Verklaring van Toepasselijkheid — NEN7510:2024

Organisatie: YipYip B.V. Versie: 2.0 Norm: NEN7510:2024 Bijgewerkt: 2026-03-26 Vastgesteld door: — nog niet vastgesteld — Datum: —

Scope: ICT-dienstverlening voor zorgsector | Interfaces met de zorg: Ontwikkeling en beheer van zorgsoftware; verwerking patiëntgegevens als verwerker

Legenda

BM:: BasisMaatregel — standaard beveiligingsmaatregel die altijd van toepassing is
RB:: Risico Beoordeling — van toepassing op basis van risicoanalyse
WR:: Wet- en Regelgeving — verplicht vanuit AVG, NEN7510, NIS2 of andere regelgeving
CV:: Contractuele Verplichtingen — vereist door klantcontracten of SLA's
ZR:: Zorgrelatie — vereist vanuit de relatie met de zorgsector (NEN7510-specifiek)

A.5 — Organisatorisch (37)

ID	Titel / Beschrijving	Rel.	BM	RB	WR	CV	ZR	Status
5.01	Policies for information security	✓	✓		✓			Gedeeltelijk
5.02	Information security roles and responsibilities	✓	✓					Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Specifieke aandacht voor medische informatiebeheerders; aanwijzing van verantwoordelijke voor patiëntgegevens.						✓
5.03	Segregation of duties	✓	✓	✓				Gereed
5.04	Management responsibilities	✓	✓					Gereed
5.05	Contact with authorities	✓	✓		✓			Gedeeltelijk
5.06	Contact with special interest groups	✓	✓					Gereed
5.07	Threat intelligence	✓	✓	✓				Gereed
5.08	Information security in project management	✓	✓			✓		Gereed
5.09	Inventory of information and other associated assets	✓	✓					Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Medische apparatuur en zorgsystemen expliciet opgenomen in het asset-register.						✓
5.10	Acceptable use of information and other associated assets	✓	✓					Gereed
5.11	Return of assets	✓	✓					Gereed
5.12	Classification of information	✓	✓		✓			Gedeeltelijk
↳ ZR	Zorgspecifieke beheersmaatregel Classificatieschema bevat aparte categorie voor patiëntgegevens (bijzondere persoonsgegevens, WGBO).						✓
5.13	Labelling of information	✓	✓					Gedeeltelijk
↳ ZR	Zorgspecifieke beheersmaatregel Labelling-schema toegepast op documenten met patiëntgegevens conform classificatieschema.						✓
5.14	Information transfer	✓	✓			✓		Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Veilige uitwisseling van patiëntgegevens: end-to-end versleuteling, gebruik van NEN7510-conforme uitwisselstandaarden (LSP, ZORG-AB).						✓
5.15	Access control	✓	✓	✓				Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Need-to-know principe strikt gehanteerd voor patiëntgegevens; toegang uitsluitend op basis van behandelrelatie.						✓
5.16	Identity management	✓	✓	✓				Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Logging van alle toegang tot patiëntdossiers verplicht; koppeling identiteit aan audit trail.						✓
5.17	Authentication information	✓	✓	✓				Gereed
5.18	Access rights	✓	✓	✓		✓		Gereed
5.19	Information security in supplier relationships	✓	✓			✓		Gedeeltelijk
↳ ZR	Zorgspecifieke beheersmaatregel Verwerkersovereenkomst verplicht voor alle leveranciers die patiëntgegevens verwerken of inzien.						✓
5.20	Addressing information security within supplier agreements	✓	✓		✓	✓		Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Leveranciersovereenkomsten bevatten expliciete clausules voor bescherming van medische/patiëntgegevens conform AVG en NEN7510.						✓
5.21	Managing information security in the ICT supply chain	✓	✓	✓		✓		Gereed
5.22	Monitoring, review and change management of supplier services	✓	✓			✓		Gereed
5.23	Information security for use of cloud services	✓	✓	✓		✓		Gereed
5.24	Information security incident management planning and preparation	✓	✓	✓	✓			Gedeeltelijk
↳ ZR	Zorgspecifieke beheersmaatregel Specifieke procedure voor datalekken met patiëntgegevens; meldplicht bij AP binnen 72 uur (AVG art. 33); melding aan betrokkenen indien hoog risico (art. 34).						✓
5.25	Assessment and decision on information security events	✓	✓	✓				Gereed
5.26	Response to information security incidents	✓	✓	✓	✓			Gereed
5.27	Learning from information security incidents	✓	✓	✓				Gereed
5.28	Collection of evidence	✓	✓	✓				Gereed
5.29	Information security during disruption	✓	✓	✓		✓		Gedeeltelijk
↳ ZR	Zorgspecifieke beheersmaatregel Continuïteit van zorgprocessen als primair doel bij verstoring; beschikbaarheid zorgsystemen voorrang.						✓
5.30	ICT readiness for business continuity	✓	✓	✓		✓		Gedeeltelijk
↳ ZR	Zorgspecifieke beheersmaatregel ICT-continuïteit gericht op beschikbaarheid van kritieke zorgsystemen; hersteltijden conform zorg-SLA's.						✓
5.31	Legal, statutory, regulatory and contractual requirements	✓			✓			Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Zorgwetgeving expliciet in scope: WGBO, Wkkgz, Wbsn-z en NEN7510 naast AVG.						✓
5.32	Intellectual property rights	✓	✓		✓			Gedeeltelijk
5.33	Protection of records	✓	✓		✓			Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Bewaartermijn medische dossiers: 20 jaar na laatste behandeling (WGBO art. 7:454 lid 3).						✓
5.34	Privacy and protection of PII	✓	✓		✓	✓		Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Gezondheidsgegevens zijn bijzondere categorieën persoonsgegevens (AVG art. 9); vereisen expliciete grondslag en extra bescherming.						✓
5.35	Independent review of information security	✓	✓					Gereed
5.36	Compliance with policies, rules and standards for information security	✓	✓		✓			Gereed
5.37	Documented operating procedures	✓	✓					Gedeeltelijk

