NEN 7510 stelt strenge eisen aan AI in de zorg. Ontdek hoe je AI implementeert die voldoet aan de norm en echte waarde toevoegt
Foto: National Cancer Institute / Unsplash
Op 20 februari 2027 verstrijkt de overgangstermijn voor NEN 7510:2024. Vanaf die datum moeten alle zorginstellingen die gezondheidsinformatie verwerken voldoen aan de nieuwe versie van de norm -- inclusief specifieke eisen voor AI-systemen die in de eerdere versie nog niet bestonden. Dat klinkt ver weg, maar de gemiddelde implementatietijd voor NEN 7510-certificering is 9-12 maanden. Tel daar AI-specifieke maatregelen bij op en je komt al snel uit op 12-15 maanden voorbereiding. Met andere woorden: als je nog niet begonnen bent, is nu het moment.
In dit artikel laten we zien wat er verandert met NEN 7510:2024, hoe je AI implementeert die volledig aan de norm voldoet, en welke stappen je per kwartaal moet zetten om de deadline te halen. Lees ook onze complete gids over AI-veiligheid voor het volledige strategische kader rond veilige AI-implementatie.
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de gezondheidszorg. Het is gebaseerd op de internationale ISO 27001-standaard, maar aangevuld met zorgspecifieke eisen die rekening houden met de unieke gevoeligheid van medische gegevens.
De norm is opgebouwd rond drie fundamentele principes:
NEN 7510 is verplicht voor alle organisaties die gezondheidsinformatie verwerken. Dat is breder dan veel bestuurders denken:
Als je organisatie AI inzet die op enige wijze gezondheidsinformatie verwerkt, analyseert of genereert, valt dat AI-systeem automatisch onder de scope van NEN 7510.
De update van NEN 7510 naar de 2024-versie brengt substantiele wijzigingen met zich mee, specifiek op het gebied van digitale technologieen en AI. Hieronder de belangrijkste veranderingen:
| Onderdeel | NEN 7510:2017 | NEN 7510:2024 | Impact voor AI |
|---|---|---|---|
| Risicoanalyse | Generieke IT-risicobeoordeling | Specifieke AI-risicoanalyse vereist, inclusief bias en fairness | Elke AI-toepassing apart beoordelen |
| Toegangsbeheer | Role-based access control (RBAC) | RBAC + context-aware access voor AI-systemen | AI-toegang tot data beperken per use case |
| Logging | Standaard audit logging | Uitgebreide AI-beslissingslogging met uitlegbaarheid | Alle AI-output en redenering vastleggen |
| Incidentmanagement | IT-incidentprocedure | AI-specifiek incidentmanagement inclusief foutieve AI-output | Procedure voor verkeerde AI-adviezen |
| Leveranciersbeheer | Verwerkersovereenkomst | Aanvullende eisen voor AI-leveranciers (modeltraining, data-gebruik) | Controleer of AI-vendor data niet hergebruikt |
| Continuiteit | Business continuity planning | AI-fallback procedures bij systeemuitval | Handmatige werkwijze als backup |
| Privacy-by-design | Aanbeveling | Verplichting voor alle nieuwe systemen, inclusief AI | Dataminimalisatie en pseudonimisering verplicht |
| Transparantie | Niet specifiek benoemd | Verplichte transparantie naar patienten over AI-gebruik | Informatieplicht bij AI-gestuurde beslissingen |
De rode draad: NEN 7510:2024 erkent dat AI fundamenteel anders werkt dan traditionele informatiesystemen en stelt daar specifieke eisen aan. Een organisatie die haar NEN 7510:2017 certificering heeft, moet actief nieuwe maatregelen implementeren om aan de 2024-versie te voldoen.
