{"id":13037,"date":"2026-05-18T11:32:33","date_gmt":"2026-05-18T09:32:33","guid":{"rendered":"https:\/\/oosterwal.com\/ehr-systemen-digitale-soevereiniteit-en-cyberweerbaarheid-in-de-nederlandse-gezondheidszorg\/"},"modified":"2026-05-18T22:02:01","modified_gmt":"2026-05-18T20:02:01","slug":"ehr-systemen-digitale-soevereiniteit-en-cyberweerbaarheid-in-de-nederlandse-gezondheidszorg","status":"publish","type":"post","link":"https:\/\/oosterwal.com\/nl\/ehr-systemen-digitale-soevereiniteit-en-cyberweerbaarheid-in-de-nederlandse-gezondheidszorg\/","title":{"rendered":"EPD: Elektronisch Pati\u00ebntendossier, digitale soevereiniteit en cyberweerbaarheid in de Nederlandse gezondheidszorg"},"content":{"rendered":"[vc_row type=”full_width_background” full_screen_row_position=”middle” column_margin=”default” column_direction=”default” column_direction_tablet=”default” column_direction_phone=”default” bg_color=”#ffffff” scene_position=”center” top_padding=”8%” bottom_padding=”7%” text_color=”dark” text_align=”left” row_border_radius=”none” row_border_radius_applies=”bg” row_position_desktop=”default” row_position_tablet=”inherit” row_position_phone=”inherit” overflow=”visible” id=”about-text” overlay_strength=”1″ gradient_direction=”left_to_right” shape_divider_position=”bottom” bg_image_animation=”none” shape_type=””][vc_column column_padding=”no-extra-padding” column_padding_tablet=”inherit” column_padding_phone=”inherit” column_padding_position=”all” flex_gap_desktop=”10px” column_element_direction_desktop=”default” column_element_spacing=”default” desktop_text_alignment=”default” tablet_text_alignment=”default” phone_text_alignment=”default” background_color_opacity=”1″ background_hover_color_opacity=”1″ column_backdrop_filter=”none” column_shadow=”none” column_border_radius=”none” column_link_target=”_self” column_position=”default” gradient_direction=”left_to_right” overlay_strength=”0.3″ width=”1\/1″ tablet_width_inherit=”default” animation_type=”default” enable_animation=”true” animation=”fade-in-from-bottom” animation_easing=”default” bg_image_animation=”none” border_type=”simple” column_border_width=”none” column_border_style=”solid”][vc_column_text css_animation=”fadeIn” css=”” text_direction=”default”]\n

EPD: Elektronisch Pati\u00ebntendossier digitale soevereiniteit en cyberbestendigheid: Waarom de Nederlandse gezondheidszorg meer nodig heeft dan leveranciersvertrouwen<\/b><\/span><\/h1>\n[\/vc_column_text][vc_row_inner column_margin=”default” column_direction=”default” column_direction_tablet=”default” column_direction_phone=”default” text_align=”left” row_position=”default” row_position_tablet=”inherit” row_position_phone=”inherit” overflow=”visible” pointer_events=”all”][vc_column_inner column_padding=”padding-3-percent” column_padding_tablet=”inherit” column_padding_phone=”inherit” column_padding_position=”top-bottom” flex_gap_desktop=”10px” column_element_direction_desktop=”default” column_element_spacing=”default” desktop_text_alignment=”default” tablet_text_alignment=”default” phone_text_alignment=”default” background_color_opacity=”1″ background_hover_color_opacity=”1″ column_backdrop_filter=”none” column_shadow=”none” column_border_radius=”none” column_link_target=”_self” overflow=”visible” gradient_direction=”left_to_right” overlay_strength=”0.3″ width=”1\/2″ tablet_width_inherit=”default” animation_type=”default” enable_animation=”true” animation=”fade-in-from-bottom” animation_easing=”default” bg_image_animation=”none” border_type=”simple” column_border_width=”none” column_border_style=”solid”][vc_column_text css=”.vc_custom_1779097187167{padding-right: 10% !important;}” text_direction=”default”]\n

<\/h1>\n

Door het recente cyberincident met ChipSoft staat een gevoelige vraag weer op de agenda van de raad van bestuur van Nederlandse zorgorganisaties: wie heeft er nu echt controle over pati\u00ebntgegevens?<\/p>\n

Elektronische pati\u00ebntendossiers, of EHR-systemen, behoren tot de meest cruciale digitale activa in de gezondheidszorg. Ze bevatten zeer gevoelige persoonlijke en medische informatie, ondersteunen de dagelijkse klinische workflows en verbinden ziekenhuizen, huisartsen, laboratoria, apotheken en andere zorgverleners. Wanneer dergelijke systemen, platforms of integraties verstoord raken, is de impact niet alleen technisch. Het heeft directe gevolgen voor de continu\u00efteit van de zorg, het vertrouwen van de pati\u00ebnt, de privacyverplichtingen en de operationele veerkracht. <\/p>\n

