Nalevingsregister (NEN 7510-2, A.5.31 / A.5.36)
Versie 1.0.0 - juni 2026
Dit register identificeert de wettelijke, regelgevende en contractuele eisen die relevant zijn voor de informatiebeveiliging van Remedice, en hoe Remedice eraan voldoet. Het voldoet aan de beheersmaatregelen A.5.31 (wettelijke, statutaire, regelgevende en contractuele eisen) en A.5.36 (naleving van beleid, regels en normen). De wettelijke verankering volgt Bijlage C van NEN 7510-1:2024.
Status
Certificering is in voorbereiding. Dit register wordt actueel gehouden en jaarlijks beoordeeld tijdens de management review.
1. Drijfveer voor NEN 7510
Voor Remedice is NEN 7510 vooral relevant om koppelingen met apotheekinformatiesystemen (AIS) en huisartsinformatiesystemen (HIS) mogelijk te maken: die leveranciers en de aangesloten zorgaanbieders vragen aantoonbare informatiebeveiliging voordat zij gegevens uitwisselen. Daarnaast verwijst de AVG (art. 32) voor de zorg naar de NEN 7510-reeks. MedMij-deelname is op dit moment niet voorzien.
2. Register
| Eis | Type | Relevantie | Hoe Remedice voldoet |
|---|---|---|---|
| AVG / UAVG | Wettelijk | Bescherming bijzondere persoonsgegevens (art. 9), beveiliging (art. 32), FG-plicht (art. 37) | AVG-dossier: privacyverklaring, DPIA, verwerkingsregister, verwerkersovereenkomst, FG-aanwijzing; veldversleuteling, RBAC, audit logging |
| WGBO (BW 7, afd. 5) | Wettelijk | Dossierplicht, bewaartermijn, geheimhouding | Ondersteuning dossier en 20-jaars retentie; rolverdeling in WGBO-document |
| Wabvpz | Wettelijk | Beveiligingseisen bij elektronische gegevensverwerking; verwijst naar NEN 7510-reeks | Beheersmaatregelen NEN 7510-2 + dit ISMS |
| Besluit elektronische gegevensverwerking door zorgaanbieders (Begz) | Wettelijk | Art. 3 lid 4: onafhankelijke toetsing NEN 7510-reeks + NEN 7512, ten minste elke 5 jaar | Externe beoordeling/penetratietest gepland in certificeringstraject |
| Wkkgz | Wettelijk | Systematische bewaking kwaliteit; verwijst naar NEN 7510-reeks | ISMS + kwaliteitsborging |
| Wegiz / EGIZ | Wettelijk (kaderwet) | Normen voor elektronische gegevensuitwisseling, inclusief informatiebeveiliging | NEN 7510/7512-conformiteit (in voorbereiding) |
| NEN 7510-1 / -2 | Norm | Managementsysteem en beheersmaatregelen informatiebeveiliging zorg | Dit ISMS en de beheersmaatregelen-documenten |
| NEN 7512 | Norm | Beveiliging gegevensuitwisseling tussen beveiligingsdomeinen | Communicatiebeveiliging |
| NEN 7513 | Norm | Logging van toegang tot persoonlijke gezondheidsinformatie | Logbeleid, inclusief conformiteitsmatrix en patient-inzagerapport |
| NTA 7516 | Norm | Veilige ad-hoc berichtuitwisseling (e-mail, chat) met gezondheidsinformatie | Nog niet van toepassing: patientberichten (mail, SMS, brief) bevatten naam en bevestigingslink, geen inhoudelijke gezondheidsinformatie. Trigger: zodra berichten inhoudelijke gezondheidsdata gaan bevatten |
| NEN 7503 | Norm | Elektronische verwerking en uitwisseling van recept- en verstrekkingsgegevens | Nog niet van toepassing: geen e-receptverkeer. Trigger: receptcontrole-koppeling of Wegiz-AMvB die NEN 7503 aanwijst |
| AORTA/LSP-aansluitvoorwaarden (VZVZ) | Contractueel/stelsel | Eisen aan aansluiting op het Landelijk Schakelpunt (GBZ-toets, UZI-middelen) | Nog niet van toepassing: geen LSP-aansluiting. Trigger: besluit tot LSP/AORTA-koppeling; eisen in Communicatiebeveiliging, hoofdstuk 8 |
| MedMij-afsprakenstelsel | Stelsel | Ontsluiting van gegevens naar persoonlijke gezondheidsomgevingen (PGO) | Nog niet van toepassing en niet voorzien. Trigger: besluit tot PGO-ontsluiting |
| eIDAS (EU 910/2014) | Wettelijk | Betrouwbaarheidsniveaus voor elektronische identificatie; "hoog" voor toegang tot gezondheidsgegevens bij uitwisseling | Relevant bij systeemkoppelingen: UZI/ZORG-ID-identiteitsbinding aanwezig; vereisten vastgelegd in Communicatiebeveiliging, hoofdstuk 8 |
| NIS2 / Cyberbeveiligingswet | Wettelijk (in omzetting) | Beveiligingsnormen en meldplicht voor (essentiele) diensten | Beveiligingsbeleid, incidentmanagement; toepasselijkheid wordt gevolgd |
| MDR (EU 2017/745) | Wettelijk | Medicatiebeoordeling als klasse IIa; samenhang met informatiebeveiliging | MDR-dossier; zie MDR-classificatie |
| AI Act (EU 2024/1689) | Wettelijk | Transparantie en risicoclassificatie AI | AI Act-document |
| Telecommunicatiewet (art. 11.7a) | Wettelijk | Cookies | Cookiebeleid |
| Contractuele eisen (apotheken, AIS/HIS, subverwerkers) | Contractueel | Beveiligingsafspraken in overeenkomsten | Verwerkersovereenkomst, DPAs, subverwerkersregister |
| Intellectuele-eigendomsrechten (A.5.32) | Wettelijk/contractueel | Licenties software van derden | Afhankelijkheidsbeheer, licentiebewaking in de ontwikkelcyclus |
3. Naleving van beleid en normen (A.5.36)
De naleving van het informatiebeveiligingsbeleid, de onderwerpspecifieke beleidsregels en de normen wordt regelmatig beoordeeld via het interne auditprogramma en de management review.
4. Review
Dit register wordt jaarlijks beoordeeld en geactualiseerd, en eerder bij nieuwe of gewijzigde wet- en regelgeving.