Op 20 februari 2027 verstrijkt de overgangstermijn voor NEN 7510:2024, door NEN gepubliceerd op 16 december 2024. Vanaf die datum moeten alle zorginstellingen die gezondheidsinformatie verwerken voldoen aan de nieuwe versie van de norm -- inclusief specifieke eisen voor AI-systemen die in de eerdere versie nog niet bestonden. Dat klinkt ver weg, maar de gemiddelde implementatietijd voor NEN 7510-certificering is 9-12 maanden. Tel daar AI-specifieke maatregelen bij op en je komt al snel uit op 12-15 maanden voorbereiding. Met andere woorden: als je nog niet begonnen bent, is nu het moment.
Lees ook onze AI-beveiliging en compliance gids voor het volledige strategische kader rond veilige AI-implementatie.
Wat Is NEN 7510 en Waarom Is Het Belangrijk?
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de gezondheidszorg. Het is gebaseerd op de internationale ISO 27001-standaard, maar aangevuld met zorgspecifieke eisen die rekening houden met de unieke gevoeligheid van medische gegevens. De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op naleving van informatiebeveiliging in de zorg, in samenwerking met de Autoriteit Persoonsgegevens voor het AVG-deel.
De drie pijlers
De norm is opgebouwd rond drie fundamentele principes:
- Beschikbaarheid: Gezondheidsinformatie is toegankelijk wanneer zorgverleners die nodig hebben. Een AI-systeem dat uitvalt tijdens een dienst is niet alleen een IT-incident maar een potentieel patient-veiligheidsrisico
- Integriteit: Informatie is correct, volledig en niet ongeautoriseerd gewijzigd. Wanneer een AI-systeem een medicatievoorstel doet op basis van corrupte data, zijn de gevolgen levensbedreigend
- Vertrouwelijkheid: Alleen geautoriseerde personen hebben toegang tot informatie. Een AI-model dat getraind is op patientdata en die data later "lekt" via de output, schendt de vertrouwelijkheid
Wie moet voldoen?
NEN 7510 is verplicht voor alle organisaties die gezondheidsinformatie verwerken. De wettelijke basis ligt in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), die NEN 7510, NEN 7512 en NEN 7513 als uitwerking aanwijst. Dat is breder dan veel bestuurders denken:
- Ziekenhuizen en klinieken (zie NVZ voor sector-guidance)
- Huisartsenpraktijken en gezondheidscentra (LHV geeft branche-richtlijnen)
- GGZ-instellingen en verslavingszorg
- Thuiszorgorganisaties en VVT-instellingen
- Apotheken en laboratoria
- Revalidatiecentra
- IT-leveranciers die zorgdata verwerken (als verwerker onder AVG artikel 28)
- Gemeenten die Wmo- of Jeugdzorgdata verwerken
Als je organisatie AI inzet die op enige wijze gezondheidsinformatie verwerkt, analyseert of genereert, valt dat AI-systeem automatisch onder de scope van NEN 7510. Wanneer de AI-toepassing zelfstandig medische claims doet of diagnose/triage ondersteunt kan het daarnaast kwalificeren als medisch hulpmiddel onder Medical Device Regulation (EU) 2017/745 (MDR), met eigen CE-traject via MDCG 2019-11 guidance.
NEN 7510:2024 -- Wat Verandert Er?