Voor mij is dit geen abstract onderwerp.<\/p>\n

Mijn vader had zijn eigen medische praktijk. Na verloop van tijd groeide die praktijk uit tot een ziekenhuis. Van jongs af aan zag ik hoeveel aandacht er uitging naar het verbeteren van de zorg, het vergroten van de veiligheid en het zorgen dat pati\u00ebnten konden vertrouwen op de organisatie om hen heen. Die mindset is me altijd bijgebleven: de zorg is nooit af. Het is een continue inspanning om kwaliteit, veiligheid en vertrouwen te verbeteren. <\/p>\n

Vandaag de dag zetten mijn broers dat werk voort. Ze zijn betrokken bij dat ziekenhuis en nog zes andere ziekenhuizen. Als familie hebben we het bijna dagelijks over operaties, systemen, risico’s en verbeteringen in de gezondheidszorg. En omdat zij ook ChipSoft gebruiken, was het recente incident niet zomaar een nieuwtje. Het werd een zeer re\u00eble herinnering aan hoe afhankelijk de gezondheidszorg is geworden van een klein aantal kritische digitale systemen. <\/p>\n

\n

In Nederland wordt deze discussie steeds meer gekoppeld aan een breder strategisch thema: digitale soevereiniteit.<\/p>\n<\/blockquote>\n

De soevereiniteitskwestie in de Nederlandse gezondheidszorg<\/b><\/span><\/h2>\n

De Nederlandse gezondheidszorg is sterk afhankelijk van een beperkt aantal EPD-leveranciers. ChipSoft, met zijn HiX-platform, en Epic zijn dominante spelers in de ziekenhuissector. Deze concentratie zorgt voor efficiency- en standaardisatievoordelen, maar introduceert ook systeemrisico. Als een dominante leverancier wordt verstoord, kunnen veel zorgorganisaties daar tegelijkertijd de gevolgen van ondervinden. <\/p>\n

Dat is precies waarom digitale soevereiniteit niet langer een theoretisch beleidsdebat is. Het gaat om controle over kritieke gegevens, controle over operationele continu\u00efteit en controle over de technologiestapel die vitale openbare diensten ondersteunt. <\/p>\n

De kwestie wordt nog complexer wanneer gegevens uit de gezondheidszorg worden verwerkt, opgeslagen of ondersteund door grote niet-Europese cloudaanbieders. Het College Bescherming Persoonsgegevens heeft bestuurders in de gezondheidszorg gewaarschuwd dat het verwerken van gezondheidsgegevens in de cloud niet betekent dat de verantwoordelijkheid wordt overgedragen aan de cloudaanbieder. De zorgorganisatie blijft verantwoordelijk voor de rechtmatige, veilige en gecontroleerde verwerking van persoonlijke gezondheidsgegevens. De AP benadrukt ook het belang van risicobeoordelingen, leverancierscontroles en sterk bestuur rond het gebruik van de cloud in de gezondheidszorg. <\/p>\n

\n

Dit is de ongemakkelijke waarheid: het uitbesteden van technologie betekent niet het uitbesteden van verantwoordelijkheid.<\/p>\n<\/blockquote>\n

Het ChipSoft-incident: een waarschuwing, geen oordeel<\/b><\/span><\/h2>\n

In april 2026 bevestigde ChipSoft dat het was getroffen door een ransomware-aanval. Uit voorzorg werden verbindingen met verschillende diensten, waaronder Zorgportaal, HiX Mobile en Zorgplatform, uitgeschakeld. ChipSoft verklaarde ook samen te werken met Z-CERT, het Nederlandse cybersecurity expertisecentrum voor de zorg. <\/p>\n

Verschillende bronnen meldden dat het incident gevolgen had voor zorgorganisaties die niet tot \u00e9\u00e9n zorgverlener behoorden. LHV meldde dat forensisch onderzoek uitwees dat persoonlijke gegevens van pati\u00ebnten, waaronder medische gegevens, waren gestolen van onder andere huisartsen. Andere bronnen meldden dat meerdere ziekenhuizen en zorgorganisaties voorzorgsmaatregelen hebben genomen, waaronder het offline halen van portals. <\/p>\n

Het is belangrijk om hier precies te zijn. Een cyberincident bewijst niet automatisch dat een leverancier niet heeft voldaan aan ISO-normen, NEN 7510, GDPR, NIS2-gerelateerde verplichtingen of andere cyberbeveiligingseisen. Zelfs goed gecontroleerde organisaties kunnen worden aangevallen. <\/p>\n

Maar het roept wel legitieme bestuurlijke vragen op.<\/strong><\/p>\n