Voor elke AI-toepassing in de zorg moet je aan vijf kernvereisten voldoen. Hieronder een overzicht per vereiste met de concrete impact op je AI-implementatie en de actie die je moet ondernemen.
| Kernvereiste | Wat het betekent voor AI | Concrete actie |
|---|---|---|
| 1. Risicoanalyse (hst. 6) | Voor elk AI-systeem een specifieke risicoanalyse: welke data verwerkt het, wat zijn de dreigingen, wat is de impact van foutieve output? | DPIA uitvoeren per AI-toepassing, AI-risico opnemen in ISMS |
| 2. Toegangsbeheer (hst. 9) | AI-systemen mogen alleen de data benaderen die strikt noodzakelijk is voor hun functie. Need-to-know principe, MFA verplicht | RBAC configureren per AI-module, quarterly access reviews |
| 3. Logging en uitlegbaarheid (hst. 12) | Alle AI-invoer, -verwerking en -output loggen. Bij beslissingsondersteunende AI: redenering vastleggen | Audit logging implementeren met minimaal 5 jaar retentie |
| 4. Incidentmanagement (hst. 16) | Procedure voor AI-specifieke incidenten: foutieve output, bias-detectie, dataleaks via AI | AI-incidentprocedure opstellen, meldplicht AP bij datalekken |
| 5. Data residency en verwerking | Gezondheidsgegevens verwerken binnen de EER. Geen training van AI-modellen op patientdata zonder expliciete toestemming | Contractuele waarborgen met AI-leverancier, data-flow mapping |
Waar traditionele IT-systemen een generieke risicoanalyse kennen, vereist NEN 7510:2024 een specifieke analyse per AI-toepassing. De reden is logisch: een AI-chatbot die patienten helpt met het inplannen van afspraken heeft een ander risicoprofiel dan een AI-systeem dat medicatie-interacties beoordeelt.
Voor elke AI-toepassing moet je minimaal beoordelen:
Een AI-systeem dat afspraken plant, heeft geen toegang nodig tot medische dossiers. Een AI-triage systeem heeft geen namen en adressen nodig. NEN 7510:2024 verplicht dataminimalisatie op AI-niveau: elk AI-systeem krijgt alleen toegang tot de data die het strikt nodig heeft voor zijn functie.
Praktisch betekent dit:
Dit is de vereiste die de meeste impact heeft op AI-architectuur. NEN 7510:2024 eist niet alleen dat je logt wat de AI doet, maar ook waarom.
Wat moet worden gelogd:
Bewaartermijnen: Audit logs minimaal 5 jaar. Als AI-output onderdeel wordt van het medisch dossier, geldt de WGBO-bewaartermijn van 20 jaar. Ons advies: hanteer standaard de langste termijn.
Een foutieve AI-output in de zorg is fundamenteel anders dan een IT-storing. NEN 7510:2024 vereist een aparte procedure voor AI-gerelateerde incidenten:
De meest onderschatte vereiste. Veel populaire AI-tools verwerken data op servers buiten de EU, wat op gespannen voet staat met zowel de AVG als NEN 7510.
Concrete eisen:
Gebruik deze checklist als praktische leidraad bij het implementeren van AI in je zorginstelling. De checklist is opgebouwd in vier fasen die aansluiten bij de NEN 7510-systematiek.
Met de inwerkingtreding van de EU AI Act worden AI-systemen in de zorg geclassificeerd als hoog-risico. Dit betekent aanvullende verplichtingen bovenop NEN 7510:
Het goede nieuws: een organisatie die NEN 7510:2024 correct implementeert, heeft al circa 70% van de AI Act-vereisten gedekt. De normen overlappen op risicoanalyse, logging, transparantie en menselijk toezicht. Begin met NEN 7510:2024 en je bouwt tegelijk een fundament voor AI Act-compliance.
De meest voorkomende fout: organisaties die denken dat hun bestaande NEN 7510:2017-certificering hen ook dekt voor AI-toepassingen. De 2024-versie bevat specifieke AI-eisen die in de 2017-versie niet bestonden. Je moet actief upgraden.
"Even snel een ontslagbrief laten herschrijven door ChatGPT" is een datalek in de zin van de AVG. Patientgegevens mogen niet worden ingevoerd in publieke AI-tools. Bied alternatieven: een private AI-omgeving die binnen je eigen infrastructuur draait.