A.6 — Personen (8)

ID	Titel / Beschrijving	Rel.	BM	RB	WR	CV	ZR	Status
6.01	Screening	✓	✓		✓			Gereed
↳ ZR	Zorgspecifieke beheersmaatregel VOG verplicht voor alle medewerkers en contractors met toegang tot patiëntgegevens.						✓
6.02	Terms and conditions of employment	✓	✓			✓		Gereed
6.03	Information security awareness, education and training	✓	✓		✓			Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Verplichte training over omgang met medische gegevens, WGBO-rechten van patiënten en datalekprocedures.						✓
6.04	Disciplinary process	✓	✓					Gereed
6.05	Responsibilities after termination or change of employment	✓	✓					Gereed
6.06	Confidentiality or non-disclosure agreements	✓	✓			✓		Gereed
6.07	Remote working	✓	✓	✓				Gereed
6.08	Information security event reporting	✓	✓		✓			Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Interne meldplicht voor alle incidenten waarbij patiëntgegevens betrokken zijn, ook bij vermoeden.						✓

A.7 — Fysiek (14)

ID	Titel / Beschrijving	Rel.	BM	RB	WR	ZR	Status
7.01	Physical security perimeters	✓	✓				Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Bescherming van ruimtes waar medische apparatuur of zorgsystemen aanwezig zijn.					✓
7.02	Physical entry	✓	✓				Gereed
7.03	Securing offices, rooms and facilities	✓	✓				Gereed
7.04	Physical security monitoring	✓	✓	✓			Gedeeltelijk
7.05	Protecting against physical and environmental threats	✓	✓				Gereed
7.06	Working in secure areas	✓	✓				Gereed
7.07	Clear desk and clear screen	✓	✓				Gereed
7.08	Equipment siting and protection	✓	✓				Gereed
7.09	Security of assets off-premises	✓	✓	✓			Gereed
7.10	Storage media	✓	✓	✓			Gereed
7.11	Supporting utilities	✓	✓				Gereed
7.12	Cabling security	✓	✓				Gereed
7.13	Equipment maintenance	✓	✓				Gereed
7.14	Secure disposal or re-use of equipment	✓	✓		✓		Gereed

A.8 — Technologisch (34)

ID	Titel / Beschrijving	Rel.	BM	RB	WR	CV	ZR	Status
8.01	User endpoint devices	✓	✓	✓				Gereed
8.02	Privileged access rights	✓	✓	✓				Gereed
8.03	Information access restriction	✓	✓	✓		✓		Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Functiescheiding in zorgsystemen; geen ongeautoriseerde inzage in patiëntdossiers mogelijk.						✓
8.04	Access to source code	✓	✓	✓				Gereed
8.05	Secure authentication	✓	✓	✓				Gereed
8.06	Capacity management	✓	✓	✓		✓		Gereed
8.07	Protection against malware	✓	✓	✓				Gedeeltelijk
↳ ZR	Zorgspecifieke beheersmaatregel Specifieke aandacht voor malware-bescherming van medische systemen en IoMT-apparaten.						✓
8.08	Management of technical vulnerabilities	✓	✓	✓				Gedeeltelijk
8.09	Configuration management	✓	✓	✓				Gedeeltelijk
8.10	Information deletion	✓	✓		✓			Gereed
8.11	Data masking	✓	✓		✓	✓		Gereed
8.12	Data leakage prevention	✓	✓	✓		✓		Gereed
8.13	Information backup	✓	✓	✓		✓		Gedeeltelijk
↳ ZR	Zorgspecifieke beheersmaatregel Backup van patiëntgegevens met verifieerbare integriteit; hersteltest minimaal jaarlijks.						✓
8.14	Redundancy of information processing facilities	✓	✓	✓		✓		Gereed
8.15	Logging	✓	✓	✓	✓			Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Audit trail voor alle toegang tot patiëntdossiers verplicht; minimale bewaartermijn logs: 3 jaar.						✓
8.16	Monitoring activities	✓	✓	✓				Gedeeltelijk
8.17	Clock synchronization	✓	✓					Gereed
8.18	Use of privileged utility programs	✓	✓					Gereed
8.19	Installation of software on operational systems	✓	✓					Gereed
8.20	Networks security	✓	✓	✓				Gereed
8.21	Security of network services	✓	✓	✓		✓		Gereed
8.22	Segregation of networks	✓	✓	✓				Gereed
8.23	Web filtering	✓	✓					Gereed
8.24	Use of cryptography	✓	✓	✓	✓			Gedeeltelijk
↳ ZR	Zorgspecifieke beheersmaatregel Versleuteling van patiëntgegevens verplicht, zowel in transit als at rest.						✓
8.25	Secure development life cycle	✓	✓			✓		Gereed
8.26	Application security requirements	✓	✓			✓		Gereed
↳ ZR	Zorgspecifieke beheersmaatregel Security by design en privacy by design verplicht voor alle zorgsystemen die YipYip ontwikkelt.						✓
8.27	Secure system architecture and engineering principles	✓	✓	✓		✓		Gedeeltelijk
8.28	Secure coding	✓	✓			✓		Gereed
8.29	Security testing in development and acceptance	✓	✓			✓		Gedeeltelijk
8.30	Outsourced development	✓	✓			✓		Gereed
8.31	Separation of development, test and production environments	✓	✓	✓				Gereed
8.32	Change management	✓	✓	✓				Gereed
8.33	Test information	✓	✓		✓			Gereed
8.34	Protection of information systems during audit testing	✓	✓					Gereed

