Waarom is certificering nodig?

In de normen worden ook eisen aan ict-systemen gesteld. Gebruikers willen zeker weten dat hun ict-systemen aan deze eisen voor voldoen. Om aan te tonen dat ict-systemen voldoen aan de normen, schrijft de Wegiz voor dat leveranciers hun ict-systemen laten certificeren via zogeheten productcertificering. Als een leverancier een certificaat heeft ontvangen voor een bepaald systeem, dan weet de gebruiker zeker dat het product voldoet aan de norm – en dat dus ook met andere systemen gegevens kunnen worden uitgewisseld.

Juist de gedetailleerde eisen aan deze ‘interoperabiliteit’ zorgen ervoor dat productcertificering noodzakelijk is. Alléén certificering van een managementsysteem, zoals bijvoorbeeld bij de norm Informatiebeveiliging in de zorg (NEN 7510) het geval is, zou hier onvoldoende zijn.

In de norm wordt beschreven waar die norm over gaat. In het bijbehorende certificatieschema wordt beschreven hoe er op die norm getoetst kan worden, dus aan welke eisen er dan voldaan moet worden.

In de Wegiz wordt er vooralsnog niet voor gekozen om productgebruikers, zoals zorginstellingen, te certificeren. Dit zou te hoge administratieve lasten met zich meebrengen.