"Alles in de cloud, tenzij..." is de afgelopen jaren bijna een dogma geworden in de zorgsector. SaaS werd synoniem aan modern, schaalbaar en efficiënt. Cloud technologie heeft de zorg veel gebracht. Applicaties zijn sneller beschikbaar, beheer wordt eenvoudiger en organisaties kunnen gemakkelijker opschalen.
Toch laten recente ransomware-aanvallen een ongemakkelijke realiteit zien: hoe meer organisaties afhankelijk zijn van dezelfde platformen, leveranciers en verbindingen, hoe groter de impact wanneer er iets misgaat. Zijn continuïteit en veiligheid nog te garanderen in een cloud-first omgeving, of moet het credo zijn: "alles niet in de cloud, tenzij?"
Eén aanval, tientallen ziekenhuizen plat
Grote leveranciers van zorgsoftware (denk aan elektronische patiëntdossiers, planningssystemen of laboratoriumkoppelingen) zijn een aantrekkelijk doelwit. Maar wanneer een centrale leverancier, cloudplatform of kritische ketenpartner wordt geraakt ontstaat een kettingreactie die doorwerkt op de hele zorg:
- Patiëntportalen worden onbereikbaar;
- Koppelingen tussen systemen vallen weg;
- Afspraken of operaties kunnen niet worden ingepland;
- Zorgverleners verliezen toegang tot essentiële informatie.
In dergelijke situaties vallen organisaties vaak terug op noodprocedures, handmatige registraties en papieren processen. Dat houdt de zorg draaiende, maar kan betekenen dat regio's soms dagenlang zonder volledig functionerende systemen moeten.
Concentratie als structureel risico
Veel zorgorganisaties gebruiken dezelfde SaaS-platformen, cloudomgevingen en ketenpartners. Dat levert standaardisatie en efficiëntie op, maar creëert ook concentratierisico. In de energiesector, drinkwatervoorziening of het betalingsverkeer zou zo'n single point of failure nooit zonder verplicht uitwijkscenario geaccepteerd worden. In de zorg gebeurt het wel. Als een partij uitvalt, kunnen tientallen of zelfs honderden organisaties tegelijk geraakt worden. Dat risico wordt vaak pas zichtbaar op het moment dat herstel nodig is.
Het probleem zit niet in de cloud zelf. Grote cloud- en SaaS-leveranciers investeren zwaar in beveiliging en beschikbaarheid. Het risico ontstaat wanneer kritische processen volledig leunen op één architectuur zonder werkende alternatieven.
“Ik zie dat ‘alles in de cloud’ niet alleen schaal en efficiëntie brengt, maar ook kwetsbaarheden. De onderliggende infrastructuur – connectiviteit, datacenters, redundantie en fallback – bepaalt of zorg veilig kan doorgaan als het misgaat. Daarom: cloud waar het kan, robuuste, onafhankelijke infrastructuur waar het moet. Maar de echte vraag is: kunnen we zonder de cloud nog zorg blijven leveren als het nodig is?”
Abdelhati Dada - Accountmanager Zorg Eurofiber
100% beschikbaarheid is een illusie
De discussie cloud versus on-premises wordt te vaak ideologisch gevoerd, als een principekeuze tussen "vooruitstrevend" en "ouderwets". In werkelijkheid is het simpelweg een risico-afweging. Geen enkele infrastructuur is volledig bestand tegen verstoringen. Digitale weerbaarheid begint daarom bij het ontwerpen op uitval in plaats van op perfecte uptime.
4 scenario's waar je als zorgorganisatie een werkend antwoord voor moet hebben:
- Wat gebeurt er als systemen worden geblokkeerd door ransomware?
- Wat gebeurt er als een datacenter uitvalt?
- Wat gebeurt er als een netwerkverbinding wordt onderbroken?
- Wat gebeurt er als zowel de primaire stroomvoorziening als de noodvoorziening faalt door bijvoorbeeld brand?
Voor elk scenario geldt dezelfde kernvraag: waar staat je data, en kun je er nog bij? Draai je active-active of active-standby? Kun je nog (een deel van je) werk doen als de verbinding naar buiten wegvalt?
Trek er letterlijk een kabel uit. Sluit een systeem af. Kijk wat er werkelijk gebeurt, niet wat het draaiboek zegt dat er zou moeten gebeuren. Doe dat minimaal jaarlijks, en evalueer de uitkomst net zo serieus als een brandoefening.
Denk niet alleen in preventie, maar ook in herstel en alternatieven
Weerbaarheid gaat niet alleen over preventie, maar vooral over herstel en alternatieven. Dat betekent in de praktijk:
- Kritische zorgprocessen mogen niet volledig afhankelijk zijn van één cloud- of SaaS-leverancier
- Er moet altijd een werkende fallback zijn inclusief escalatiepaden en hersteltijden
- Afhankelijkheden tussen systemen moeten expliciet in kaart zijn gebracht
- Noodprocessen moeten uitvoerbaar zijn onder realistische druk
Kies bewust: lokaal waar het moet, cloud waar het kan
Houd kritische processen lokaal of sterk geïsoleerd, met een werkend offline-alternatief.
Zet cloud en SaaS in waar het logisch, beheersbaar én aantoonbaar redundant is.
Bouw architecturen die uitgaan van uitval, niet van perfecte beschikbaarheid.
Test fail-over scenario's in de praktijk, niet alleen op papier
Pas de cloud-policy aan zodat deze scenario's er expliciet in zijn opgenomen, inclusief verantwoordelijkheden, escalatiepaden en hersteltijden.
Geef IT het mandaat om de afweging te maken, niet alleen de taak om de gevolgen op te vangen
Wie binnen de organisatie bepaalt of een systeem wel of niet naar de cloud mag? In de praktijk landt die vraag vaak bij IT. Zij zien de risico's het eerst, zij bouwen de fail-overs, en zij worden gebeld als het misgaat.
Maar de afweging tussen efficiëntie en weerbaarheid is een risicobeslissing, geen technische keuze. Een technisch team kan een uitwijkscenario bouwen. Het kan niet alleen besluiten hoeveel downtime acceptabel is voordat patiëntenzorg in het geding komt.
IT heeft een mandaat nodig om dat gesprek te voeren, niet alleen de taak om de gevolgen op te vangen.
"Alles niet in de cloud, tenzij?"
De kwetsbaarheden voor aanvallen in de zorgsector zijn geen pech of ongeluk. Ze zijn het resultaat van architectuurkeuzes waarbij efficiëntie en kostenbesparing zwaarder wogen dan weerbaarheid.
Alles kan in de cloud. Maar een zorgorganisatie zou op elk moment moeten kunnen aantonen dat ze ook zonder kan, al is het maar voor de tijd die nodig is om het ergste op te vangen.
Het betere uitgangspunt voor zorginstellingen: “alles niet in de cloud, tenzij.”