Uit onderzoek van de Inspectie Gezondheidszorg en Jeugd (IGJ) blijkt dat veel organisaties die huisartsenspoedzorg leveren niet volledig voldoen aan de wettelijk verplichte norm voor informatiebeveiliging, de NEN 7510. Maar liefst 43 van de 49 onderzochte organisaties werken nog niet aantoonbaar volgens deze norm, al is er volgens de inspectie wel sprake van bewustwording en verbetering.

Jaarlijks maken ruim 2,6 miljoen Nederlanders gebruik van een huisartsenspoedpost. Tijdens deze acute zorgmomenten is betrouwbare digitale informatie cruciaal – over medicatie, allergieën of de medische voorgeschiedenis van patiënten. Volgens de IGJ is het daarom essentieel dat medische gegevens veilig beschikbaar zijn voor zorgverleners, zonder risico op misbruik of datalekken.
Uit het onderzoek blijkt dat vrijwel alle organisaties maatregelen hebben genomen om risico’s te beperken, zoals het gebruik van multifactor-authenticatie en extra scholing van personeel. Toch werken de meeste nog niet volgens de volledige kwaliteitscyclus van de NEN 7510. Deze norm schrijft voor dat organisaties een Information Security Management System (ISMS) moeten hebben, waarmee ze niet alleen beleid opstellen, maar ook regelmatig controleren of beveiligingsmaatregelen daadwerkelijk functioneren.

Certificaat

Zes organisaties konden met een certificaat aantonen dat zij voldoen aan de norm. Negen anderen hebben al een onafhankelijke beoordeling laten uitvoeren, maar die was vaak beperkt tot beleid en documentatie. Elf organisaties willen in de loop van 2025 volledig aantoonbaar aan de norm voldoen. De inspectie heeft met de overige organisaties afspraken gemaakt over streefdata, verbeterplannen en onafhankelijke toetsing.
De IGJ benadrukt dat informatiebeveiliging niet vrijblijvend is. Zorgaanbieders zijn wettelijk verplicht om volgens de NEN 7510 te werken. Bovendien treedt in 2026 de Cyberbeveiligingswet (Cbw) in werking, de Nederlandse vertaling van de Europese NIS2-richtlijn. Huisartsenspoedposten met meer dan 50 werknemers of een jaaromzet boven de 10 miljoen euro vallen dan onder strengere eisen.
De inspectie blijft de voortgang actief volgen via gesprekken, rapportages en controles. Organisaties die nog geen beoordeling hebben laten uitvoeren, moeten dat binnen zes maanden doen. IGJ verwacht dat alle huisartsenspoedzorgorganisaties uiterlijk eind 2026 aantoonbaar voldoen aan de NEN 7510-norm.
“Goede informatiebeveiliging is geen bijzaak”, stelt de inspectie. “Het is een randvoorwaarde voor veilige en betrouwbare zorg.”