010 323 2007

NEN-7520

NEN-7520: Nieuwe norm voor autorisatie bij gegevensuitwisseling in de zorg

Kennisbank » NEN7520

Wat voegt de NEN-7520 toe?

De zorgsector digitaliseert in hoog tempo. Gegevens worden steeds vaker uitgewisseld tussen zorgorganisaties onderling: tussen ziekenhuizen, huisartsen, instellingen voor verpleging, verzorging en thuiszorg (VVT) en andere ketenpartners. Die uitwisseling vraagt om duidelijke afspraken over wie welke gegevens mag inzien en gebruiken.

NEN-7520 richt zich op autorisatierichtlijnen voor gegevensuitwisseling tussen organisaties: het inrichten en beheren van autorisaties op het moment dat gegevens de grenzen van een organisatie overschrijden. De NEN-7510 regelt immers de autorisaties intern. De NEN-7520 draagt daaraan bij door meer vertrouwen te geven aan autorisaties tussen zorgorganisaties waardoor de gedachte bestaat dat hiermee meer data beschikbaar komt. Je lost met andere woorden ook het probleem van beschikbaarheid op!

De norm NEN-7520 is momenteel in consultatie en wordt naar verwachting eind 2026 vastgesteld. Dit artikel legt uit wat de norm inhoudt, hoe deze zich verhoudt tot andere normen en wetgevingen, en wat dit betekent voor uw organisatie.

Wat regelt NEN-7520 precies?

      De NEN-7520 regelt onder meer het volgende:
  • Voor welk doel worden gegevens uitgewisseld
  • Met welke reikwijdte
  • Binnen welk zorgproces
  • Wie heeft toegang tot welke gegevens, met welke rol
  • Wie houdt toezicht op de uitvoering

Een belangrijk uitgangspunt daarbij is de behandelrelatie. De basis voor gegevensuitwisseling in de keten is de vraag: is er bij de ontvangende partij een behandelrelatie? Pas wanneer die relatie is vastgesteld, is uitwisseling gerechtvaardigd! Dit is de basis, uiteraard samen met de toestemming voor uitwisseling. Hier later meer over.

Hoe verhoud NEN-7520 zich tot andere normen en wetgeving?

NEN-7520 staat niet op zichzelf. De norm maakt deel uit van een breder normenstelsel voor informatiebeveiliging in de zorg. De meest relevante normen en wetten volgen hieronder:

NEN-7510

NEN-7510 vormt de basis voor informatiebeveiliging binnen een zorgorganisatie, dus intern. NEN-7520 voegt daar de buitengrens aan toe: uitwisseling tussen organisaties onderling. 

NEN-7512

NEN-7512 regelt de vertrouwensbasis voor de uitwisselingslijn zelf: is de verzender de juiste verzender?, is het uitwisselingsmedium veilig?, is de ontvanger geauthenticeerd en bevoegd om te ontvangen? NEN-7520 bouwt hierop voort en regelt wie welke gegevens mag inzien en gebruiken nadat de lijn is beveiligd.

NEN-7513

NEN-7513 regelt logging: vastleggen wie wanneer wat heeft gedaan. Logging is noodzakelijk om toezicht te houden op autorisaties en om incidenten te kunnen volgen.

NEN-7518

NEN-7518 legt eisen vast voor de identificatie en authenticatie van zorgprofessionals bij elektronische gegevensuitwisseling. De norm stelt eisen aan zowel personen als systemen die zich moeten identificeren en authenticeren. De huidige invulling hiervan is het Unieke Zorgverlener Identificatie-middel (UZI-middel), dat op termijn wordt vervangen door het Dezi-stelsel (dé zorgidentiteit) op grond van de Wet digitale identificatie en authenticatie in de zorg (Wet DIAZ).

Wegiz

De Wet elektronische gegevensuitwisseling in de zorg (Wegiz) kan via een Algemene Maatregel van Bestuur (AMvB) verwijzen naar NEN-7520 als verplichte norm voor gegevensuitwisseling.

EHDS

De European Health Data Space (EHDS) is breder van scope en Europees van karakter. Dit is in feite de Europese variant van de Wegiz. Beide helpen de beschikbaarheid door de uitwisseling van gegevens verder te standaardiseren.