De update van NEN 7510 naar de 2024-versie brengt substantiele wijzigingen met zich mee, specifiek op het gebied van digitale technologieen en AI. Hieronder de belangrijkste veranderingen:
| Onderdeel | NEN 7510:2017 | NEN 7510:2024 | Impact voor AI |
|---|---|---|---|
| Risicoanalyse | Generieke IT-risicobeoordeling | Specifieke AI-risicoanalyse vereist, inclusief bias en fairness | Elke AI-toepassing apart beoordelen |
| Toegangsbeheer | Role-based access control (RBAC) | RBAC + context-aware access voor AI-systemen | AI-toegang tot data beperken per use case |
| Logging | Standaard audit logging | Uitgebreide AI-beslissingslogging met uitlegbaarheid | Alle AI-output en redenering vastleggen |
| Incidentmanagement | IT-incidentprocedure | AI-specifiek incidentmanagement inclusief foutieve AI-output | Procedure voor verkeerde AI-adviezen |
| Leveranciersbeheer | Verwerkersovereenkomst | Aanvullende eisen voor AI-leveranciers (modeltraining, data-gebruik) | Controleer of AI-vendor data niet hergebruikt |
| Continuiteit | Business continuity planning | AI-fallback procedures bij systeemuitval | Handmatige werkwijze als backup |
| Privacy-by-design | Aanbeveling | Verplichting voor alle nieuwe systemen, inclusief AI | Dataminimalisatie en pseudonimisering verplicht |
| Transparantie | Niet specifiek benoemd | Verplichte transparantie naar patienten over AI-gebruik | Informatieplicht bij AI-gestuurde beslissingen |
De rode draad: NEN 7510:2024 erkent dat AI fundamenteel anders werkt dan traditionele informatiesystemen en stelt daar specifieke eisen aan. Een organisatie die haar NEN 7510:2017 certificering heeft, moet actief nieuwe maatregelen implementeren om aan de 2024-versie te voldoen.
AI en NEN 7510: De 5 Kernvereisten
Voor elke AI-toepassing in de zorg moet je aan vijf kernvereisten voldoen. Hieronder een overzicht per vereiste met de concrete impact op je AI-implementatie en de actie die je moet ondernemen.
| Kernvereiste | Wat het betekent voor AI | Concrete actie |
|---|---|---|
| 1. Risicoanalyse (hst. 6) | Voor elk AI-systeem een specifieke risicoanalyse: welke data verwerkt het, wat zijn de dreigingen, wat is de impact van foutieve output? | DPIA uitvoeren per AI-toepassing, AI-risico opnemen in ISMS |
| 2. Toegangsbeheer (hst. 9) | AI-systemen mogen alleen de data benaderen die strikt noodzakelijk is voor hun functie. Need-to-know principe, MFA verplicht | RBAC configureren per AI-module, quarterly access reviews |
| 3. Logging en uitlegbaarheid (hst. 12) | Alle AI-invoer, -verwerking en -output loggen. Bij beslissingsondersteunende AI: redenering vastleggen | Audit logging implementeren met minimaal 5 jaar retentie |
| 4. Incidentmanagement (hst. 16) | Procedure voor AI-specifieke incidenten: foutieve output, bias-detectie, dataleaks via AI | AI-incidentprocedure opstellen, meldplicht AP bij datalekken |
| 5. Data residency en verwerking | Gezondheidsgegevens verwerken binnen de EER. Geen training van AI-modellen op patientdata zonder expliciete toestemming | Contractuele waarborgen met AI-leverancier, data-flow mapping |
Kernvereiste 1: Risicoanalyse per AI-toepassing
Waar traditionele IT-systemen een generieke risicoanalyse kennen, vereist NEN 7510:2024 een specifieke analyse per AI-toepassing. De reden is logisch: een AI-chatbot die patienten helpt met het inplannen van afspraken heeft een ander risicoprofiel dan een AI-systeem dat medicatie-interacties beoordeelt.
Voor elke AI-toepassing moet je minimaal beoordelen:
- Welke gegevens het systeem verwerkt (categorieen, gevoeligheid, volume)
- Wat de impact is als het systeem foutieve output geeft
- Of het systeem beslissingsondersteunend of beslissingsbepalend is
- Welke bias-risicos aanwezig zijn en hoe je die mitigeert
- Wat er gebeurt als het systeem uitvalt (fallback-procedure)
Kernvereiste 2: Granulair toegangsbeheer
Een AI-systeem dat afspraken plant, heeft geen toegang nodig tot medische dossiers. Een AI-triage systeem heeft geen namen en adressen nodig. NEN 7510:2024 verplicht dataminimalisatie op AI-niveau: elk AI-systeem krijgt alleen toegang tot de data die het strikt nodig heeft voor zijn functie.
Praktisch betekent dit:
- Aparte API-sleutels per AI-module met beperkte scope
- Pseudonimisering waar mogelijk (AI verwerkt data zonder identificerende kenmerken)
- Quarterly access reviews om te controleren of de toegangsrechten nog passend zijn
- Context-aware access: het systeem mag bepaalde data alleen benaderen wanneer er een actieve patientinteractie is
Kernvereiste 3: Volledige logging met uitlegbaarheid
Dit is de vereiste die de meeste impact heeft op AI-architectuur. NEN 7510:2024 eist niet alleen dat je logt wat de AI doet, maar ook waarom.
