SpinDok — NEN 7510 Stappenplan

Stap 0 — Intake

Praktijkprofiel

Vertel ons wie jullie zijn. Op basis van het praktijkprofiel worden de volgende stappen afgestemd op de grootte en context van jullie praktijk.

⏱ 10 minuten📋 Eenmalig

Praktijkprofiel invullen

Vul het profiel van jullie praktijk in. Deze informatie wordt gebruikt om de stappen en aanbevelingen in het platform beter af te stemmen op jullie situatie. Er zijn geen goede of foute antwoorden.

Basisgegevens praktijk

Naam van de praktijk

Plaats

AGB-code

Website (optioneel)

Type praktijk

🧑

Solopraktijk

1 huisarts

👫

Duopraktijk

2 huisartsen

👥

Groepspraktijk

3 of meer huisartsen

🏢

Gezondheidscentrum

Multidisciplinair team

🚑

HAP

Huisartsenpost

Teamsamenstelling

Aantal huisartsen (fte)

Aantal medewerkers totaal (incl. POH, assistenten)

Ingeschreven patiënten (bij benadering)

Locatie

Patiëntenpopulatie en context

Deze context helpt om risico’s en prioriteiten beter te duiden in de volgende stappen.

Aandeel achterstandspatiënten (MOVISIE-definitie)

Leeftijdsverdeling patiënten

Bijzondere contextuele factoren (optioneel)

Digitalisering en systemen

Welk HIS gebruikt u?

ICT-beheer belegd bij

Maakt u gebruik van thuiswerken / remote access?

Zijn er meerdere praktijklocaties?

Feedback van collega's

Je bekijkt Stap 0: Intake & praktijkprofiel. Zijn de juiste vragen gesteld om een goed beeld te krijgen van de praktijk?

Hoe volledig en relevant zijn de profielvragen voor jullie praktijk?

OnvolledigVolledig en relevant

Welke vragen missen er, of zijn juist overbodig?

Overige opmerkingen

Bedankt voor je feedback op stap 0!

Stap 1 — Fundament

Begrijpen & afbakenen

Wat is informatiebeveiliging precies, wat hoort erbij en wie is verantwoordelijk? In deze stap leg je het fundament voor alle vervolgstappen.

⏱ 2 uur📅 1 week

Concrete acties

Wat is NEN 7510 en waarom geldt het voor uw praktijk?

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. De norm beschrijft hoe zorgorganisaties moeten omgaan met de bescherming van informatie — van patiëntendossiers tot digitale systemen en papieren dossiers. NEN 7510 is gebaseerd op de internationale ISO 27001-norm, maar specifiek toegesneden op de zorgsector.

Als huisartsenpraktijk verwerkt u bijzondere persoonsgegevens: medische informatie over uw patiënten. Dat brengt wettelijke verplichtingen met zich mee. De AVG (art. 32) verplicht u passende technische en organisatorische maatregelen te treffen. De Begz (Besluit elektronische gegevensverwerking door zorgaanbieders) verwijst expliciet naar NEN 7510 als de norm waaraan u moet voldoen. Kortom: NEN 7510-compliance is voor uw praktijk geen keuze, maar een verplichting.

Wet/normWat het inhoudtRelevantie voor uw praktijk

NEN 7510 Informatiebeveiliging in de zorg Verplicht voor alle zorgaanbieders die elektronisch patiëntgegevens verwerken

AVG (art. 32) Passende beveiliging persoonsgegevens Medische gegevens zijn bijzondere persoonsgegevens; hoge beveiligingseis

Begz Besluit elektronische gegevensverwerking zorgaanbieders Verwijst dwingend naar NEN 7510 en NEN 7512/7513

WGBO Wet geneeskundige behandelingsovereenkomst Bewaartermijnen dossiers (15 jaar); geheimhoudingsplicht

Informatiebeveiliging klinkt ingewikkeld, maar het gaat in de kern om één vraag: hoe zorgen we dat de juiste mensen toegang hebben tot de juiste informatie — en de verkeerde mensen niet? In deze stap leg je samen het fundament: wat valt onder informatiebeveiliging in jullie praktijk, wie is ervoor verantwoordelijk, en wat verwachten de regels van jullie?

Bespreek NEN 7510 met het hele team — gebruik de presentatie praktijkhouder of IB-coördinator

Kant-en-klare presentatie: Stap 1 — Begrijpen & afbakenen Open de presentatie, projecteer hem in het werkoverleg en doorloop de slides samen met het team.

Openen ↗

Informatiebeveiliging werkt alleen als iedereen in de praktijk weet dat het speelt. Je hoeft geen uitgebreide training te geven — een kort gesprek in het werkoverleg is voldoende als start.

Suggestie agendapunt werkoverleg (± 15 minuten)

Aanleiding: "We gaan de komende maanden werken aan informatiebeveiliging. Dat is verplicht vanuit NEN 7510, maar ook gewoon slim."
Wat het betekent: Kort uitleggen wat B, I en V inhouden aan de hand van een herkenbaar voorbeeld uit de eigen praktijk. Gebruik hiervoor de kant-en-klare presentatie↗ — die kun je direct projecteren of rondsturen.
Wie trekt het: De IB-verantwoordelijke stelt zich voor in die rol.
Wat medewerkers kunnen verwachten: De komende weken worden er stappen doorlopen. Er komen misschien nieuwe afspraken of procedures.

We hebben informatiebeveiliging besproken in het werkoverleg Alle medewerkers weten wie de IB-verantwoordelijke is We hebben de datum van dit gesprek genoteerd

Lees samen de kernbegrippen door praktijkhouder + praktijkmanager

Informatiebeveiliging draait om drie dingen die jullie willen beschermen:

Beschikbaarheid

Informatie is er wanneer je haar nodig hebt. Denk: het HIS valt uit tijdens het spreekuur.

Integriteit

Informatie klopt en is niet onbedoeld gewijzigd. Denk: een verkeerde dosering in het dossier.

Vertrouwelijkheid

Alleen bevoegde mensen zien de informatie. Denk: een patiëntendossier dat op straat belandt.

Wat verplicht NEN 7510 van jullie? Als huisartsenpraktijk verwerken jullie bijzondere persoonsgegevens (medische dossiers). Daarmee vallen jullie automatisch onder NEN 7510 — de Nederlandse norm voor informatiebeveiliging in de zorg. De AVG verplicht jullie daarnaast om patiëntgegevens goed te beschermen. Jullie hoeven geen ISO-auditor in te huren: het gaat erom dat jullie aantoonbaar nadenken over beveiliging en dat vastleggen.

Wijs drie rollen aan voor informatiebeveiliging praktijkhouder

Informatiebeveiliging werkt alleen als duidelijk is wie wat doet. Jullie praktijk heeft drie rollen nodig. Die kunnen bij dezelfde persoon liggen, maar het is belangrijk dat élke rol bewust belegd is.

