico’s te beperken.

Samenwerking met andere zorgaanbieders

In een aantal regio’s werken zorgaanbieders zoals ziekenhuizen en apotheken nauw samen op het gebied van digitale zorg, informatiebeveiliging en de digitale overdracht van medische informatie.

Meer dan alleen de huisartsenspoedzorg

Veel organisaties die huisartsenspoedzorg leveren, zijn onderdeel van regionale huisartsenorganisaties. Veel regionale huisartsenorganisaties laten weten dat zij als gehele organisatie aantoonbaar werk willen maken van informatiebeveiliging.

Inzetten externe deskundigheid

Voor veel organisaties die huisartsenspoedzorg leveren, zijn informatiebeveiliging en de NEN 7510 geen alledaagse materie. Veel organisaties zetten daarom externe deskundigheid in ter ondersteuning. Uiteindelijk zullen alle organisaties die huisartsenspoedzorg leveren uiteraard wel eigenstandig aan de norm moeten voldoen.

Hoe gaat het verder?

Het belang van goede informatiebeveiliging in de zorg is groot. Iedereen in Nederland moet kunnen vertrouwen dat zijn/haar gegevens veilig zijn. Behalve de wettelijke plicht om volgens de NEN 7510 te werken, is er nieuwe wetgeving in de maak (zie kader: Cyberbeveiligingswet in 2026). De inspectie zal de voortgang bij de organisaties die huisartsenspoedzorg leveren op dit thema actief blijven volgen. Bijvoorbeeld via het opvragen van informatie, online gesprekken en bezoeken.

De inspectie ziet erop toe dat alle organisaties die nog niet aan de norm voldoen direct actie ondernemen. Van de organisaties die nog geen beoordeling hebben uitgevoerd, verwacht de inspectie dat zij binnen 6 maanden een onafhankelijke beoordeling uit laten voeren op informatiebeveiliging. Tussentijds blijft zij de voortgang monitoren. Sinds het onderzoek hebben alle organisaties die nog niet voldeden maatregelen genomen. De inspectie verwacht dat alle organisaties uiterlijk eind 2026 aantoonbaar voldoen aan de NEN 7510 norm.

Het onderzoek naar informatiebeveiliging in de huisartsenspoedzorg maakt deel uit van het toezicht van de IGJ op informatiebeveiliging in de zorg. Eerder deed zij onder andere onderzoek bij ziekenhuizen, ggz-instellingen en organisaties in de ouderen- en gehandicapten.