NEN7510 Aanvullende maatregelen Z1–Z8 (niet in ISO 27001 Annex A)

ID	Titel / Beschrijving	NEN7510	Toelichting	BM	RB	WR	CV	ZR	Status
NEN7510-Z1	Toegang tot patiëntgegevens Alleen geautoriseerde zorgverleners met behandelrelatie hebben toegang tot patiëntgegevens	✓	Niet van toepassing als ISO 27001 control; uitsluitend NEN7510-verplichting voor bescherming patiëntgegevens.		✓	✓	✓	✓	Gedeeltelijk
NEN7510-Z2	Logging patiëntdossiers Alle toegang tot patiëntdossiers wordt gelogd en is controleerbaar	✓	Niet van toepassing als ISO 27001 control; specifieke NEN7510-eis voor audit trail patiëntdossiers (WGBO/Wkkgz).			✓	✓	✓	Gedeeltelijk
NEN7510-Z3	Noodtoegang (break-the-glass) Procedure voor noodtoegang tot patiëntgegevens bij calamiteiten	✓	Niet van toepassing als ISO 27001 control; specifieke NEN7510-eis voor continuïteit van zorg.	✓		✓		✓	Gedeeltelijk
NEN7510-Z4	Medische apparatuur Beveiliging van netwerk-verbonden medische apparatuur	✓	Niet van toepassing als ISO 27001 control; NEN7510-specifieke maatregel voor zorgsystemen die YipYip ontwikkelt/beheert.		✓		✓	✓	Gereed
NEN7510-Z5	Elektronische uitwisseling zorggegevens Veilige uitwisseling van patiëntgegevens via LSP, ZORG-AB, XDS	✓	Niet van toepassing als ISO 27001 control; NEN7510-eis voor interoperabiliteit in de zorgketen.			✓	✓	✓	Gedeeltelijk
NEN7510-Z6	Patiëntidentificatie Correcte en unieke identificatie van patiënten in systemen	✓	Niet van toepassing als ISO 27001 control; NEN7510-eis voor kwaliteit en veiligheid van zorggegevens.			✓	✓	✓	Gedeeltelijk
NEN7510-Z7	Inzagerecht patiënt Ondersteuning van het inzagerecht van patiënten in hun eigen dossier	✓	Niet van toepassing als ISO 27001 control; NEN7510-eis voortkomend uit WGBO en AVG (recht op inzage).			✓		✓	Gedeeltelijk
NEN7510-Z8	Continuïteit zorgprocessen IT-ondersteuning voor de continuïteit van kritieke zorgprocessen	✓	Niet van toepassing als ISO 27001 control; NEN7510-aanvulling op bedrijfscontinuïteit met focus op zorgprocessen.	✓	✓		✓	✓	Gedeeltelijk

Samenvatting NEN7510:2024

ISO controls (NEN7510 van toepassing)	93
Waarvan met zorgspecifieke aanvulling	25
NEN7510-aanvullende maatregelen (Z1–Z8)	8
Gereed	75
Gedeeltelijk	26
Totaal	101

Vaststelling en ondertekening

Ondergetekende verklaart dat deze Verklaring van Toepasselijkheid is vastgesteld op basis van de uitgevoerde risicobeoordeling conform ISO 27001:2022 clausule 6.1.3 en NEN7510:2024.

Naam

Directie YipYip B.V.

Functie

Datum