Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

Wat is een NEN 7510 pentest

Icon van een NEN 7510 pentest

De Nederlandse norm NEN 7510, “Informatiebeveiliging in de zorg”, is de standaard voor informatiebeveiliging binnen de Nederlandse zorg. Elke zorginstelling die elektronische patiëntgegevens verwerkt moet eraan voldoen, of het nu gaat om een ziekenhuis, een huisartsenpraktijk, een ggz-instelling, een verpleeghuis, een thuiszorgorganisatie of een apotheek. De norm is geen vrije keuze. De Inspectie Gezondheidszorg en Jeugd (IGJ) verwacht het, en onder de AVG is het verplicht voor verwerkingsverantwoordelijken in de zorg.

Een belangrijk onderdeel van NEN 7510 is norm 12.6: het beheer van technische kwetsbaarheden. Deze norm, die gelijk is aan ISO 27001 A.12.6, vraagt zorginstellingen om hun informatiesystemen met patiëntgegevens regelmatig technisch te laten toetsen. Voor belangrijke zorgsystemen zoals het EPD (Elektronisch Patiëntendossier), het HIS (Ziekenhuis Informatie Systeem) en patiëntenportalen is een kwetsbaarheidsscan daarvoor vaak niet genoeg.

Een NEN 7510 pentest (kort voor NEN 7510 penetratietest) richt zich op de beveiligingsrisico’s die eigen zijn aan zorgsystemen. Onze pentesters onderzoeken de beveiliging van het EPD, HL7- en FHIR-interfaces, medische beeldvorming via PACS en DICOM, medicatiesystemen en de zorginfrastructuur. Zo sporen we kwetsbaarheden op voordat ze tot een datalek of een verstoring van de zorg leiden. Het pentestrapport laat aan NEN 7510-auditors en de IGJ zien dat uw technische maatregelen werken.

Waarom en wanneer is een NEN 7510 pentest belangrijk?

Een NEN 7510 pentest is van belang voor elke zorginstelling die haar compliance moet aantonen en patiëntgegevens wil beschermen tegen aanvallers die zich juist op de zorg richten. Norm 12.6 vraagt om regelmatige technische toetsing van systemen die patiëntgegevens verwerken. Voor belangrijke zorgsystemen zoals het EPD, het HIS, patiëntenportalen, PACS, medicatiesystemen en HL7- en FHIR-interfaces is een kwetsbaarheidsscan daarvoor vaak niet genoeg.

Een NEN 7510 pentest is verstandig in onder meer deze situaties:

  • Voor uw NEN 7510-certificering, omdat een pentestrapport het bewijs vormt voor norm 12.6, vooral bij kritieke systemen met patiëntgegevens
  • Voor een IGJ-inspectie, waar een recente pentest laat zien dat uw maatregelen op orde zijn
  • Na een ingrijpende wijziging, zoals een nieuw EPD of HIS, een cloudmigratie, een nieuw patiëntenportaal of een nieuwe HL7- of FHIR-interface
  • Als onderdeel van een DPIA, waarbij een pentest een passende maatregel kan zijn bij het verwerken van medische gegevens met een hoog risico
  • Na een datalek, om te controleren of uw herstelmaatregelen werken en er geen nieuwe kwetsbaarheden zijn ontstaan

Laat een NEN 7510 pentest regelmatig uitvoeren. Voldoet u niet aan de norm, dan riskeert u een boete van de Autoriteit Persoonsgegevens, sancties van de IGJ en de meldplicht datalekken. Bovendien kan de patiëntveiligheid in het geding komen door ransomware of door manipulatie van medicatievoorschriften.

Waarom kiezen voor Hackify?

  • Onze ethische hackers hebben minimaal 5 jaar ervaring en 3 certificaten, met de juiste expertise per testonderdeel. Dat ligt boven het branchegebruik van 1 jaar en 1 certificaat.
    • Onze pentesters deden responsible disclosures bij onder meer Philips, Zoom, Oracle en de Politie.
    • Ze wonnen prijzen bij hackcompetities als Hack010, PVIB CTF, Hackerhotel en HackTheHague.
  • Wij kennen norm 12.6, de risico’s die eigen zijn aan de zorg en de verwachtingen van de IGJ.
  • U heeft direct contact met de pentester die uw test uitvoert, zonder accountmanager ertussen.
  • Een NEN 7510 pentest kunnen wij meestal binnen 2 tot 3 weken inplannen.

Meer over onze aanpak en expertise leest u op de pagina over ons.

Plan uw NEN 7510 pentest

Wilt u weten hoe kwetsbaar uw zorgsystemen zijn? Neem dan vrijblijvend contact met ons op. We vertellen u graag meer over ons bedrijf en onze aanpak, en horen graag wat de scope van uw zorgsystemen is.

Elke zorgomgeving is anders, dus stellen wij voor elke opdracht een voorstel op maat op. Een pentest kan binnen 3 weken van start. De uitvoering duurt, afhankelijk van de complexiteit, tussen 1 en 2 weken. Plan minimaal 2 tot 3 maanden voor uw certificeringsaudit of IGJ-inspectie, zodat er tijd is om bevindingen op te lossen en zo nodig een hertest te doen.

Klaar voor een NEN 7510-pentest?

Wij toetsen uw zorgapplicatie en bijbehorende infrastructuur tegen de NEN 7510-eisen voor informatiebeveiliging in de zorg. Vraag een voorstel op maat aan.

Neem contact op

Of mail ons direct via [email protected]

Veelgestelde vragen over NEN 7510 penetratietests

Wat is het verschil tussen NEN 7510 en ISO 27001?

NEN 7510 bouwt voort op ISO 27001, maar is toegespitst op de zorg en stelt aanvullende eisen.

ISO 27001 is een algemene norm voor informatiebeveiliging:

  • geschikt voor alle sectoren
  • met 114 controls in Annex A
  • internationaal erkend
  • gericht op een managementsysteem voor informatiebeveiliging (ISMS)

NEN 7510 is specifiek voor de zorg:

  • bedoeld voor ziekenhuizen, huisartsen, ggz-instellingen en de thuiszorg
  • gebaseerd op ISO 27001 en 27002, met daarbovenop eisen voor de zorg
  • gericht op de bescherming van medische gegevens, zoals het patiëntdossier en het EPD
  • sluit aan op de AVG voor bijzondere persoonsgegevens
  • houdt rekening met Nederlandse wetgeving als de WGBO en de Wabvpz
  • stelt extra eisen aan medische apparatuur en systemen

Een ISO 27001-certificering dekt NEN 7510 niet automatisch. Een zorginstelling moet apart NEN 7510 gecertificeerd zijn. Een NEN 7510 pentest onderzoekt zowel de algemene beveiliging als de risico’s die eigen zijn aan de zorg, zoals de beveiliging van het EPD en van medische apparatuur.

Wat kost een NEN 7510 pentest?

De prijs van een NEN 7510 pentest is afhankelijk van de scope, de complexiteit van de zorg-ICT omgeving en andere aspecten zoals maatwerk en specifieke vereisten. Na een intakegesprek stellen wij een passend voorstel voor u op dat aansluit bij uw situatie.