Met het European Technological Sovereignty Package heeft de Europese Commissie onlangs een duidelijk signaal afgegeven: Europa wil minder afhankelijk worden van niet-Europese leveranciers voor kritieke technologieën. Commissievoorzitter Von der Leyen verwees daarbij expliciet naar de zorg: "We cannot afford to depend on others for the technologies that keep our hospitals running."
Dat is geen toeval. Veel ziekenhuizen, GGZ-instellingen, VVT-organisaties en huisartsen maken gebruik van Amerikaanse leveranciers (of andere leveranciers buiten Europa) voor hun EPD, cloud, AI en/of medische apparatuur. Tegelijk stapelt de Europese zorgwetgeving zich op: MDR, AI Act, EHDS, NIS2, AVG en de NEN 7510 stellen steeds strengere eisen aan databescherming, ketenbeveiliging en transparantie. Achter al die wetten zit één gemeenschappelijk thema: regie houden. Over je data, je (AI)-systemen en je leveranciers.
Waarom wil je als zorgorganisatie soeverein zijn?
1. Patiëntveiligheid en continuïteit van zorg
Wat gebeurt er als je EPD-leverancier wegvalt, een cloudverbinding wordt onderbroken, of een fabrikant van medische apparatuur stopt met support? Hoe afhankelijker je bent van één partij, hoe groter het risico voor je primaire proces. NIS2 verplicht je inmiddels expliciet om dit soort supply chain-risico's actief te beheersen. In de praktijk betekent dit dat je je kritieke leveranciers structureel beoordeelt op betrouwbaarheid en beveiligingsniveau, contractuele afspraken maakt over kwetsbaarheden, incidenten en exit, en op organisatieniveau bepaalt welke afhankelijkheden acceptabel zijn en welke je actief moet afbouwen of mitigeren.
2. Bescherming van patiëntdata onder strenge wetgeving
Je verwerkt bijzondere persoonsgegevens. De zwaarste categorie onder de AVG. Buitenlandse wetgeving zoals de CLOUD Act kan toegang geven tot data bij Amerikaanse leveranciers, óók als die fysiek in een Europees datacenter staat. Zoals je waarschijnlijk al bedacht hebt wringt dat met je medisch beroepsgeheim én met de strikte doorgifte-eisen van de AVG.
3. Strategische wendbaarheid
Geopolitieke spanningen, sancties of een eenzijdige prijswijziging van een dominante leverancier kunnen je organisatie raken. Soevereiniteit betekent: keuzevrijheid behouden om te kunnen schakelen.
4. Vertrouwen van patiënten en medewerkers
Patiënten verwachten dat hun data veilig is. Medewerkers willen werken met systemen die ze begrijpen en vertrouwen. Daarmee raakt soevereiniteit ook direct aan je geloofwaardigheid als zorgorganisatie.
Data data data
In de praktijk roept de omgang met medische data direct 3 vragen op die met soevereiniteit te maken hebben. Allereerst: waar staat de data? Fysieke locatie is belangrijk, maar niet voldoende. De vraag is óók onder welke jurisdictie de leverancier valt. Daarnaast: wie heeft toegang? Denk niet alleen aan jezelf, maar ook aan beheerders, sub-verwerkers en de rest van de keten.
De EHDS voegt hier een laag aan toe: patiënten krijgen het recht hun gezondheidsdata elektronisch in te zien, te delen en over te dragen. Daardoor moeten EPD-leveranciers interoperabel werken, wat het overstappen naar een andere partij realistischer maakt. Het medisch beroepsgeheim (Wgbo) en de NEN 7510 komen hier samen: je moet aantoonbaar kunnen waarborgen dat patiëntdata vertrouwelijk blijft, ook in de keten. Een leverancier die onder buitenlands recht gedwongen kan worden data af te geven, past daar niet zomaar bij.
Soevereiniteit als onderdeel van je bestaande digitale strategie
Je hoeft geen nieuwe strategie te starten. Soevereiniteit bouw je in op wat je toch al doet: EPD-vernieuwing, cloudmigratie, AI-pilots, regionale gegevensuitwisseling en NIS2-implementatie.