Eindverantwoordelijke

Neemt definitieve beslissingen over IB-beleid en draagt eindverantwoordelijkheid naar buiten — dit is altijd de praktijkhouder.

Naam eindverantwoordelijke Functie

In een groepspraktijk kan één van de praktijkhouders deze rol op zich nemen namens de anderen.

IB-coördinator

Bewaakt de voortgang van het stappenplan, organiseert de jaarlijkse herziening en is het dagelijkse aanspreekpunt voor medewerkers.

Naam IB-coördinator Functie

In de meeste praktijken is dit de praktijkmanager. Zij hoeft geen ICT-kennis te hebben — het gaat om organiseren en bijhouden.

ICT-systeembeheerder

Voert de technische maatregelen uit: back-ups, updates, toegangsbeheer en beveiliging van systemen — intern of via een externe leverancier.

Naam ICT-systeembeheerder Contactgegeven (e-mail of telefoon)

Dit mag ook een externe systeembeheerder zijn. Zorg dan dat je weet wie jouw contactpersoon is en wat in het contract is afgesproken over beveiliging.

We hebben alle drie de rollen besproken en belegd Alle drie de personen weten wat hun rol inhoudt De namen en rollen zijn hierboven vastgelegd

Bepaal de scope: wat valt wél en niet onder informatiebeveiliging? praktijkhouder + praktijkmanager

Informatiebeveiliging gaat over alle informatie in de praktijk — niet alleen de computer. Bespreek samen welke onderdelen van jullie praktijk in scope vallen.

Valt wél onder IB

Het huisartsinformatiesysteem (HIS)
E-mail en ZorgMail
Papieren dossiers en brieven
Mobiele telefoons van medewerkers
Thuiswerken (inloggen op afstand)
Patiëntenportaal
Salarisadministratie
Gesprekken in de praktijk (mondeling)

Valt níet onder IB

Publieke praktijkwebsite (algemene info)
Openbare richtlijnen en protocollen
Algemene nieuwsbrieven zonder persoonsgegevens

We hebben besproken welke systemen en processen in onze praktijk in scope vallen We hebben dit vastgelegd (bijv. als lijst of notitie)

Hulpmiddelen & bronnen

NHG/LHV/InEen Handleiding Risicoafweging De brondocument achter dit stappenplan — voor wie meer wil lezen

PDF

Benoemingsformulier IB-verantwoordelijke Eenvoudig formulier om de aanwijzing van de verantwoordelijke te documenteren

Template

Agendapunt werkoverleg — gesprekshandleiding Korte handleiding voor de IB-verantwoordelijke om het eerste teamgesprek te leiden

Handleiding

Presentatie: Stap 1 — Begrijpen & afbakenen Kant-en-klare presentatie om je team te informeren over stap 1 — gemaakt in Gamma, direct te openen en te gebruiken

Presentatie

LHV Webdossier Informatiebeveiliging Achtergrond en context bij NEN 7510 voor huisartsenpraktijken

Website

Reikwijdte van dit stappenplan

Waarom komen niet alle NEN 7510-beheersmaatregelen terug in dit platform?

NEN 7510-2:2024 bevat 93 beheersmaatregelen, aangevuld met 11 zorgspecifieke HLT-maatregelen. Dat is een uitgebreid normenkader opgesteld voor de volledige breedte van zorgorganisaties: van grote ziekenhuizen en GGD’en tot laboratoria en apotheken. Dit platform richt zich op huisartsenpraktijken in alle vormen — van solopraktijk tot grote groepspraktijk of gezondheidscentrum — een specifieke categorie met een eigen risicoprofiel.

Dit stappenplan is risicogericht opgebouwd, conform de methodiek van de NHG/LHV/InEen Handleiding Risicoafweging. De maatregelen zijn geselecteerd op relevantie voor het concrete risicoprofiel van huisartsenpraktijken. Een maatregel als “veilig coderen” (8.25–8.28) is terecht buiten scope: huisartsenpraktijken ontwikkelen geen eigen software. Hetzelfde geldt voor scheiding van ontwikkel-, test- en productieomgevingen.

Maatregelen met hoge technische complexiteit — zoals netwerkscheiding (8.22), configuratiebeheer (8.9) of beveiligingstesten (8.29) — zijn bewust op een toegankelijk niveau beschreven. Voor grotere praktijken en gezondheidscentra met een eigen systeembeheerder worden deze maatregelen doorgaans op leveranciersniveau geborgd en getoetst via de verwerkersovereenkomst.

CategorieVoorbeeldenRedenering

Volledig opgenomen 5.1, 5.2, 5.9, 5.12, 5.20, 8.3, 8.5, 8.13, 8.14, 8.24 Kernmaatregelen voor elke praktijk; hoog risico bij ontbreken

Vereenvoudigd opgenomen 8.7, 8.8, 8.20, 7.1–7.3, 6.3, 5.16, 5.23 Technisch complex; beschreven op niveau dat praktijk kan toetsen bij systeembeheerder

Gedelegeerd aan leverancier 5.21, 8.9, 8.16, 8.17, 8.19, 8.22 Uitgevoerd door HIS-leverancier of systeembeheerder; geborgd via verwerkersovereenkomst

Buiten scope 8.4, 8.25–8.31, 8.33, 8.34 Gericht op softwareontwikkeling; niet relevant voor huisartsenpraktijken

Voor grotere gezondheidscentra die aansluiting zoeken bij een formeel ISMS-traject (NEN 7510-1 / ISO 27001) biedt SpinDok een solide startpunt. Een volledige Statement of Applicability (SoA) per maatregel kan op basis van de hier uitgevoerde stappen worden opgesteld.

Statement of Applicability (SoA)

Een Statement of Applicability is het formele document waarop jullie per NEN 7510-2 beheersmaatregel vastleggen of die van toepassing is — en waarom. Het is het centrale bewijsdocument bij een externe audit of toetsing door een RHO of toezichthouder. NEN 7510-1 (6.1.3) stelt de SoA verplicht voor organisaties die een formeel ISMS voeren.

Feedback van collega's

Je bekijkt Stap 1: Begrijpen & afbakenen. Geef gerichte feedback op de opzet, volledigheid en toon van deze stap.

Hoe duidelijk is de doelstelling van deze stap voor een praktijkhouder?

OnduidelijkGlashelder

Wat mist er nog in deze stap? Of wat vind je overbodig?

Overige opmerkingen of suggesties

Bedankt voor je feedback op stap 1!

Stap 2 — Beleid

Afspraken & beleid

Leg vast hoe jullie praktijk omgaat met informatiebeveiliging. Dit beleidsplan is het fundament voor alle volgende stappen — en het bewijs naar buiten toe dat jullie het serieus nemen.

