Maatwerk software voor de zorg die voldoet aan NEN 7510 — de Nederlandse norm voor informatiebeveiliging in de gezondheidszorg. Audit-logging, rolbeheer, encryption en data-residency vanaf het eerste ontwerp meegenomen, niet achteraf aangeplakt.
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector — een zorg-specifieke aanvulling op ISO 27001, verplicht voor elke organisatie die persoonsgezondheidsdata verwerkt. De norm bestaat uit drie delen: NEN 7510-1 beschrijft het managementsysteem, NEN 7510-2 de concrete beheersmaatregelen, en NEN 7510-3 stelt eisen aan audit-logging.
In de praktijk zien we vaak dat software die "later compliant wordt gemaakt" structurele tekortkomingen houdt: audit-logs die de eigenaar zelf kan uitzetten, rolmodellen die met patches gefixt zijn, of cloud-keuzes die niet door een Schrems II-toets komen. Wij bouwen het andersom — eerst de compliance-architectuur, dan de features eromheen.
We werken voor zorginstellingen (ziekenhuizen, GGZ, langdurige zorg), huisartsen-coöperaties, tandartsen en fysiotherapeuten met digitalisering, apothekers, EPD-leveranciers, verzekeraars in het zorg-domein, zorg-IT-leveranciers en health-tech-startups die hun eerste medisch product naar de markt brengen. Voor onderzoeksinstellingen — UMC's, RIVM, ZonMW-consortia — bouwen we platforms met pseudonimisatie, doelbinding en strenge sub-verwerker-controle. We bouwen géén EPD-vervanger voor ChipSoft, Epic, CGM, HiX of Topicus, maar wel de modules en portals die naast die systemen draaien en uitwisselen via HL7 FHIR of MedMij.
De norm is dezelfde, maar de scope van software in de zorg verschilt sterk. We adviseren in het eerste gesprek welke aanpak bij uw situatie past — een patiëntportaal vraagt om iets anders dan een telemedicine-platform of een onderzoeks-omgeving met pseudonimisatie.
Een veilige omgeving waarin patiënten dossierstukken inzien, afspraken maken, vragenlijsten invullen of veilig communiceren met hun zorgverlener. Inloggen met DigiD of MedMij, rol-gebaseerde toegang, onveranderlijke audit-trail en patient-rights-flow voor inzage, correctie en dataportabiliteit.
Een dedicated zorgmodule naast het EPD: verwijzers-koppeling, telemedicine-consult, vragenlijsten met klinische scoring, of een module voor specifieke aandoeningen. Inclusief HL7 FHIR-koppelingen, encryptie at rest en in transit, sub-verwerker-management en een DPIA-traject met uw DPO of CISO.
Een onderzoeks-platform met pseudonimisatie en doelbinding, of een AI-tool die onder de MDR en AI Act valt naast NEN 7510. Mission-critical setup met IaC, security-scans (Checkov, Trivy), externe pen-test voor go-live en een mapping-document waarmee uw organisatie de norm aantoonbaar afdekt.
Een werkend platform én de documentatie waarmee u de NEN 7510-eisen kunt aantonen — tegenover uw eigen kwaliteits-functie, een externe auditor of de Autoriteit Persoonsgegevens.
Vier patronen waarin we zorg-organisaties begeleiden. Standaard EPD-vervanging hoort daar niet bij — voor ChipSoft, Epic, CGM of HiX bouwen we modules eromheen, geen alternatieven.
Het EPD doet de kern, maar voor verwijzers-portaal, vragenlijsten met scoring of een patient-journey-app loopt u tegen de grenzen aan. U wilt iets dat aansluit via HL7 FHIR maar onder uw merk en compliance valt.
U bouwt een digital therapeutic, een telemonitoring-app of een AI-diagnose-tool. NEN 7510 is voor verkoop aan ziekenhuizen onontkoombaar — en wordt door investeerders en inkopers expliciet uitgevraagd.
UMC, onderzoekscentrum of consortium dat data uit meerdere zorgaanbieders moet kunnen analyseren. Pseudonimisatie, doelbinding en sluitende toegangscontrole zijn niet optioneel.
Een bestaande zorg-applicatie draait nog on-premise of in een setup die de norm-toets niet meer doorstaat. U wilt naar een moderne EU-cloud-architectuur zonder de compliance-grond onder de voeten te verliezen.
Een gesprek waarin we de zorg-context begrijpen: welke data, welke doelgroep, welk EPD, welke partners. We brengen vroeg in beeld of er naast NEN 7510 ook MDR, AI Act of de WGBO een rol speelt.
