Opinie | Na ChipSoft: zorgbestuurders, neem nu zelf de regie

De ransomware-aanval op ChipSoft heeft binnen enkele weken laten zien wat tien jaar bestuurlijke waarschuwingen niet voor elkaar kregen: dat de Nederlandse zorg digitaal extreem kwetsbaar is geworden, en dat zorgbestuurders die kwetsbaarheid grotendeels zelf hebben laten ontstaan.

Geert_Sulter (Zorgvisie) — Geert Sulter. Foto: eigen beeld

Ruim driekwart van de ziekenhuizen draait op één leverancier. Zesenzestig datalekmeldingen bij de Autoriteit Persoonsgegevens. Patiëntportalen wekenlang offline. En in alle ziekenhuizen weer dezelfde reflex: workarounds, crisisteams, een bemoedigende interne mail, en daarna terug naar de orde van de dag.

Dat is geen aanvaardbaar antwoord meer. De volgende aanval komt, en ditmaal is het bestuurlijk niet meer uit te leggen dat we dezelfde concentratie en dezelfde gefragmenteerde uitwisseling tussen huisarts en ziekenhuis in stand hielden. Niet aan patiënten, niet aan medisch specialisten, niet aan de zorgverzekeraar, en zeker niet aan de toezichthouder.

De bestuurlijke realiteit die we te lang accepteerden

Drie ongemakkelijke feiten staan inmiddels vast. Eén: 70 procent leveranciersconcentratie in een vitale sector zou in geen enkele andere bedrijfstak worden geaccepteerd. Bij banken, energie of telecom zou de toezichthouder allang hebben ingegrepen. In de zorg hebben wij het laten gebeuren, contract na contract, omdat het migreren te duur en te risicovol leek. Twee: de overdracht tussen huisarts en specialist, het hart van het Nederlandse zorgmodel, hangt aan een patchwork van regionale uitwisselplatforms dat per provincie anders functioneert. Drie: bij uitval van de digitale infrastructuur valt de continuïteit van zorg terug op de improvisatie van zorgverleners, niet op de structuren die wij als bestuurders hadden moeten organiseren. Dat is een onbedoelde, maar wel een feitelijke afwenteling.

Wachten op VWS is geen strategie

De staatssecretaris Digitalisering heeft digitale autonomie expliciet als opdracht gekregen. De Wet elektronische gegevensuitwisseling in de zorg ligt er. De European Health Data Space-verordening dwingt vroeg of laat tot interoperabiliteit. Maar de doorlooptijd van wetgeving is jaren, en de volgende hack wacht niet. Wie als bestuurder denkt dat het probleem zich oplost zodra Den Haag een nieuw kader presenteert, leest de geschiedenis van vijftien jaar landelijk EPD niet. Het initiatief moet nu uit de sector zelf komen, en dat betekent: uit de raden van bestuur.

Wat zorgbestuurders nu kunnen doen

Drie ingrepen liggen binnen ons eigen bereik, zonder dat we op nieuwe wetgeving hoeven te wachten. Eerst, en het meest urgent: maak van leveranciersrisico een staand agendapunt in elke rvb- en rvt-cyclus. Eis exit-scenario’s, continuïteitsplannen en aantoonbare oefening van uitval, niet als bijlage bij het servicecontract maar als onderdeel van het jaarverslag. Een ziekenhuis dat geen geloofwaardig antwoord heeft op de vraag ‘wat doen wij vier weken zonder HiX of Epic’ heeft een governance-probleem, geen IT-probleem.

Ten tweede: organiseer u collectief. NVZ, NFU, ActiZ en de koepels van zelfstandige klinieken hebben samen voldoende inkoopkracht om de huidige leveranciersmacht te kantelen. Eén gezamenlijk programma van eisen rond interoperabiliteit, exit-garanties en certificering levert binnen één aanbestedingscyclus meer op dan een decennium aan individuele onderhandelingen. Dezelfde collectieve beweging is nodig richting de eerstelijnskoepels: zonder afdwingbare interoperabiliteit tussen HIS en epd blijft de huisarts-specialist-overdracht het zwakke punt waar de volgende hack opnieuw zal toeslaan.

Ten derde: claim publieke regie waar zij thuishoort. Identiteit, toestemming, uitwisseling en logging zijn geen commerciële producten maar publieke voorzieningen, vergelijkbaar met drinkwater en elektriciteit. Spreek u publiekelijk uit voor Nederlands eigendom van deze kritieke lagen, voor een overheidsgeborgde persoonlijke gezondheidsomgeving waarin de patiënt zelf de sleutel draagt, en voor een wetgevingstraject dat dit jaar begint, niet in 2030. Een gezamenlijke brief van NVZ, NFU, LHV, NHG en de Patiëntenfederatie aan VWS is binnen een week op te stellen, en zou de bestuurlijke wending markeren die deze sector nodig heeft.

Het bestuurlijke moment is nu

Zorgbestuurders verwijzen graag naar de complexiteit van het ict-landschap, naar de afhankelijkheid van leveranciers en naar de trage besluitvorming bij VWS. Dat zijn beschrijvingen, geen excuses. De ChipSoft-hack heeft het bestuurlijke speelveld verschoven: wie nu niets doet, kiest er bewust voor om de volgende hack af te wachten met dezelfde infrastructuur, hetzelfde governance-vacuüm en dezelfde patiënten als slachtoffer.

Digitale weerbaarheid is in 2026 geen IT-portefeuille meer. Het is, net als financiële continuïteit en kwaliteit van zorg, een kerntaak van de raad van bestuur. Wie die taak nu invult, beschermt morgen zijn patiënten, zijn medewerkers en zijn instelling. Wie ermee wacht, beschermt vooral het gemak van vandaag.

Door Geert Sulter, neuroloog en medisch manager. Hij schrijft op persoonlijke titel.

Zorgvisie

Home

Vakinformatie

Events & Opleidingen

Vacatures

Partners

Artikel bewaren

Opinie | Na ChipSoft: zorgbestuurders, neem nu zelf de regie

De bestuurlijke realiteit die we te lang accepteerden

Wachten op VWS is geen strategie

Wat zorgbestuurders nu kunnen doen

Het bestuurlijke moment is nu

Geef uw reactie Annuleer reactie

Lees ook

Mirjam Sterk: ‘Zeggenschap is als koffie en koek’

AI-agents in de zorg brengen nieuwe kansen en risico’s

Duurzame netwerksamenwerking vraagt om meer dan geld en goede bedoelingen

Jong talent | De straat op voor passende zorg

Opinie | De eerste lijn kraakt, maar niet door gebrek aan goede wil

Contact

Adverteren

Privacy