Wat moet worden gelogd:
- Invoer: Welke data is aangeboden aan het AI-systeem?
- Model en versie: Welk model en welke versie is gebruikt voor de verwerking?
- Uitvoer: Wat was het resultaat, de aanbeveling of de classificatie?
- Redenering: Op basis van welke factoren kwam het AI-systeem tot deze output?
- Gebruiker: Wie heeft de AI-uitvoer bekeken of gebruikt voor een beslissing?
- Actie: Heeft de zorgverlener de AI-aanbeveling gevolgd, aangepast of verworpen?
Bewaartermijnen: Audit logs minimaal 5 jaar. Als AI-output onderdeel wordt van het medisch dossier, geldt de bewaartermijn van 20 jaar uit de Wet op de geneeskundige behandelingsovereenkomst (WGBO), Boek 7 BW artikel 454 — in 2020 verhoogd van 15 naar 20 jaar. Zie ook de KNMG-richtlijn Omgaan met medische gegevens. Ons advies: hanteer standaard de langste termijn.
Kernvereiste 4: AI-specifiek incidentmanagement
Een foutieve AI-output in de zorg is fundamenteel anders dan een IT-storing. NEN 7510:2024 vereist een aparte procedure voor AI-gerelateerde incidenten:
- Foutieve triage-inschatting: Een patient krijgt een verkeerde urgentie-classificatie. Wie wordt gewaarschuwd? Hoe wordt de patient gevolgd? Bij incidenten die de kwaliteit van zorg raken geldt ook een meldplicht uit de Wet kwaliteit, klachten en geschillen zorg (Wkkgz).
- Bias-detectie: Het AI-systeem behandelt bepaalde patientgroepen systematisch anders. Hoe detecteer je dit? Wat doe je als het wordt ontdekt?
- Data-lekkage via output: Het AI-systeem genereert output die (indirect) patientgegevens bevat. Een datalek moet binnen 72 uur gemeld worden aan de Autoriteit Persoonsgegevens conform AVG artikel 33.
- Modelverval: De prestaties van het AI-systeem verslechteren over tijd doordat de onderliggende data verandert. Hoe monitor je dit? Dit sluit aan bij de post-market monitoring uit MDR artikel 83.
Kernvereiste 5: Data residency en leveranciersbeheer
De meest onderschatte vereiste. Veel populaire AI-tools verwerken data op servers buiten de EU, wat op gespannen voet staat met zowel de AVG als NEN 7510. De aankomende European Health Data Space (EHDS) Regulation (EU) 2025/327 scherpt deze eisen nog verder aan voor secundair gebruik van zorgdata.
Concrete eisen:
- Verwerking binnen de EER. Alle gezondheidsgegevens moeten binnen de Europese Economische Ruimte worden verwerkt, conform AVG hoofdstuk V over doorgifte naar derde landen
- Geen training op patientdata. AI-modellen mogen niet worden getraind op patientgegevens tenzij hiervoor expliciete, geinformeerde toestemming is verkregen conform AVG artikel 9 lid 2 sub a (bijzondere categorieen persoonsgegevens)
- Transparantie over subverwerkers. Je moet exact weten welke partijen betrokken zijn bij de verwerking: cloud providers, AI-dienstverleners, hosting partijen
- Contractuele waarborgen. De verwerkersovereenkomst met je AI-leverancier moet specifieke bepalingen bevatten over data-gebruik, modeltraining en subverwerkers
- Gebruiksverbod publieke AI-tools. Tools zoals ChatGPT, Gemini of Claude mogen niet worden gebruikt voor het verwerken van patientgegevens, tenzij via een enterprise-omgeving met contractuele garanties over data-isolatie — de AP heeft hier expliciet voor gewaarschuwd
Implementatiechecklist: AI Veilig Inzetten in de Zorg
Gebruik deze checklist als praktische leidraad bij het implementeren van AI in je zorginstelling. De checklist is opgebouwd in vier fasen die aansluiten bij de NEN 7510-systematiek.