⏱ 3 uur📅 2 weken

Concrete acties

Een beleidsplan klinkt groots, maar voor een huisartsenpraktijk hoeft het niet meer dan twee A4'tje te zijn. Het gaat erom dat jullie bewust een keuze maken en die vastleggen. Vul het template hieronder in — de vaste tekst is al geschreven, jullie vullen alleen de praktijkspecifieke onderdelen in.

Vul het beleidsplan in eindverantwoordelijke + IB-coördinator

Doorloop het template hieronder. De grijze tekst is vooraf ingevuld en mag je overnemen. De witte invoervelden vullen jullie zelf in. Na het invullen kun je het plan als PDF downloaden.

Informatiebeveiligingsbeleid

Huisartsenpraktijk

Versienummer

Vastgesteld op

Geldig tot

1. Praktijkgegevens

Naam praktijk

AGB-code

Adres

Telefoon / e-mail

2. Verantwoordelijken

De volgende personen zijn aangewezen als verantwoordelijken voor informatiebeveiliging binnen deze praktijk (ingevuld in stap 1):

Eindverantwoordelijke

IB-coördinator

ICT-systeembeheerder

3. Doelstelling

Deze praktijk verwerkt bijzondere persoonsgegevens (medische dossiers van patiënten) en heeft als zodanig de verplichting om deze gegevens adequaat te beveiligen conform de Algemene Verordening Gegevensbescherming (AVG) en de NEN 7510-norm voor informatiebeveiliging in de zorg.

Het doel van dit beleid is:

de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie in de praktijk te waarborgen;
risico's voor patiënten, medewerkers en de praktijk te beperken;
te voldoen aan wet- en regelgeving, waaronder de AVG en NEN 7510;
aantoonbaar en gestructureerd te werken aan continue verbetering van de informatiebeveiliging.

4. Informatiebeveiligingsdoelstellingen

Conform NEN 7510-1 (6.2) stelt de organisatie jaarlijks meetbare informatiebeveiligingsdoelstellingen vast. Deze doelstellingen worden beoordeeld tijdens de management review (stap 7) en vormen de basis voor de interne audit.

Doelstellingen dit jaar (minimaal één per thema; pas aan naar eigen praktijk)

6. Uitgangspunten en gedragsregels

De volgende uitgangspunten gelden voor alle medewerkers van de praktijk:

Patiëntgegevens worden uitsluitend gebruikt voor het doel waarvoor zij zijn verzameld.
Toegang tot informatie is beperkt tot medewerkers die deze toegang voor hun taak nodig hebben.
Inloggegevens zijn persoonlijk en worden nooit gedeeld.
Incidenten en vermoedens van datalekken worden direct gemeld bij de IB-coördinator.
Apparatuur en schermen worden vergrendeld bij het verlaten van de werkplek.
Patiëntgerelateerde informatie wordt niet via gewone e-mail of WhatsApp verstuurd.
Alle medewerkers met toegang tot patiëntgegevens beschikken over een geldige Verklaring Omtrent het Gedrag (VOG) bij aanstelling.
Bij uitdiensttreding worden alle toegangsrechten onmiddellijk ingetrokken en worden praktijkapparaten ingenomen.

Praktijkspecifieke aanvullende afspraken (optioneel)

7. Wet- en regelgeving

Dit beleid is opgesteld conform de volgende wet- en regelgeving en normen:

AVG — Algemene Verordening Gegevensbescherming (EU 2016/679)
NEN 7510 — Informatiebeveiliging in de zorg
NEN 7512 — Vertrouwensbasis voor gegevensuitwisseling
NEN 7513 — Logging van toegang tot elektronische patiëntendossiers
WGBO — Wet op de geneeskundige behandelingsovereenkomst
Handleiding Risicoafweging — NHG/LHV/InEen (2022)

9. Uitzonderingen en acceptatie van risico’s

Conform NEN 7510-1 (5.1g) en NEN 7510-2 (5.1) beschikt de organisatie over een procedure voor het behandelen van situaties waarin een beheersmaatregel niet of slechts gedeeltelijk kan worden geïmplementeerd. In die gevallen wordt het restrisico bewust geaccepteerd en schriftelijk vastgelegd door de eindverantwoordelijke.

Procedure:

De IB-coördinator signaleert dat een maatregel niet uitvoerbaar is (technisch, financieel of organisatorisch).
Het restrisico wordt beoordeeld aan de hand van de risicoanalyse (stap 5): wat is de kans × effect zonder de maatregel?
De eindverantwoordelijke besluit het risico te accepteren of een compenserende maatregel te treffen.
Het besluit wordt schriftelijk vastgelegd (zie onderstaande tabel) en opgenomen in het kwaliteitsdossier.
Bij de jaarlijkse herziening wordt beoordeeld of de uitzondering nog steeds gerechtvaardigd is.

Maatregel (code)	Reden niet uitvoerbaar	Compenserende maatregel	Restrisico	Geaccepteerd door	Datum

8. Vaststelling en ondertekening

Dit beleid is vastgesteld door de eindverantwoordelijke van de praktijk en treedt in werking op de hierboven vermelde ingangsdatum. Het wordt minimaal eens per jaar herzien.

Handtekening eindverantwoordelijke

Handtekening IB-coördinator

Het ingevulde beleidsplan wordt straks als PDF gegenereerd en is te bewaren in het kwaliteitssysteem of op te sturen naar de RHO.

We hebben alle praktijkgegevens ingevuld De drie verantwoordelijken zijn overgenomen uit stap 1 De scope is aangevinkt en aangevuld waar nodig Het beleidsplan is ondertekend door eindverantwoordelijke en IB-coördinator Het beleidsplan is opgeslagen in het kwaliteitssysteem

Hulpmiddelen & bronnen

NHG/LHV/InEen Handleiding Risicoafweging Achtergrond bij de normen en uitgangspunten die in dit beleidsplan zijn verwerkt

PDF

LHV Webdossier Informatiebeveiliging Aanvullende context en modelbeleid voor huisartsenpraktijken

Website

Feedback van collega's

Je bekijkt Stap 2: Afspraken & beleid. Is dit beleidsplan-template volledig en werkbaar voor een gemiddelde huisartsenpraktijk?

Hoe volledig en bruikbaar is dit beleidsplan-template voor jullie praktijk?

Onvolledig / onwerkbaarVolledig en direct bruikbaar

Wat ontbreekt er in het template, of wat is overbodig?

Overige opmerkingen of suggesties

Bedankt voor je feedback op stap 2!

