---
title: "Vijf manieren om een EPD te hosten: wat win je, wat geef je op?"
description: "Om de soevereiniteitsdiscussie concreet te maken, zetten we vijf realistische scenario’s voor het hosten van een EPD naast elkaar. Per scenario kijken we naar vier assen: privacyrisico, continuïteitsrisico, beveiligingsniveau en benodigde eigen expertise. Je leest ze allemaal in dit blog."
url: https://www.intermax.nl/resources/vijf-manieren-om-een-epd-te-hosten-wat-win-je-wat-geef-je-op/
date: 2026-03-12
modified: 2026-04-24
author: "Romana Dekker"
image: https://www.intermax.nl/wp-content/uploads/2026/04/tabel-scenariovergelijking.png
categories: ["Blogs"]
type: post
lang: nl
---

# Vijf manieren om een EPD te hosten: wat win je, wat geef je op?

Van Amerikaans SaaS-EPD tot een open source EPD in eigen datacenter: elk hostingscenario verschuift het risico, maar het schuift het niet weg. Hoe meer je naar eigen beheer gaat, hoe lager je privacyrisico en je afhankelijkheid van buitenlandse jurisdicties, maar hoe hoger de eisen aan je eigen organisatie. Dat is geen reden om niet te bewegen, wel om eerlijk te zijn over wat elke keuze vraagt.

Om de soevereiniteitsdiscussie concreet te maken, zetten we vijf realistische scenario’s voor het hosten van een EPD naast elkaar. Per scenario kijken we naar vier assen: privacyrisico, continuïteitsrisico, beveiligingsniveau en benodigde eigen expertise.

## **1. Amerikaans SaaS-EPD**

*Volledig beheerd door een Amerikaanse leverancier.*

Het privacyrisico is hoog: de CLOUD Act is volledig van toepassing en de provider heeft directe toegang tot patiëntdata. Het continuïteitsrisico is eveneens hoog: sanctierisico is klein maar reëel, de leveranciersafhankelijkheid is sterk en eenzijdige prijswijzigingen zijn contractueel mogelijk. Tegenover die risico’s staat een zeer hoog beveiligingsniveau, met miljarden-investeringen in security, 24/7 Security Operations Centers en continue threat monitoring. De benodigde eigen expertise is laag: de leverancier beheert vrijwel alles.

## **2. Nederlands SaaS-EPD op Azure**

*Nederlandse leverancier host op Amerikaanse cloudinfrastructuur.*

Het privacyrisico is gemiddeld. De Nederlandse leverancier beheert de applicatielaag, Microsoft ziet alleen de versleutelde infrastructuur. Met customer-managed keys is de kans op CLOUD Act-blootstelling wel aanwezig, maar minder. Het continuïteitsrisico is gemiddeld: Azure-afhankelijkheid voor de infrastructuur en een Nederlandse leveranciersrelatie voor de applicatie, met een dubbel prijsrisico. Het beveiligingsniveau is hoog, met Azure-infrastructuurbeveiliging gecombineerd met applicatiebeveiliging door de Nederlandse leverancier. De benodigde eigen expertise is laag tot gemiddeld: de leverancier beheert het meeste, maar je moet het shared-responsibility-model begrijpen.

## **3. Nederlands SaaS-EPD op Nederlandse cloud**

*Volledige Nederlandse keten.*

Het privacyrisico is laag: volledig binnen Nederlandse of Europese jurisdictie en geen CLOUD Act-blootstelling. Het continuïteitsrisico is laag tot gemiddeld: geen sanctierisico, maar wel afhankelijk van twee Nederlandse partijen.

Het beveiligingsniveau is hoog. Een kleiner klantenbestand betekent een beperktere attack surface en geen publiek toegankelijke beheerportalen; compliance-programma’s zoals ISO 27001, NEN 7510 en SOC 2 Type II borgen onafhankelijke toetsing. De benodigde eigen expertise blijft laag tot gemiddeld.

## **4. Nederlandse EPD-software, zelf gehost**

*Je host de software op je eigen infrastructuur.*

Het privacyrisico is laag: data volledig onder eigen controle en geen cloud-blootstelling. Het continuïteitsrisico is laag voor externe verstoringen, maar hoger voor interne risico’s zoals hardwarefalen of capaciteitstekort. Je blijft afhankelijk van de softwareleverancier voor updates. Het beveiligingsniveau is volledig afhankelijk van je eigen capaciteit en vereist een forse investering in een eigen security-team, tooling en processen. De benodigde eigen expertise is hoog: je beheert infrastructuur, netwerk, security, patching, back-ups en disaster recovery zelf.

## **5. Open source EPD, zelf gehost in eigen datacenter**

*Maximale autonomie.*

Het privacyrisico is het laagst: volledige controle, geen leveranciersafhankelijkheid voor datatoegang. Het continuïteitsrisico is gemengd. Je hebt geen vendor lock-in, maar ook geen leveranciersondersteuning en dus volledige eigen verantwoordelijkheid. Het beveiligingsniveau is volledig afhankelijk van je eigen capaciteit; er is geen leverancier die meekijkt of bijspringt bij incidenten. De benodigde eigen expertise is zeer hoog: je beheert alles, inclusief de applicatie-expertise.

## **Er is geen ’beste’ keuze**

Wat opvalt is dat elke stap richting eigen beheer het privacyrisico verlaagt en de afhankelijkheid van buitenlandse jurisdicties verkleint, maar de eisen aan je eigen organisatie stevig opschroeft. Zowel Amerikaanse als Nederlandse cloudproviders investeren in beveiliging op een niveau dat een individueel ziekenhuis niet kan evenaren. Als je besluit diensten zelf te hosten om soevereiniteitsredenen, neem je ook de volledige verantwoordelijkheid voor de beveiliging van die diensten op je. In een arbeidsmarkt waar IT-security-specialisten schaars zijn, is dat voor een zorginstelling een reëel probleem.

Dat betekent niet dat zelf hosten onverantwoord is. Het betekent wel dat de risicoafweging twee kanten op werkt. Niet elk systeem vraagt om dezelfde mate van soevereiniteit. Door per systeem bewust te kiezen waar het thuishoort, vermijd je zowel de valkuil van alles bij één hyperscaler plaatsen als de valkuil van alles terughalen naar eigen beheer.

## **Verder lezen**

[![](https://www.intermax.nl/wp-content/uploads/2026/04/vijfmanieren-om-een-epd-te-hosten-1024x576.png)](https://ontdek.intermax.nl/hubfs/Whitepaper%20digitale%20autonomie/Intermax_whitepaper_DigitaleSoevereiniteitZorglandschap.pdf)

In (https://ontdek.intermax.nl/hubfs/Whitepaper%20digitale%20autonomie/Intermax_whitepaper_DigitaleSoevereiniteitZorglandschap.pdf) staat de volledige scenariovergelijking met alle vier de assen naast elkaar, plus een plaatsingsmodel dat je helpt bepalen welk systeem bij welk scenario hoort.

(https://ontdek.intermax.nl/hubfs/Whitepaper%20digitale%20autonomie/Intermax_whitepaper_DigitaleSoevereiniteitZorglandschap.pdf)