Bij twee derde van de door de Rijksoverheid afgenomen clouddiensten heeft nooit een risicoanalyse plaatsgevonden, zelfs niet voor cruciale diensten zoals die van de Belastingdienst. Dat is de conclusie van de Algemene Rekenkamer. En het is een fout die de zorgsector niet hoeft te herhalen.
Risicomanagement is geen nieuw vak voor de zorg
Risicomanagement is dagelijks werk in een zorginstelling. Infectierisico’s, medicatieveiligheid, operatierisico’s, financiële continuïteit en personeelscapaciteit worden afgewogen, gedocumenteerd en periodiek herijkt. Soevereiniteitsrisico’s en cyberrisico’s horen nadrukkelijk in datzelfde raamwerk thuis. Het is geen apart type vraagstuk, maar een extra risicocategorie die op de juiste plaats in een bestaande afweging hoort.
Dat heeft een praktische consequentie. Een instelling hoeft niet vanaf nul een nieuwe methodiek op te bouwen. Wat ontbreekt is meestal niet het proces, maar het toevoegen van drie vragen aan de bestaande analyse: wie heeft toegang, onder welke jurisdictie, en wat als de dienst wegvalt?
Wat een goede risicoanalyse minstens dekt
Per dienst moeten drie risicocategorieën worden gescoord. Het privacyrisico gaat over de vraag of buitenlandse overheden of inlichtingendiensten toegang kunnen krijgen tot persoonsgegevens die de instelling beheert. Het continuïteitsrisico gaat over de vraag of dienstverlening van buitenaf kan worden verstoord, bijvoorbeeld door sancties, eenzijdige prijsverhogingen of vendor lock-in. Het systeemrisico gaat over de vraag wat er gebeurt als een groot deel van de sector tegelijk wordt geraakt, ongeacht of de infrastructuur Amerikaans, Europees of Nederlands is.
Een drielagenmodel helpt om per dienst te bepalen waar de blootstelling zit. Wordt de dienst volledig beheerd door de provider, draait er een eigen applicatie op cloudinfrastructuur, of host de instelling het zelf? Die classificatie bepaalt welke risico’s reëel zijn en welke niet.
Combineer dat drielagenmodel met de kriticiteit en de privacygevoeligheid van het systeem, en er ontstaat een plaatsingsmodel. Niet elk systeem hoeft op dezelfde plek te staan, en niet elk systeem vraagt om dezelfde mate van soevereiniteit.
Van risicoanalyse naar plaatsingskeuze
De waarde van een risicoanalyse zit niet in het document, maar in de beslissingen die eruit volgen. Voor IT die direct nodig is voor acute zorg is lokaal beheer logisch. Voor productieomgevingen met patiëntdata biedt een Nederlandse of Europese cloudprovider de combinatie van professioneel beheer en juridische zekerheid. Voor test- en acceptatieomgevingen met geanonimiseerde data is een hyperscaler met de juiste guardrails verdedigbaar.
Door per systeem bewust te kiezen waar het thuishoort, vermijdt een zorginstelling zowel de valkuil van alles bij één hyperscaler plaatsen, als de valkuil van alles terughalen naar eigen beheer.
De fout van de Rijksoverheid niet herhalen
Dat twee/derde van de clouddiensten bij Rijksoverheid geen risicoanalyse heeft, betekent dat de keuze om een dienst af te nemen niet onderbouwd is. Bij een storing, een sanctie of een wijziging van voorwaarden ontbreekt het document waarop de instelling kan terugvallen. Voor de zorgsector, waar de gevolgen van uitval niet alleen financieel maar direct medisch zijn, is dat geen verdedigbaar startpunt.
De aanpak is overzichtelijk. Loop het huidige dienstenlandschap langs, classificeer per dienst, leg de bevindingen vast en herhaal de analyse minimaal jaarlijks. Soevereiniteit is geen doel op zich, maar risicomanagement. En dat is werk dat een zorginstelling al kan.
Deze blog is afkomstig uit het whitepaper ‘Digitale Soevereiniteit in het Nederlandse Zorglandschap. Download het whitepaper snel hier.