Stap 3 — Verantwoording

Toepasselijkheid & verantwoording

Leg per NEN 7510-2 beheersmaatregel vast of die van toepassing is op jullie praktijk — en waarom. De Verklaring van Toepasselijkheid (Statement of Applicability) is het centrale bewijsdocument bij een externe audit of toetsing.

⏱ 2 uur📅 1 keer (jaarlijks herzien)

Concrete acties

NEN 7510-1 (6.1.3) vereist een Statement of Applicability (SoA) — een formele lijst waarin per beheersmaatregel is gedocumenteerd of die van toepassing is, hoe die is geïmplementeerd, of waarom die niet van toepassing is. Dit document vormt samen met het beleidsplan (stap 2) en de risicoanalyse (stap 6) de kern van het ISMS-dossier. Doorloop de tabel hieronder, beoordeel per maatregel de status en pas de toelichting aan op jullie situatie.

Vul de Verklaring van Toepasselijkheid in eindverantwoordelijke + IB-coördinator

Beoordeel per maatregel de status en pas de implementatietoelichting aan. De tabel is vooraf ingevuld op basis van de standaardsituatie voor huisartsenpraktijken; pas aan naar jullie eigen situatie.

Van toepassing Gedelegeerd aan leverancier Niet van toepassing

Code	Beheersmaatregel	Van toepassing?	Implementatie / onderbouwing

De ingevulde SoA is het centrale bewijsdocument voor NEN 7510-1 (6.1.3) en vormt samen met het beleidsplan (stap 2) en de risicoanalyse (stap 6) de kern van het ISMS-dossier.

Alle maatregelen zijn beoordeeld op toepasselijkheid Voor elke ‘niet van toepassing’-keuze is een onderbouwing ingevuld De SoA is ondertekend door de eindverantwoordelijke en opgeslagen in het kwaliteitssysteem

Hulpmiddelen & bronnen

NEN 7510-2:2024 — BeheersmaatregelenDe normdocument met alle 93 maatregelen waarop de SoA is gebaseerd

PDF

Feedback van collega's

Je bekijkt Stap 3: Toepasselijkheid & verantwoording. Is de SoA-aanpak werkbaar voor een huisartsenpraktijk?

Hoe bruikbaar is de SoA-tabel voor een niet-technische gebruiker?

Niet bruikbaarDirect bruikbaar

Welke maatregelen zijn moeilijk te beoordelen zonder extra uitleg?

Overige opmerkingen of suggesties

Bedankt voor je feedback op stap 3!

Stap 4 — Inventarisatie

Informatieobjecten in kaart

Welke processen, systemen en gegevens spelen er in jullie praktijk? In deze stap brengen jullie alles in kaart — van het HIS tot papieren dossiers. Dat vormt de basis voor de risicoanalyse in stap 4.

⏱ 3 uur📅 2 weken

Concrete acties

Een informatieobject is alles wat informatie draagt in jullie praktijk — digitaal én fysiek. Denk aan het HIS, maar ook aan uitgeprinte brieven, gesprekken in de wachtkamer of een whiteboard achter de balie. Loop de tabel hieronder door, vink aan wat van toepassing is, pas aan waar nodig en voeg eigen processen toe.

Loop de praktijk rond en inventariseer IB-coördinator

Ga letterlijk door de praktijk heen. Wat ligt er op bureaus, welke schermen staan er aan, welke systemen worden gebruikt? De onderstaande tabel is een startpunt — vul aan wat bij jullie praktijk past.

Tip: Denk ook aan wekelijkse, maandelijkse en jaarlijkse processen — niet alleen de dagelijkse handelingen. En vergeet de ICT-systeembeheerder niet te betrekken: die weet welke systemen er precies draaien.

Vul de inventarisatietabel in IB-coördinator + ICT-systeembeheerder

De tabel bevat de 13 standaardprocessen uit de NHG/LHV/InEen handleiding, vooraf ingevuld. Pas de systemen aan op jullie eigen situatie, vink kolommen aan en voeg rijen toe waar nodig.

Patiëntgegevens: ja Patiëntgegevens: nee

#	Proces	Betrokken systemen / informatieobjecten	Externe informatiestromen & interfaces	Wie heeft toegang?	Patiëntgegevens?	Bijzondere aandachtspunten

We hebben alle processen in de praktijk doorlopen en de tabel aangevuld De ICT-systeembeheerder heeft de systeemnamen geverifieerd We hebben eigen processen toegevoegd die niet in de standaardlijst stonden De ingevulde tabel is opgeslagen (PDF of in het kwaliteitssysteem)

Hulpmiddelen & bronnen

NHG/LHV/InEen Handleiding Risicoafweging — Tabel 1 De bronlijst van processen en informatieobjecten waarop deze inventarisatie is gebaseerd

PDF

Inventarisatietabel exporteren als PDF Download de ingevulde tabel om op te slaan in het kwaliteitssysteem of te delen met de RHO

Export

Feedback van collega's

Je bekijkt Stap 4: Informatieobjecten in kaart. Zijn de vooraf ingevulde processen herkenbaar en volledig voor een gemiddelde huisartsenpraktijk?

Hoe herkenbaar en volledig zijn de 13 vooraf ingevulde processen?

Onherkenbaar / onvolledigVolledig herkenbaar

Welke processen of systemen missen er, of kloppen niet in jouw praktijk?

Overige opmerkingen of suggesties

Bedankt voor je feedback op stap 4!

Stap 5 — Classificatie

BIV-classificatie

Hoe kritisch is elk proces voor jullie praktijk? Ken per informatieobject een beveiligingsklasse toe op de drie BIV-dimensies. Dat bepaalt welke basismaatregelen verplicht zijn.

⏱ 2 uur📅 1 week

Concrete acties

In stap 3 hebben jullie vastgelegd welke systemen en processen er zijn. In deze stap beoordelen jullie hoe kritisch elk proces is — op drie dimensies: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Die beoordeling bepaalt rechtstreeks welke beveiligingsmaatregelen verplicht zijn.

Begrijp de vier beveiligingsklassen eindverantwoordelijke + IB-coördinator

Elke BIV-dimensie krijgt een klasse van 0 tot 3. Hoe hoger de klasse, hoe zwaarder de vereiste beveiliging. Lees de kaarten hieronder goed door voordat jullie gaan scoren.

Laag

B: Tot volgende werkdag wachten.
I: Fouten zijn makkelijk herstelbaar.
V: Publiek beschikbare informatie.

Bijv. publieke praktijkwebsite, algemene richtlijnen

Normaal

B: Nodig dezelfde dag.
I: Fouten verstoren interne processen.
V: Intern — openbaarmaking is ongewenst maar niet schadelijk.

Bijv. interne werkafspraken, notulen werkoverleg

Verhoogd

B: Binnen 4 uur beschikbaar.
I: Fouten raken ketenpartners — juridisch of financieel risico.
V: Vertrouwelijk — openbaarmaking leidt tot schade.

