Het zorgdebat over cloudafhankelijkheid focust op welke provider je kiest. Maar de meest onderschatte risicocategorie speelt zich af op een hoger niveau: als een groot deel van de sector afhankelijk is van dezelfde infrastructuur, kan één storing tientallen zorginstellingen tegelijk treffen. Die kwetsbaarheid los je niet op door massaal naar Europa te verhuizen.
Naast privacyrisico’s en continuïteitsrisico’s is er een derde categorie die in het publieke debat vaak onderbelicht blijft: systeemrisico. Dit ontstaat wanneer een groot deel van een sector afhankelijk is van dezelfde infrastructuur, ongeacht of die infrastructuur Amerikaans, Europees of Nederlands is.
Concentratierisico bij een provider
Als 67% van de Nederlandse public cloud-markt op Microsoft Azure draait, en een groot deel van de ziekenhuizen hun EPD aan Microsoft-infrastructuur heeft gekoppeld, dan is er sprake van een concentratierisico. Een regionale storing bij Azure, iets wat de afgelopen jaren meerdere keren is voorgekomen, treft dan niet één ziekenhuis, maar potentieel tientallen tegelijk. Dit heeft niets met geopolitiek te maken: het is een klassiek risicomanagement-vraagstuk.
De les van De Nederlandsche Bank
De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) waarschuwen hier expliciet voor in de financiële sector. Zij constateren dat de concentratie bij een handvol cloudproviders een systeemrisico vormt: als AWS of Microsoft Azure tegelijk last hebben van een storing, kan betaalverkeer bij meerdere banken tegelijk uitvallen. DNB-president Klaas Knot stelt: “We moeten nu denken aan scenario’s waar we 80 jaar niet aan hebben gedacht.”
Voor de zorgsector is dit argument minstens zo sterk als voor de financiële sector. Stel dat een Azure-storing samenvalt met een griepgolf of een andere piek in de zorgvraag: meerdere ziekenhuizen hebben tegelijk geen toegang tot hun EPD, hun communicatiesystemen of hun planningssoftware. De gevolgen zijn niet alleen financieel, maar direct medisch.
Niet alles naar Europa
Het is belangrijk om te benadrukken dat systeemrisico niet verdwijnt door over te stappen naar een Europese provider. Als alle ziekenhuizen gezamenlijk migreren naar een Europese cloud, verplaats je het concentratierisico zonder het op te lossen. De kern van de oplossing zit in spreiding en uitwijkmogelijkheden over verschillende clouds. Zowel Amerikaans, Nederlands als Europees.
Spreiden zonder alles dubbel te draaien
Een multicloud-aanpak vermindert de kwetsbaarheid. Dat betekent niet dat je alles dubbel draait. Het begint bij het identificeren van je meest kritieke systemen en het borgen dat daar een uitwijkscenario voor bestaat. Als je EPD op Azure draait, overweeg dan of je back-up- en disaster-recovery-omgeving bij een andere provider kan. Als je e-mail bij Microsoft 365 afneemt, onderzoek dan wat je nodig hebt om binnen een redelijke termijn naar een alternatief over te stappen.
Collectief sta je sterker
Dit risico vraagt om diversificatie op sectorniveau, niet alleen op organisatieniveau. Wanneer zorginstellingen samenwerken bij inkoop en cloudstrategie, is het verstandig om ook afspraken te maken over spreiding over meerdere providers. Niet elke instelling hoeft op hetzelfde platform te draaien. Diversificatie op sectorniveau vermindert de kans dat een technische storing of geopolitieke gebeurtenis de hele Nederlandse zorg tegelijk raakt.
Brancheorganisaties zoals de NVZ, NFU en ActiZ kunnen gezamenlijke inkoopvoorwaarden ontwikkelen met ingebouwde soevereiniteits- en spreidingseisen. Dat versterkt de onderhandelingspositie, verlaagt transactiekosten en voorkomt dat elke instelling afzonderlijk het wiel uitvindt.
Verder lezen
Individueel sta je als zorginstelling niet sterk tegenover een techgigant met honderden miljarden omzet. Collectief wel. In ons whitepaper ’Digitale soevereiniteit in het Nederlandse zorglandschap’ werken we uit hoe je systeemrisico vertaalt naar een concrete multicloud- en exit-strategie, en welke waarborgen je in leverancierscontracten vastlegt.