Waar NEN-7520 uitsluitend gaat over uitwisseling tussen organisaties, omvat EHDS ook secundair gebruik van gegevens en toegang voor burgers. Een belangrijk verschil betreft ook toestemming: Nederland hanteert opt-in, terwijl EHDS in beginsel uitgaat van opt-out voor zowel primair als secundair gebruik. Verwacht wordt dat NEN-7520 daarmee niet in strijd is, omdat de norm een procesnorm is en geen inhoudelijke toestemmingsregeling bevat.

Wet DIAZ

De Wet digitale identificatie en authenticatie in de zorg (Wet DIAZ) wijzigt de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en maakt het mogelijk dat zorgprofessionals naast de huidige UZI-middelen ook andere goedgekeurde inlogmiddelen kunnen gebruiken. Uit Wet DIAZ vloeit het Dezi-stelsel voort, dat het UZI-register en de bijbehorende UZI-middelen op termijn vervangen.

Wat betekent dit in de praktijk?

De poorten staan nu wijd open

In de praktijk zien we dat autorisaties bij gegevensuitwisseling vaak onvoldoende zijn ingericht. Omdat er geen gedeelde standaard is, wordt regelmatig alles opengezet zodat de ontvangende partij zelf kan selecteren wat nodig is. NEN-7520 brengt hierin structuur: niet alleen wie toegang krijgt, maar ook hoe lang en tot welke specifieke gegevens.

VVT-organisaties:urgentie versus beheersbaarheid

In de verpleging, verzorging en thuiszorg doet zich een specifiek knelpunt voor. Bij acute situaties is er direct een zorgprofessional nodig zonder dat identificatie en autorisatie volledig zijn ingericht. In de praktijk wordt er tijdelijk een generiek account verleent, en vervolgens wordt het account binnen een bepaald tijdsbestek omgezet naar een persoonsgebonden account met de juiste rol. Dat moet kunnen voor zover je wel alternatieve maatregelen neemt met het generieke account voor de tussenliggende periode.

Uitzonderingen zijn problematisch bij uitwisseling

Intern mag een organisatie afwijkingen hanteren in haar autorisatiestructuur, maar zodra uitwisseling met een andere organisatie aan de orde is, worden afwijkingen een obstakel. Codes en rollen moeten op elkaar aansluiten, of er moet een tussenliggende vertaallaag worden ingezet. Het doel is procesmatig toe te werken naar een geharmoniseerd niveau van autorisatie.

Regionale samenwerking loont

Veel uitdagingen die in een regio spelen, zijn elders al opgelost. Regionaal samenwerken betekent ook: oplossingen ophalen bij andere regio’s en die kennis landelijk delen. De oplossingen bestaan dus al, je moet ze alleen op landelijk niveau weten te vinden.

De oplossing voor leveranciers komt nog

NEN-7520 bestaat uit twee delen. Deel 1, dat nu in consultatie gaat, is een procesnorm: het vastleggen van afspraken tussen zorgorganisaties over autorisatie bij uitwisseling. Deel 2 richt zich op de technische uitwerking en is vooral relevant voor ICT-leveranciers. Voor leveranciers geldt op dit moment nog geen directe verplichting vanuit NEN-7520

Wat betekent dit voor uw organisatie?

Voor zorgorganisaties die nog niet volledig voldoen aan NEN-7510 geldt: begin daar. NEN-7510 is de interne basis. Daarna is NEN-7520 aan de orde voor organisaties die structureel gegevens uitwisselen met andere zorgpartijen. Je kunt namelijk in de keten niet samenwerken als je al niet voldoet aan de NEN-7510. Dat is dus een voorwaarde.

Meer uitwisselen in de keten is alleen mogelijk als er een gemeenschappelijke standaard is. De NEN-7520 helpt je daarbij. Dat geldt voor de keten, regionale en Europese samenwerking en de verbinding tussen dochterbedrijven onderling.

Heeft u vragen over de impact van NEN-7520 op uw organisatie, of wilt u weten hoe dit aansluit op uw huidige NEN-7510-traject of privacybeleid? Privacy United adviseert zorgorganisaties en ketenpartners bij informatiebeveiliging en gegevensbescherming in de zorg. Neem contact op met M. Mousavi via info@privacyunited.nl.

📧 Contact: info@privacyunited.com 

💼 LinkedIn: Privacy United B.V.: bijdragen | LinkedIn 

 

Publicatiedatum: 20 mei 2026  

Auteur: Mohammad Mousavi

Getagged