Digitale soevereiniteit klinkt abstract, maar wordt hanteerbaar zodra je het opknipt in vijf concrete stappen. De gemene deler: je risicoprofiel is geen vast gegeven, maar het resultaat van keuzes die je zelf maakt. Met deze vijf stappen bepaal je een bewuste cloudstrategie en ga je van paniek, naar regie.
1. Ken je risico per dienst
Je risicoprofiel is geen vast gegeven, maar het resultaat van keuzes. Het drielagenmodel maakt dat concreet: classificeer elke dienst in één van drie scenario’s (volledig beheerd door de provider, eigen applicatie op cloudinfrastructuur, of zelf gehost). Die classificatie bepaalt welke risico’s reëel zijn en welke niet. Voeg de soevereiniteitsvraag toe aan je bestaande processen voor risicomanagement, informatiebeveiliging en privacy: wie heeft toegang, onder welke jurisdictie, en wat als de dienst wegvalt? Betrek IT, de FG en de juridische afdeling, en herhaal de analyse minimaal jaarlijks.
De Algemene Rekenkamer concludeerde dat bij twee derde van de door de Rijksoverheid afgenomen clouddiensten nooit een risicoanalyse heeft plaatsgevonden, zelfs niet voor cruciale diensten. Dat is een fout die de zorgsector niet hoeft te herhalen.
2. Spreid je risico
Systeemrisico los je niet op door allemaal naar dezelfde Europese cloud te verhuizen. Dan verplaats je de concentratie zonder het probleem op te lossen. Een multicloud-aanpak vermindert die kwetsbaarheid. Dat betekent niet dat je alles dubbel draait. Het begint bij het identificeren van je meest kritieke systemen en het borgen dat daar een uitwijkscenario voor bestaat. Draait je EPD op Azure? Overweeg dan of je back-up- en disaster-recovery-omgeving bij een andere provider kan. Neem je e-mail af via Microsoft 365? Onderzoek wat je nodig hebt om binnen een redelijke termijn naar een alternatief over te stappen.
3. Zorg dat je weg kunt
Exit-strategieën zijn niet iets wat je bedenkt op het moment dat je weg moet. Dan ben je te laat. Het coalitieakkoord spreekt van ’doelgericht afbouwen’ van strategische afhankelijkheden, en de aangekondigde nationale stresstests (’Microsoft-out oefeningen’) maken duidelijk dat ook de overheid verwacht dat organisaties hierop voorbereid zijn.
De kern: zorg dat je data overdraagbaar is en dat je contractueel het recht hebt om te vertrekken. Dus back-ups in open formaten, gedocumenteerde systeemconfiguraties, contractuele dataportabiliteit, en periodieke dry runs waarin je de overstap naar een alternatief test. Leg exit-procedures, doorlooptijden en kostenverdeling vooraf vast, en eis dat leveranciers data kunnen exporteren in open standaarden zoals HL7 FHIR.
4. Versterk je positie als sector
Individueel sta je als zorginstelling niet sterk tegenover een techgigant met honderden miljarden omzet. Collectief wel. Brancheorganisaties zoals de NVZ, NFU en ActiZ kunnen gezamenlijke inkoopvoorwaarden ontwikkelen met ingebouwde soevereiniteitseisen. Dat versterkt de onderhandelingspositie, verlaagt transactiekosten en voorkomt dat elke instelling afzonderlijk het wiel uitvindt.
5. Anticipeer op wat er aankomt
De regelgeving rond digitale soevereiniteit is in beweging. De EHDS-verordening (in werking sinds maart 2025) stelt vanaf 2029 eisen aan interoperabiliteit en dataportabiliteit van EPD-systemen. De Cyberbeveiligingswet (de Nederlandse implementatie van NIS2) scherpt de eisen aan informatiebeveiliging in vitale sectoren, waaronder de zorg. En de inkoopeisen uit het coalitieakkoord (security-by-design, zero trust, open source, soevereiniteit) werken door naar zorginstellingen die met publiek gefinancierde systemen werken.
Anticipeer hierop door nu al leveranciers te selecteren die open standaarden ondersteunen en die bereid zijn om aan soevereiniteitseisen te voldoen. Dat verlaagt niet alleen de exit-drempel, maar ook toekomstige compliance-kosten. Wie hier nu mee begint, hoeft straks niet in Ă©Ă©n keer alles om te gooien.
Verder lezen
In ons whitepaper ’Digitale soevereiniteit in het Nederlandse zorglandschap’ werken we elke stap verder uit, met het drielagenmodel, een scenariovergelijking van vijf manieren om een EPD te hosten, en een overzicht van contractuele waarborgen die je bij leveranciers kunt vastleggen.