Bijv. facturering, salarisadministratie, verwijzingen

Kritisch

B: 24/7 beschikbaar — uitval bedreigt veilige zorg.
I: Fouten kunnen leiden tot gezondheidsschade.
V: Geheim — valt onder beroepsgeheim; schending is wetsovertreding.

Bijv. patiëntdossiers in het HIS, LSP-koppeling

Basismaatregelen verplicht bij klasse 2 en 3: Zodra een proces op één dimensie klasse 2 of hoger scoort, zijn de basismaatregelen voor die dimensie verplicht — back-up, redundantie, cryptografie en toegangsbeveiliging. Die staan uitgewerkt in stap 6.

Scoor elk proces op B, I en V eindverantwoordelijke + IB-coördinator

Klik per rij op de klasse (0–3) voor Beschikbaarheid, Integriteit en Vertrouwelijkheid. De hoogste score per rij bepaalt de totaalklasse. Rijen met klasse 2 of 3 worden automatisch gemarkeerd.

Klasse 3 — Kritisch Klasse 2 — Verhoogd

#	Proces	Beschikbaarheid	Integriteit	Vertrouwelijkheid	Totaal	Toelichting

Alle processen zijn gescoord op B, I en V We hebben de scores besproken met de eindverantwoordelijke en ICT-systeembeheerder Processen met klasse 2 of 3 zijn genoteerd als prioriteit voor stap 6 (maatregelen)

Hulpmiddelen & bronnen

NHG/LHV/InEen Handleiding — Tabel 2Voorbeeldclassificatie voor primaire, secundaire en tertiaire processen

PDF

BIV-tabel exporteren als PDFSla de ingevulde classificatie op voor het kwaliteitsdossier

Export

Feedback van collega's

Je bekijkt Stap 5: BIV-classificatie. Zijn de vier klassen helder genoeg voor een niet-technische praktijkhouder?

Hoe helder zijn de vier beveiligingsklassen (0–3) uitgelegd?

OnduidelijkGlashelder

Waar twijfel je bij het scoren — welke processen of dimensies zijn lastig in te schatten?

Overige opmerkingen of suggesties

Bedankt voor je feedback op stap 5!

Stap 6 — Risicoanalyse

Risico's beoordelen

Welke bedreigingen zijn relevant voor jullie praktijk? Schat per bedreiging de kans en het effect in. De risico-impact (kans × effect) bepaalt waar jullie de meeste aandacht aan moeten besteden.

⏱ 3 uur📅 2 weken

Concrete acties

De risicoanalyse is de kern van NEN 7510. Jullie beoordelen hieronder 26 bekende bedreigingen voor huisartsenpraktijken — afkomstig uit het NHG/LHV/InEen webdossier en eerdere workshopresultaten. Per bedreiging schatten jullie in hoe groot de kans is dat het voorkomt, en hoe erg de gevolgen zijn. Dat geeft een risico-impact die bepaalt welke maatregelen prioriteit hebben.

Begrijp de beoordelingsschaal eindverantwoordelijke + IB-coördinator

Gebruik de twee schalen hieronder om kans en effect te scoren. De risico-impact is het product van beide — een hoge kans met een beperkt effect kan minder urgent zijn dan een lage kans met een catastrofaal effect.

Kans

Klein (<30%) — jaarlijks of minder

Middel (30–60%) — maandelijks tot elk kwartaal

Groot (>60%) — dagelijks tot wekelijks

Effect

Gering — geen letsel, ergernis, <€500 schade, 1 patiënt

Matig — niet-blijvend letsel, selectie patiënten, €500–€10.000

Ernstig — ernstig/blijvend letsel mogelijk, alle patiënten, >€10.000

Risico-impact = Kans × Effect

	Effect 1	Effect 2	Effect 3
Kans 1	1	2	3
Kans 2	2	4	6
Kans 3	3	6	9

1–2: Acceptabel 3–6: Aandacht vereist 7–9: Urgent — direct aanpakken

Beoordeel de 26 bedreigingen eindverantwoordelijke + IB-coördinator

Scoor elke bedreiging op kans (1–3) en effect (1–3). De risico-impact berekent automatisch. Bedreigingen met een hoge impact worden rood gemarkeerd. Voeg zo nodig een eigen bedreiging toe onderaan.

Impact 7–9: Urgent Impact 3–6: Aandacht

#	Bedreiging	BIV	Kans 1–3	Effect 1–3	Impact	Aanvullende maatregelen

Alle 26 bedreigingen zijn beoordeeld op kans en effect Bedreigingen met impact 7–9 zijn besproken en geprioriteerd Eventuele praktijkspecifieke bedreigingen zijn toegevoegd De risicoanalyse is vastgelegd in het kwaliteitssysteem

Hulpmiddelen & bronnen

NHG/LHV/InEen Handleiding — Tabel 3Volledige risicobeoordeling met alle 26 bedreigingen en bijbehorende maatregelen (ISO-codes)

PDF

Risicoanalyse exporteren als PDFSla de ingevulde analyse op voor het kwaliteitsdossier of de RHO

Export

Feedback van collega's

Je bekijkt Stap 6: Risico's beoordelen. Zijn de 26 bedreigingen herkenbaar en volledig voor een huisartsenpraktijk?

Hoe herkenbaar zijn de 26 bedreigingen voor jouw praktijk?

Niet herkenbaarVolledig herkenbaar

Welke bedreigingen missen of zijn juist niet relevant voor een huisartsenpraktijk?

Overige opmerkingen of suggesties

Bedankt voor je feedback op stap 6!

Stap 7 — Implementatie

Maatregelen uitvoeren

Vertaal de uitkomsten van de BIV-classificatie en risicoanalyse naar concrete acties. Welke technische, organisatorische en gedragsmatige maatregelen moeten er komen — en wie pakt wat op?

⏱ 8 uur📅 12 weken

Concrete acties

De maatregelen in deze stap zijn gebaseerd op de basismaatregelen uit de handleiding (verplicht bij BIV-klasse 2 en 3) en de aanvullende maatregelen uit jullie risicoanalyse. De actielijst hieronder brengt alles samen in een werkplan met eigenaar, prioriteit en status.

Controleer de verplichte basismaatregelen IB-coördinator + ICT-systeembeheerder

Bij klasse 2 of 3 op een BIV-dimensie zijn onderstaande basismaatregelen verplicht. Controleer per maatregel of die al is ingericht, deels is ingericht, of nog ontbreekt.

B Beschikbaarheid — Basismaatregelen

A08.13

Back-up van informatie

Back-up wordt opgeslagen op een medium onafhankelijk van het gebruikte systeem (externe locatie of cloud). Bij cloud: controleer of back-up contractueel is vastgelegd bij de leverancier.