De AVG vraagt om bewuste keuzes over grondslag, doelbinding en doorgifte. De NIS2 verplicht je tot supply chain-risicomanagement, waarmee je grip krijgt op je leveranciersketen. De MDR stelt continuïteits- en veiligheidseisen aan medische software. De AI Act vraagt transparantie, logging en menselijke tussenkomst. Dat geeft je grip op AI-modellen en hun trainingsdata. De EHDS dwingt EPD-leveranciers tot interoperabiliteit. En bij onderzoeksdata en secundair gebruik anticipeer je op de EHDS-route via nationale health data access bodies. Tot slot vraagt de NEN 7510 al om een gedegen beoordeling van leveranciers. Een toetsing die je goed kunt combineren met soevereiniteitscriteria, zodat je beide vraagstukken in één samenhangend proces afhandelt.
Wat kun je als zorgbestuurder doen?
Stap 1: Breng je afhankelijkheden in kaart
Je kunt pas sturen op soevereiniteit als je weet waar je afhankelijkheden zitten. Begin met een overzicht van je kritieke systemen (EPD, beeldvorming, lab, medicatie, communicatie) en identificeer per leverancier het moederbedrijf en de toepasselijke jurisdictie. Vergeet daarbij niet de medische apparatuur met cloudkoppeling, de AI-toepassingen (met hun trainings- en hostinglocatie) en de regionale samenwerkingen die je hebt opgetuigd. Beoordeel per onderdeel hoe kritiek het is en hoe groot het soevereiniteitsrisico.
Stap 2: Toets je leveranciers langs vijf dimensies
Voor een gestructureerde beoordeling kun je gebruikmaken van het Toetsingsinstrument Soevereiniteit Clouddienstenvan DICTU, dat ook binnen de Rijksoverheid wordt gehanteerd. Dit instrument kijkt langs vijf dimensies: juridisch, data & AI, technologie, operationeel en mens. Door je leveranciers langs deze dimensies te beoordelen, krijg je een onderbouwd risicobeeld.
Stap 3: Beoordeel je bestaande contracten
De grootste praktische winst zit in je contracten. Bekijk of exit-bepalingen werkbaar en getest zijn, hoe auditrechten en transparantie over sub-verwerkers zijn vastgelegd, en hoe sleutelbeheer is geregeld. Kijk ook naar continuïteitsgaranties bij geopolitieke verstoringen en of verwerkersovereenkomsten voldoen aan de doorgifte-eisen van de AVG. Veel zorgcontracten zijn jaren geleden gesloten, vóór de huidige juridische en geopolitieke context. Een update is meestal hard nodig.
Stap 4: Stel soevereiniteitseisen in nieuwe aanbestedingen of inkooptrajecten
Bij elke nieuwe aanbesteding of inkooptraject kun je functionele soevereiniteitseisen opnemen: data residency en EU-support als harde eis, open standaarden, een werkbare exitstrategie verplicht in het contract, transparantie over sub-verwerkers en hun jurisdictie en aansluiting op de interoperabiliteitseisen van de EHDS. Zo voorkom je dat je over vijf jaar opnieuw vastzit aan een leverancier waar je niet meer onderuit komt.
Stap 5: Beleg het bestuurlijk
Soevereiniteit is geen IT-feestje. Maak het onderdeel van je risicomanagementcyclus en beleg duidelijke rollen. Sluit zoveel mogelijk aan bij je bestaande trajecten, zodat je geen dubbel werk doet.
Waar wij je bij kunnen helpen
Wij helpen zorgorganisaties om soevereiniteit praktisch in te bouwen op hun bestaande digitale strategie. We kunnen je helpen bij het in kaart brengen van je grootste risico's en afhankelijkheden, review van contracten en ondersteuning bij inkoop. We bieden een geïntegreerde compliance-aanpak waarin MDR, AI Act, EHDS, NIS2 en AVG samenkomen in één traject en breiden je bestaande NEN 7510-audit uit met een soevereiniteitslens.
Voor organisaties die deze vraagstukken zelf scherper willen verkennen, bieden we het AI Pro Pack aan. Onderdeel daarvan is een soevereiniteitsassistent. Een laagdrempelige manier om soevereiniteit op de agenda te krijgen. Start nu 14 dagen gratis!