Fase 1: Voorbereiding (maand 1-2)
- Voer een Data Protection Impact Assessment (DPIA) uit per AI-toepassing
- Stel een AI-specifieke risicoanalyse op conform NEN 7510:2024
- Betrek je Functionaris Gegevensbescherming (FG) en CISO vanaf het begin
- Controleer of de AI-leverancier NEN 7510-gecertificeerd is (niet alleen ISO 27001)
- Stel een verwerkersovereenkomst op met specifieke AI-bepalingen
- Breng alle datastromen in kaart: welke data gaat waar naartoe, via welke partijen?
Fase 2: Technische implementatie (maand 3-4)
- Implementeer end-to-end encryptie voor data in transit en at rest
- Configureer role-based access control per AI-module (niet per systeem)
- Activeer uitgebreide AI-beslissingslogging met redenering
- Stel data residency in (verwerking binnen Nederland of de EU)
- Implementeer pseudonimisering voor alle AI-verwerkingen waar identificatie niet nodig is
- Richt een private AI-omgeving in als alternatief voor publieke AI-tools
Fase 3: Organisatorisch (maand 5-6)
- Train alle medewerkers in veilig gebruik van AI-systemen (niet alleen IT)
- Stel een AI-gebruiksbeleid op specifiek voor de zorgsector
- Richt een AI-incidentresponsprocedure in met escalatiepaden
- Plan de eerste interne audit en penetratietest
- Documenteer alle AI-verwerkingsactiviteiten in het verwerkingsregister
- Informeer patienten over het gebruik van AI (transparantieplicht)
Fase 4: Continu beheer (doorlopend)
- Monitor AI-systemen op afwijkingen, bias en prestatieverval
- Review toegangsrechten minimaal elk kwartaal
- Voer jaarlijkse risicoanalyses uit per AI-toepassing
- Houd NEN 7510-certificering actueel (jaarlijkse externe audit)
- Evalueer nieuwe wet- en regelgeving (EU AI Act, herziene NEN-normen) op impact
- Draai maandelijkse rapportages op AI-logging en incidenten
De EU AI Act en NEN 7510: Dubbele Compliance
Met de inwerkingtreding van de EU AI Act (Verordening 2024/1689) worden AI-systemen in de zorg geclassificeerd als hoog-risico via Annex III punt 5 (onder meer toegang tot essentiele publieke diensten). Hoog-risico AI betekent aanvullende verplichtingen bovenop NEN 7510:
- Conformiteitsbeoordeling voorafgaand aan ingebruikname (AI Act artikel 43)
- Kwaliteitsmanagementsysteem voor AI-ontwikkeling en -beheer (AI Act artikel 17)
- Technische documentatie over werking, beperkingen en prestaties van het AI-systeem (AI Act artikel 11 en Annex IV)
- Menselijk toezicht bij alle AI-gestuurde beslissingen in de zorg (AI Act artikel 14)
- Transparantie naar patienten dat AI wordt ingezet bij hun behandeling (AI Act artikel 13)
- Post-market monitoring om prestaties na ingebruikname te blijven volgen (AI Act artikel 72)
Daarnaast blijft de Wet op de beroepen in de individuele gezondheidszorg (BIG-wet) bepalen dat de geregistreerde zorgverlener de eindverantwoordelijke blijft voor een behandeling, ook wanneer AI bij de besluitvorming ondersteunt.
Het goede nieuws: een organisatie die NEN 7510:2024 correct implementeert, heeft naar inschatting van de AP al een groot deel van de AI Act-vereisten gedekt. De normen overlappen op risicoanalyse, logging, transparantie en menselijk toezicht. Begin met NEN 7510:2024 en je bouwt tegelijk een fundament voor AI Act-compliance.
NEN 7510-compliance fouten bij AI in de zorg
1. NEN 7510:2017 als voldoende beschouwen
De meest voorkomende fout: organisaties die denken dat hun bestaande NEN 7510:2017-certificering hen ook dekt voor AI-toepassingen. De 2024-versie bevat specifieke AI-eisen die in de 2017-versie niet bestonden. Je moet actief upgraden.