A08.14

Redundantie van informatieverwerkende faciliteiten

Er is een alternatief als het primaire systeem uitvalt: noodstroomvoorziening, lokaal bruikbaar systeem bij internetuitval, of calamiteitenplan met alternatieve werkwijze.

I Integriteit — Basismaatregelen

A05.37

Gedocumenteerde bedieningsprocedures

Vastgelegd hoe medewerkers met systemen omgaan: wie mag wat doen, hoe worden wijzigingen doorgevoerd, hoe worden fouten gemeld. Inclusief toezicht op naleving.

V Vertrouwelijkheid — Basismaatregelen

A08.24

Gebruik van cryptografie (versleuteling)

Informatie wordt alleen versleuteld opgeslagen. Controleer bij de leverancier of dit het geval is. Back-ups van patiëntdossiers moeten versleuteld zijn.

A08.03

Beperking toegang tot informatie (authenticatie & autorisatie)

Tweefactorauthenticatie (2FA) als minimum voor toegang tot patiëntgegevens. Autorisatiematrix in het HIS: medewerkers krijgen alleen toegang tot wat zij voor hun rol nodig hebben.

Aanvullende maatregelen — volledig beeld NEN 7510-2:2024 IB-coördinator + ICT-systeembeheerder

! Incidentrespons & continuïteit (5.24–5.27)

5.24–5.27

Incidentresponsplan opstellen en oefenen

Leg vast wie wat doet bij een beveiligingsincident: wie coördineert, wie meldt aan de AP (bij datalek binnen 72 uur), wie communiceert naar patiënten, wie herstelt systemen. Oefen dit scenario minimaal jaarlijks. Leg na elk incident schriftelijk vast wat er is gebeurd en wat er van is geleerd.

P Personeel & toegang (5.16, 6.1, 6.4)

5.16

Identiteitsbeheer — aanmaken en verwijderen gebruikersaccounts

Stel een procedure op voor het aanmaken van accounts bij indiensttreding en het onmiddellijk intrekken van alle toegangen bij vertrek. Gebruik hiervoor een vaste checklist per medewerker. Grotere praktijken en gezondheidscentra overwegen een centraal identiteitsbeheerproces (IAM).

6.1

Screening van medewerkers (VOG)

Vraag voor alle medewerkers met toegang tot patiëntgegevens een Verklaring Omtrent het Gedrag (VOG) aan bij aanstelling. Leg de verplichting vast in het personeelsbeleid. Voor tijdelijke medewerkers, vervangers en stagiaires gelden dezelfde eisen.

6.4

Disciplinaire procedure bij niet-naleving

Leg vast welke consequenties er zijn als medewerkers IB-afspraken niet naleven. Dit hoeft niet uitgebreid te zijn, maar dient aantoonbaar te zijn vastgelegd — bijvoorbeeld als onderdeel van de gedragscode of het personeelshandboek.

T Technische maatregelen (5.23, 8.7, 8.8, 8.17, 8.1)

5.23

Clouddiensten — beveiliging HIS/ASP in de cloud

De meeste HIS-systemen draaien tegenwoordig als clouddienst (ASP/SaaS). Controleer bij uw leverancier: waar staan de servers (EU/Nederland)?, is er een SLA met beschikbaarheidsgarantie?, hoe is de back-up geregeld?, is de leverancier NEN 7510 of ISO 27001 gecertificeerd? Leg de antwoorden vast in de verwerkersovereenkomst.

8.7

Bescherming tegen malware (antivirus/EDR)

Alle werkstations en servers in de praktijk zijn voorzien van actuele antivirussoftware of geavanceerdere endpoint detectie (EDR). Updates worden automatisch uitgerold. Verificeer bij de systeembeheerder of dit actief is én of de logs periodiek worden bekeken. Let op: op medische apparaten gelden aanvullende eisen van de fabrikant.

8.8

Patchbeheer — updates en kwetsbaarheden

Zorg dat besturingssystemen en software actueel worden gehouden. Automatische Windows-updates moeten aan staan. Vraag de systeembeheerder om een patchschema: wanneer worden updates uitgerold, wie controleert dit en hoe snel worden kritieke beveiligingspatches toegepast (norm: binnen 30 dagen)?

8.17

Kloksynchronisatie (NTP) — vereist voor NEN 7513-logging

Alle systemen in de praktijk die logging uitvoeren (HIS, netwerkapparatuur, servers) moeten gesynchroniseerde tijdstempels gebruiken via een NTP-server. Dit is een formele vereiste onder NEN 7513: auditlogs zijn alleen juridisch bruikbaar als tijdstempels aantoonbaar correct zijn. Verifiëer dit bij de systeembeheerder.

8.1

Endpoint device-beleid (BYOD, smartphones, thuiswerkcomputers)

Stel vast welke persoonlijke apparaten medewerkers mogen gebruiken voor werkgerelateerde taken en onder welke voorwaarden. Minimumeis: geen onversleutelde patiëntgegevens op privéapparaten. Voor grotere praktijken en gezondheidscentra: overweeg MDM-software (Mobile Device Management) voor centraal beheer en op-afstand-wissen bij verlies.

Stel een bewustwordingsprogramma op IB-coördinator

NEN 7510-1 (7.3) en NEN 7510-2 (6.3) vereisen een aantoonbaar bewustwordingsprogramma. Dat hoeft niet groot te zijn — voor een huisartsenpraktijk volstaan gerichte, regelmatig herhaalde activiteiten. Het gaat erom dat medewerkers weten wat informatiebeveiliging is, wat hun rol daarin is, en hoe ze incidenten melden.

MIN

Minimumeisen (elke praktijk)

Jaarlijkse bewustwordingssessie voor alle medewerkers. IB als vast agendapunt werkoverleg (kwartaal). Introductie voor nieuwe medewerkers bij aanstelling.

MID

Aanbevolen (grotere praktijken)

Phishing-simulatie eens per jaar. E-learning module IB (bijv. via NHG of KNMG). Gedragscode IB laten ondertekenen bij aanstelling en jaarlijkse herziening.

Bewustwordingsprogramma — jaarplanning

Bij aanstelling

Introductie informatiebeveiliging nieuwe medewerker

Uitleg beleidsplan en gedragscode. Toegangen aanmaken. Wachtwoordbeleid uitleggen. Geheimhoudingsverklaring ondertekenen.

Kwartaal

IB-agendapunt werkoverleg (15 min)

Bespreek één actueel onderwerp: bijv. recente phishing-aanvallen in de zorg, nieuwe afspraken over thuiswerken, ervaringen met incidenten.