Samen met uw DPO of CISO leggen we de architectuur naast NEN 7510-2 en NEN 7510-3. Datastromen, sub-verwerkers, encryptie-strategie, key-management en de audit-log-opzet liggen vast voordat we code schrijven.
Tweewekelijkse sprints met werkende builds. Secure-by-default frameworks, geautomatiseerde security-scans (Checkov, Trivy, dependency-checks) in de pipeline, en een DPIA-update bij elke feature die persoonsgezondheidsdata raakt.
Voor go-live laten we een externe security-partij pen-testen. Bevindingen gaan terug in een sprint, hertest volgt. Parallel ronden we het NEN 7510-mapping document af zodat uw audit-traject met bewijslast start.
Gefaseerde uitrol, trainingen voor functioneel beheer en eindgebruikers, en — als u dat wenst — doorlopend beheer met jaarlijkse pen-test, patch-management en kwartaal-DPIA-reviews voor nieuwe features.
NEN 7510-2 beschrijft beheersmaatregelen op een hoog niveau. Dit zijn de concrete implementaties die wij in elke zorg-applicatie meebouwen, ongeacht de scope. Maatwerk zit in hoe ze samenkomen, niet in of ze er zijn.
Rolmodel met principe van minimale rechten, MFA verplicht voor alle gebruikers met toegang tot patiëntdata, sessie-management met automatische uitlog en device-binding waar nodig. Inlog via DigiD, MedMij, of de IdP van de zorgorganisatie.
AES-256 of sterker voor data at rest, TLS 1.2+ voor data in transit, klant-side encryptie voor de meest gevoelige velden en een sleutelbeheer-strategie waarin sleutels gescheiden zijn van de versleutelde data — vaak met KMS of HSM-koppeling.
Audit-log conform NEN 7510-3: write-only opslag, apart domein, niet uitzetbaar door functioneel beheer, met retentie-configuratie en alarm-regels op verdachte patronen (bulk-bevragingen, toegang buiten kantoortijden, toegang tot eigen dossier).
Self-service of begeleide flow voor inzage, correctie, beperking, vergetelheid en dataportabiliteit. Vergetelheid in zorg-context betekent vaak afscherming met behoud voor wettelijke bewaartermijn — die nuance bouwen we netjes in.
Inventarisatie van alle cloud- en SaaS-leveranciers in de keten, verwerkersovereenkomsten op orde, Schrems II-toets per leverancier met US-eigenaarschap, en periodieke review van het sub-verwerker-register.
Incident-response runbook met escalatiematrix, vooraf opgestelde meldingstemplates voor de Autoriteit Persoonsgegevens, en geoefende restore-procedures zodat in de praktijk binnen de gestelde termijnen gehandeld kan worden.
NEN 7510 staat zelden alleen. Afhankelijk van wat de software doet, komen er extra kaders bij. Een telemonitoring-app die alarmen geeft is een medisch hulpmiddel (MDR). Een AI-tool die risico voorspelt valt onder de AI Act. Een platform dat patiëntdata uitwisselt moet aan MedMij voldoen, en interoperabiliteit loopt vrijwel altijd via HL7 FHIR — of voor legacy-koppelingen via HL7v3 of EDIFACT.
We brengen die overlays in kaart voordat we beginnen, zodat het ontwerp ze ondersteunt in plaats van ze te raken. Een MDR-classificatie van klasse IIa heeft impact op het ontwikkelproces (technical file, post-market surveillance), niet alleen op een vinkje. Voor enterprise zorg-context zien we deze stapeling vaak terug in onze enterprise-software-trajecten, en voor research-platforms in onze bredere zorg-software-aanpak.
Wat we expliciet niet doen: NEN 7510 als checklist afvinken en daarna feature-werk hervatten zonder verbinding. De norm is een houding — en die houding bouwen we structureel in de architectuur, het ontwikkelproces en de governance van het team.
Wat opdrachtgevers in de zorg meestal willen weten voor we beginnen.
Een kennismaking van een half uur, vrijblijvend. We luisteren naar uw zorg-context — welke data, welk EPD, welke partners — en geven richting over waar de compliance-risico's én de oplossingen zitten. Geen verkooppraat, wel concreet advies. Vergelijkbare compliance-trajecten doen we ook voor KYC/AML-compliance in andere gereguleerde sectoren.
Appfront gebruikt cookies en vergelijkbare technieken voor een goede werking van de website, voor analyse en voor marketing. Je kiest zelf wat je toestaat. Lees meer in ons privacybeleid.