2. Publieke AI-tools gebruiken voor patientdata
"Even snel een ontslagbrief laten herschrijven door ChatGPT" is een datalek in de zin van de AVG. Patientgegevens mogen niet worden ingevoerd in publieke AI-tools. Bied alternatieven: een private AI-omgeving die binnen je eigen infrastructuur draait.
3. AI-logging behandelen als gewone IT-logging
AI-logging vereist meer dan traditionele audit logs. Je moet niet alleen vastleggen wie wat wanneer deed, maar ook waarom het AI-systeem tot een bepaalde output kwam. Zonder deze uitlegbaarheidslogging kun je bij een incident niet aantonen hoe een AI-advies tot stand is gekomen.
4. Geen fallback-procedure voor AI-uitval
Wat gebeurt er als je AI-triagesysteem uitvalt op maandagochtend? Zonder een uitgeteste handmatige fallback-procedure loop je een patient-veiligheidsrisico. Test je fallback-procedure minimaal twee keer per jaar.
5. De FG pas betrekken na de implementatie
Je Functionaris Gegevensbescherming hoort vanaf het eerste ontwerp betrokken te zijn, niet pas als het systeem live gaat. Een DPIA achteraf is niet alleen in strijd met de AVG, maar leidt ook tot kostbare herontwerpen als er fundamentele privacyproblemen worden ontdekt.
Per kwartaal naar compliance: de NEN 7510-route
De overgangstermijn voor NEN 7510:2024 verstrijkt op 20 februari 2027. Hieronder een realistisch kwartaalplan om de deadline te halen, gerekend vanaf Q2 2026.
Q2 2026 (april-juni): Inventarisatie en gap-analyse
- Inventariseer alle AI-systemen die gezondheidsinformatie verwerken
- Voer een gap-analyse uit: waar voldoe je al aan NEN 7510:2024, waar niet?
- Start DPIA's voor alle AI-toepassingen
- Selecteer een NEN 7510-auditor voor de certificeringstraject
Q3 2026 (juli-september): Technische implementatie
- Implementeer AI-specifieke logging met uitlegbaarheid
- Configureer granulair toegangsbeheer per AI-module
- Richt een private AI-omgeving in ter vervanging van publieke tools
- Stel AI-incidentmanagementprocedure op
- Start met de verwerkersovereenkomst-updates voor AI-leveranciers
Q4 2026 (oktober-december): Organisatorische maatregelen
- Train alle medewerkers in het AI-gebruiksbeleid
- Voer de eerste interne audit uit op de nieuwe maatregelen
- Test de fallback-procedures bij AI-uitval
- Informeer patienten over AI-gebruik (transparantieplicht)
- Los bevindingen uit de interne audit op
Q1 2027 (januari-februari): Certificering
- Externe audit door certificerende instelling
- Afhandeling van eventuele non-conformiteiten
- Definitieve certificering NEN 7510:2024 voor de deadline van 20 februari
Belangrijk: dit tijdpad is ambitieus maar haalbaar voor organisaties die al NEN 7510:2017-gecertificeerd zijn. Voor organisaties die nog geen certificering hebben, reken op 12-15 maanden en start onmiddellijk.
Wat je moet onthouden
NEN 7510:2024 is geen bureaucratische exercitie -- het is de bescherming die patienten verdienen wanneer AI wordt ingezet bij hun zorg. De nieuwe versie erkent dat AI fundamenteel andere risicos met zich meebrengt dan traditionele IT-systemen en stelt daar gerichte eisen aan.
De deadline van 20 februari 2027 komt sneller dan je denkt. De organisaties die nu beginnen met hun gap-analyse en implementatieplan, hebben de luxe om dit zorgvuldig te doen. Organisaties die wachten tot Q4 2026 komen in de knel en lopen het risico op een niet-conforme certificering of erger: een AI-incident zonder de juiste waarborgen.
Begin vandaag. Inventariseer je AI-systemen, start de DPIA's en leg het fundament voor veilige AI in de zorg.
Wil je weten hoe jouw zorginstelling AI kan implementeren binnen de kaders van NEN 7510:2024? Lees onze complete gids over AI in de zorg voor de volledige aanpak, van gap-analyse tot certificering.
Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.