Jaarlijks

Bewustwordingssessie informatiebeveiliging (1 uur)

Herhaal de kernboodschappen: wat is IB, welke risico’s zijn actueel, wat doe je bij een incident? Gebruik de Gamma-presentatie uit stap 1 als basis. Documenteer aanwezigheid als bewijs.

Jaarlijks

Controle kennis en naleving (toets of observatie)

NEN 7510-2 (6.3) vraagt om toetsing van het effect van training. Stel twee à drie vragen na de sessie, of laat de IB-coördinator een ronde door de praktijk doen (clean desk, vergrendelde schermen, gebruik wachtwoordkluis).

Vastlegging aanwezigheid bewustwordingssessie (datum + namen deelnemers)

Het bewustwordingsprogramma is vastgesteld en gecommuniceerd aan alle medewerkers Nieuwe medewerkers krijgen een IB-introductie bij aanstelling De jaarlijkse sessie is gepland en de aanwezigheid wordt gedocumenteerd Het effect van training wordt minimaal jààrlijks getoetst

Maak een actielijst met eigenaar en deadline IB-coördinator

Zet alle maatregelen die nog niet zijn ingericht om in concrete acties. Wijs per actie een eigenaar aan en stel een realistisch deadline in. De actielijst hieronder is je werkplan voor de komende 12 weken.

Hoog Middel Laag

#	Maatregel / actie	Categorie	Prioriteit	Eigenaar	Deadline	Status

Alle verplichte basismaatregelen zijn beoordeeld op status Alle prioriteit-hoog acties hebben een eigenaar en deadline De actielijst is gedeeld met de eindverantwoordelijke en ICT-systeembeheerder Voortgang wordt minimaal maandelijks besproken in het werkoverleg

Hulpmiddelen & bronnen

NHG/LHV/InEen Handleiding — Basismaatregelen klasse 2 en 3Volledige uitwerking van alle verplichte basismaatregelen per BIV-dimensie

PDF

Actielijst exporteren als PDFWerkplan met eigenaren en deadlines exporteren voor het kwaliteitsdossier

Export

Instructie 2FA instellen in het HISStap-voor-stap handleiding voor het inrichten van tweefactorauthenticatie

Handleiding

Feedback van collega's

Je bekijkt Stap 7: Maatregelen uitvoeren. Is de aanpak werkbaar voor een drukke praktijk — en is 12 weken realistisch?

Hoe haalbaar is het om alle maatregelen in 12 weken te implementeren?

OnhaalbaarGoed haalbaar

Welke maatregelen zijn in de praktijk het lastigst te implementeren?

Overige opmerkingen of suggesties

Bedankt voor je feedback op stap 7!

Stap 8 — Controle

Controleren & rapporteren

Werkt het zoals bedoeld? Toets of de maatregelen uit stap 6 daadwerkelijk zijn uitgevoerd en effectief zijn. Genereer een overzichtsrapport voor de RHO, een toezichthouder of intern gebruik.

⏱ 3 uur📅 2 weken

Concrete acties

De controlefase sluit de eerste PDCA-cyclus af. Jullie toetsen of de afgesproken maatregelen zijn uitgevoerd, of ze werken zoals bedoeld, en wat er nog beter kan. De uitkomst is een beknopt rapport dat jullie kunnen delen met de regionale huisartsenorganisatie (RHO) of intern vastleggen in het kwaliteitssysteem.

Voer een interne audit uit IB-coördinator

Loop de actielijst uit stap 6 door en toets per maatregel of die is uitgevoerd en werkt. Gebruik de vragen hieronder als leidraad.

Is de back-up aantoonbaar ingericht, extern opgeslagen en versleuteld?

Is tweefactorauthenticatie (2FA) actief voor alle medewerkers die werken met patiëntgegevens?

Is de autorisatiematrix in het HIS actueel en zijn oud-medewerkers verwijderd?

Zijn de gedragsafspraken (wachtwoorden, clear desk, meldplicht) besproken met alle medewerkers?

Zijn de verwerkingsovereenkomsten met systeembeheerders afgesloten en actueel?

Is het calamiteitenplan opgesteld en zijn medewerkers bekend met hun rol daarin?

Tip: Betrek ook de ICT-systeembeheerder bij de audit — die kan technische punten (back-up, 2FA, logging) direct verifiëren en aantonen.

Voer de formele management review uit eindverantwoordelijke (praktijkhouder)

De management review is een formeel vereiste uit NEN 7510-1 (9.3). Het topmanagement — in een huisartsenpraktijk de eindverantwoordelijke/praktijkhouder — beoordeelt jaarlijks het ISMS op geschiktheid, toereikendheid en doeltreffendheid. Dit is een ander moment dan de interne audit: het gaat hier om een bestuurlijk oordeel, niet een technische controle.

Management Review

Jaarlijkse beoordeling ISMS door eindverantwoordelijke

Datum review

Aanwezig

Input 1 — Status vorige review

Zijn de acties uit de vorige management review afgerond?

Input 2 — Wijzigingen in context

Zijn er relevante wijzigingen geweest in wet- en regelgeving, de praktijkorganisatie, systemen of de omgeving die invloed hebben op het ISMS?

Input 3 — Prestaties informatiebeveiliging

Zijn de IB-doelstellingen uit het beleidsplan behaald?

Zijn er informatiebeveiligingsincidenten of datalekken geweest?

Zijn de auditresultaten uit actie 1 besproken met het team?

Toelichting / kwantitatieve bevindingen

Input 4 — Feedback stakeholders

Zijn er opmerkingen of eisen ontvangen van de RHO, IGJ, zorgverzekeraar, leveranciers of patiënten over informatiebeveiliging?

Input 5 — Risicobehandeling

Zijn er nieuwe of gewijzigde risico’s die niet zijn afgedekt door de huidige maatregelen?

Beslissingen & output

Op basis van bovenstaande input neemt het topmanagement de volgende beslissingen:

Eindverantwoordelijke / Praktijkhouder

IB-coördinator

Het ingevulde management review-formulier is het formele bewijs van bestuurlijke betrokkenheid bij het ISMS — verplicht onder NEN 7510-1 (9.3) en ISO 27001.

Management review is uitgevoerd en alle vijf inputpunten zijn beoordeeld Beslissingen en output zijn schriftelijk vastgelegd en ondertekend IB-doelstellingen voor volgend jaar zijn vastgesteld in het beleidsplan (stap 2) Het management review-verslag is opgeslagen in het kwaliteitssysteem

Stel het rapportage-overzicht op IB-coördinator + eindverantwoordelijke

Vul het rapportage-overzicht in. Dit is een beknopte samenvatting van de IB-status van jullie praktijk — geschikt om te delen met de RHO of te bewaren in het kwaliteitsdossier.