AI-logging vereist meer dan traditionele audit logs. Je moet niet alleen vastleggen wie wat wanneer deed, maar ook waarom het AI-systeem tot een bepaalde output kwam. Zonder deze uitlegbaarheidslogging kun je bij een incident niet aantonen hoe een AI-advies tot stand is gekomen.
Wat gebeurt er als je AI-triagesysteem uitvalt op maandagochtend? Zonder een uitgeteste handmatige fallback-procedure loop je een patient-veiligheidsrisico. Test je fallback-procedure minimaal twee keer per jaar.
Je Functionaris Gegevensbescherming hoort vanaf het eerste ontwerp betrokken te zijn, niet pas als het systeem live gaat. Een DPIA achteraf is niet alleen in strijd met de AVG, maar leidt ook tot kostbare herontwerpen als er fundamentele privacyproblemen worden ontdekt.
De overgangstermijn voor NEN 7510:2024 verstrijkt op 20 februari 2027. Hieronder een realistisch kwartaalplan om de deadline te halen, gerekend vanaf Q2 2026.
Q2 2026 (april-juni): Inventarisatie en gap-analyse
Q3 2026 (juli-september): Technische implementatie
Q4 2026 (oktober-december): Organisatorische maatregelen
Q1 2027 (januari-februari): Certificering
Belangrijk: dit tijdpad is ambitieus maar haalbaar voor organisaties die al NEN 7510:2017-gecertificeerd zijn. Voor organisaties die nog geen certificering hebben, reken op 12-15 maanden en start onmiddellijk.
NEN 7510:2024 is geen bureaucratische exercitie -- het is de bescherming die patienten verdienen wanneer AI wordt ingezet bij hun zorg. De nieuwe versie erkent dat AI fundamenteel andere risicos met zich meebrengt dan traditionele IT-systemen en stelt daar gerichte eisen aan.
De deadline van 20 februari 2027 komt sneller dan je denkt. De organisaties die nu beginnen met hun gap-analyse en implementatieplan, hebben de luxe om dit zorgvuldig te doen. Organisaties die wachten tot Q4 2026 komen in de knel en lopen het risico op een niet-conforme certificering of erger: een AI-incident zonder de juiste waarborgen.
Begin vandaag. Inventariseer je AI-systemen, start de DPIA's en leg het fundament voor veilige AI in de zorg.
Wil je weten hoe jouw zorginstelling AI kan implementeren binnen de kaders van NEN 7510:2024? Neem contact op met CleverTech voor een vrijblijvend adviesgesprek. We helpen je met de gap-analyse, het implementatieplan en de voorbereiding op certificering.
Meer over Beveiliging & Compliance
GDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
AI-tools verbieden werkt niet: 60% gebruikt het toch via privé-accounts. Ontdek het 4-Layer Security Model voor veilig AI-gebruik
Private AI kost €500-5000/maand, een data breach gemiddeld €87.000. Ontdek waarom een eigen AI-omgeving essentieel is voor elk bedrijf
Ontdek hoe CleverTech jouw organisatie kan helpen met AI-beveiliging en compliance.
Sarah Chen is Lead AI Architect bij CleverTech met meer dan 10 jaar ervaring in het ontwerpen en implementeren van AI-systemen voor enterprise klanten. Ze is gespecialiseerd in AI-agents, machine learning architecturen en schaalbare AI-oplossingen. Sarah heeft een achtergrond in computerwetenschappen en heeft bij verschillende tech-bedrijven gewerkt voordat ze bij CleverTech kwam. Ze schrijft regelmatig over AI-transformatie en de praktische toepassing van AI-agents in bedrijfsomgevingen.
Ontvang wekelijks praktische inzichten over AI-veiligheid en compliance in je inbox.
In een kort gesprek bespreken we jouw situatie en laten we zien welke processen het meeste opleveren als je ze automatiseert. Geen verplichtingen.
Gratis · vrijblijvend · reactie binnen 24 uur
Al 40+ bedrijven besparen tijd en kosten met onze oplossingen.