Rapportage Informatiebeveiliging

Jaarlijks overzicht NEN 7510 status

Rapportageperiode

Datum opgesteld

Samenvatting basismaatregelen

Back-up & beschikbaarheid (A08.13 / A08.14)

Cryptografie / versleuteling (A08.24)

Toegangsbeveiliging / 2FA (A08.03)

Gedocumenteerde procedures (A05.37)

Leveranciersovereenkomsten (A05.20)

Bewustwording medewerkers (A06.03)

Openstaande verbeterpunten

Incidenten afgelopen periode

Directiebeoordeling — oordeel eindverantwoordelijke

Conform NEN 7510-1 (9.3) beoordeelt het topmanagement jaarlijks de geschiktheid, toereikendheid en doeltreffendheid van het ISMS. Dit oordeel wordt hieronder vastgelegd als aantoonbaar bewijs van bestuurlijke betrokkenheid.

Is het informatiebeveiligingsbeleid nog steeds passend voor de praktijk?

Zijn de beschikbare middelen (tijd, budget, mensen) voldoende voor IB?

Is het ISMS doeltreffend geïmplementeerd en onderhouden?

Toelichting directieoordeel & besluiten voor volgend jaar

Vaststelling

Eindverantwoordelijke

IB-coördinator

Het ingevulde rapport kan worden gedownload als PDF voor de RHO, IGJ of het eigen kwaliteitssysteem.

De interne audit is uitgevoerd en uitkomsten zijn vastgelegd Het rapportage-overzicht is ingevuld en ondertekend Het rapport is opgeslagen in het kwaliteitssysteem Verbeterpunten zijn omgezet in acties voor de volgende cyclus (stap 6)

Hulpmiddelen & bronnen

Voorbeeld rapportage RHOWat verwacht een regionale huisartsenorganisatie minimaal te zien in een IB-rapportage

Voorbeeld

Auditchecklist basismaatregelenPuntsgewijze checklist voor de interne audit door de IB-coördinator

Checklist

Feedback van collega's

Je bekijkt Stap 8: Controleren & rapporteren. Is het rapportage-format bruikbaar voor de RHO of andere externe partijen?

Hoe bruikbaar is dit rapport voor externe verantwoording (RHO, IGJ)?

Niet bruikbaarDirect inzetbaar

Wat moet er minimaal in staan voor jullie RHO of toezichthouder?

Overige opmerkingen of suggesties

Bedankt voor je feedback op stap 8!

Stap 9 — Borging

Bijhouden & meegroeien

Informatiebeveiliging is geen eenmalig project maar een doorlopend proces. In deze stap verankert jullie praktijk de PDCA-cyclus in de jaarplanning — zodat het niveau geborgd blijft en meegaat met veranderingen.

⏱ 1 uur📅 Jaarlijks

Concrete acties

Jullie hebben de eerste volledige PDCA-cyclus doorlopen. Gefeliciteerd — dat is een serieuze prestatie. De kunst is nu om het niet te laten verslappen. Informatiebeveiliging leeft alleen als het een vast onderdeel is van de praktijkvoering: jaarlijkse herziening, aandacht bij wijzigingen en nieuwe medewerkers die meteen worden ingewerkt.

Plan de jaarlijkse herziening in IB-coördinator

Plan nu al de datum voor de volgende risicoherziening. Minimaal eens per drie jaar is verplicht (NEN 7510), maar jaarlijks is de aanbevolen praktijk. Koppel het aan een vast moment in het jaar — bijv. na de zomervakantie of aan het begin van het kalenderjaar.

Datum volgende risicoherziening

Wie organiseert de herziening?

Vaste agendaplek voor IB in werkoverleg

Datum volgende interne audit (stap 7)

De datum voor de jaarlijkse herziening staat in de agenda IB is als vast agendapunt toegevoegd aan het werkoverleg

Borg wijzigingen in systemen of processen IB-coördinator + ICT-systeembeheerder

Informatiebeveiliging verandert mee met de praktijk. Zorg dat bij de volgende wijzigingen altijd de IB-coördinator wordt betrokken — ook als het klein lijkt.

Nieuw systeem of koppeling

Altijd BIV-classificatie uitvoeren vóór implementatie. Leveranciersovereenkomst afsluiten.

Nieuwe medewerker

IB-introductie bij onboarding. Persoonlijke inlog aanmaken. Rechten in autorisatiematrix instellen.

Medewerker vertrekt

Toegang onmiddellijk intrekken in alle systemen. Apparatuur innemen en wissen.

Beveiligingsincident of datalek

Melden bij AP indien vereist. Analyseren, leren, aanpassen. Vastleggen in het kwaliteitssysteem.

Verhuizing of nieuwe locatie

Fysieke beveiliging opnieuw beoordelen. Netwerk en toegang opnieuw inrichten.

Nieuwe wet- of regelgeving

Beleid en procedures aanpassen. NHG/LHV-webdossier checken op updates.

We hebben een procedure afgesproken voor IB-beoordeling bij wijzigingen De IB-coördinator is bekend als aanspreekpunt bij alle triggers hierboven

Vier het resultaat hele team

Jullie praktijk heeft de NEN 7510 PDCA-cyclus volledig doorlopen.

Dat betekent: een vastgesteld beleidsplan, een complete inventarisatie, een doordachte risicoanalyse, concrete maatregelen in uitvoering en een rapport gereed voor externe verantwoording. Dat is niet vanzelfsprekend — en het beschermt de patiënten en medewerkers van jullie praktijk.

Communiceer het resultaat naar het team: wat hebben jullie gedaan, wat is er verbeterd, en wanneer pakken jullie het de volgende keer op.

Het team is geïnformeerd over de bereikte status en wat er is verbeterd Het volledige dossier (beleidsplan, inventarisatie, risicoanalyse, rapport) is opgeslagen De volgende cyclus staat gepland

Hulpmiddelen & bronnen

Jaarkalender informatiebeveiligingOverzicht van alle vaste IB-momenten in het jaar: herziening, audit, werkoverleg, back-uptest

Template

Introductiekaart IB voor nieuwe medewerkersBeknopte kaart met de belangrijkste IB-afspraken voor bij de onboarding

Template

LHV Webdossier InformatiebeveiligingActuele richtlijnen, nieuws en updates op het gebied van NEN 7510 voor huisartsenpraktijken

Website

Feedback van collega's

Je bekijkt Stap 9: Bijhouden & meegroeien. Wat helpt om informatiebeveiliging levend te houden in een drukke praktijk?

Hoe realistisch is het om IB jaarlijks te herzien in jouw praktijk?

OnrealistischGoed te doen

Wat helpt om IB levend te houden tussen de jaarlijkse herzieningen?

Algemene feedback op het SpinDok-platform als geheel

Bedankt voor je feedback op stap 9!

NEN 7510 Stappenplan voor de huisartsenpraktijk