Waarom datagedreven zorg valt of staat met digitaal vaardige bestuurders

AI voor Nederlandse Zorg: Innovatie in de GezondheidszorgBy 3L3C

Datagedreven zorg en AI vallen of staan met digitaal vaardige bestuurders. Zonder stevig databeleid en governance wordt de hele zorgorganisatie kwetsbaar.

AI in de zorgdataveiligheidzorgbestuurinformatiebeveiligingAVGzorginnovatieAI governance
Share:

Waarom datagedreven zorg valt of staat met digitaal vaardige bestuurders

Bij de datadiefstal bij Clinical Diagnostics zijn gegevens van honderdduizenden Nederlanders buitgemaakt. Niet alleen namen en adressen, maar ook uiterst gevoelige medische data. Het is precies het scenario waar securityspecialisten al jaren voor waarschuwen – en waarvan veel bestuurders stiekem hoopten dat het hen niet zou overkomen.

Hier’s the thing about dataveiligheid in de zorg: dit is geen IT-thema meer. Het is een bestuursvraagstuk. Zeker nu AI-systemen, dataplatforms en slimme diagnosetools hun weg vinden naar vrijwel elk ziekenhuis en elke zorgorganisatie.

In deze blog – onderdeel van de serie “AI voor Nederlandse Zorg: Innovatie in de Gezondheidszorg” – pak ik één scherpe stelling van Monique Verdier (vicevoorzitter Autoriteit Persoonsgegevens, voormalig zorgbestuurder) als rode draad:

“Als het bestuur het niet snapt, wordt het hele systeem kwetsbaar.”

En ik ga een stap verder: als bestuurders AI, data en privacy níet snappen, komt niet alleen de continuïteit van de organisatie in gevaar, maar ook het vertrouwen in AI in de zorg als geheel.

We bekijken:

  • waarom bestuurders nu onmisbaar zijn in dataveiligheid én AI-beleid;
  • welke concrete keuzes je vandaag moet maken;
  • hoe je privacy, AI en passende zorg slim combineert;
  • en hoe je van ‘risico’ naar ‘voorsprong’ gaat.

1. Datadiefstal als wake-up call voor AI in de zorg

Elke grote datalek in de zorg laat hetzelfde patroon zien: achteraf bleek dat de techniek zelden het enige probleem was. Governance, aandacht, cultuur – daar gaat het mis.

De zaak Clinical Diagnostics past precies in dat patroon. Zorgorganisaties vertrouwden een externe partij hun labdata toe. Toen daar een datadiefstal plaatsvond, stonden ziekenhuizen, huisartsen en verpleeghuizen ineens met lege handen richting patiënten: “Uw gegevens liggen op straat, maar we weten nog niet precies wat er is gebeurd.”

Waarom raakt dit AI en datagedreven zorg zo hard?

AI in de zorg draait op drie pijlers:

  • grote hoeveelheden betrouwbare data;
  • vertrouwen van patiënten en professionals;
  • juridisch en ethisch houdbare kaders (AVG, MDR, AI Act).

Een groot datalek:

  • ondermijnt direct het vertrouwen van patiënten in digitale zorg en AI;
  • maakt organisaties extreem voorzichtig of zelfs angstig met datadeling;
  • trekt de aandacht van IGJ en AP, met extra druk en controles als gevolg.

De realiteit: zonder stevig databeleid en goed bestuur krijgen AI-projecten óf geen toestemming, óf ze stranden in juridische en security-discussies. Niet omdat AI niet werkt, maar omdat de basis niet op orde is.

2. Waarom bestuurders zélf digitaal en datawijs moeten zijn

Verdier heeft gelijk: als de raad van bestuur en raad van toezicht het niet snappen, wordt alles eronder kwetsbaar. En ‘snappen’ betekent hier meer dan kunnen herhalen dat “AVG belangrijk is”.

Wat moet een zorgbestuurder anno 2025 minimaal begrijpen?

Een bestuurder hoeft geen coder te zijn, maar wél:

  1. Data als strategisch kapitaal

    • Welke data hebben we?
    • Hoe betrouwbaar zijn die?
    • Met wie delen we ze, onder welke voorwaarden?
    • Hoe voegen AI-toepassingen hier waarde aan toe of juist niet?

  2. Risicobeeld van ketens en leveranciers

    • Welke cruciale processen hangen aan externe partijen (EPD, lab, radiologie, AI-diagnostiek, planningstools)?
    • Hoe is daar security en privacy geregeld?
    • Wie is verwerkingsverantwoordelijke, wie verwerker, en wat betekent dat concreet bij een incident?

  3. Juridisch kader rond data & AI

    • Basis AVG (doelbinding, dataminimalisatie, DPIA, verwerkersovereenkomst).
    • Medische hulpmiddelenregelgeving voor AI (MDR).
    • Komende Europese AI Act: hoog-risico AI-systemen in de zorg.

  4. Impact van een datalek op zorgprocessen én reputatie

    • Continuïteit: wat als cruciale systemen dagen uitliggen?
    • Vertrouwen: hoe reageren patiënten als hun psychische aandoening, hiv-status of genetische afwijking op straat ligt?
    • Financiën: herstelkosten, boetes, juridische claims, productiestilval.

Bestuurders die dit niet willen of kunnen begrijpen, laten zich vaak sussen door rapportages in kleurcodes. Groen vinkje bij “informatiebeveiliging”, dus we zitten goed. Tot er iets misgaat.

3. Van ‘ICT-dossier’ naar integraal bestuursdossier

In veel organisaties bungelt informatiebeveiliging nog steeds onder ICT of facilitair. AI-projecten vallen soms onder innovatie, soms onder medisch specialistische commissies. Alles netjes in eigen kokers – precies wat je níet wilt.

Een volwassen zorgorganisatie doet drie dingen anders:

3.1. Informatiebeveiliging en AI als vast agendapunt bestuurskamer

Niet één keer per jaar, maar structureel:

  • kwartaalrapportages over datalekken, bijna-incidenten en verbeteracties;
  • overzicht van lopende en geplande AI-toepassingen;
  • status van DPIA’s en risicoanalyses;
  • escalatieregels: wanneer moet de raad van bestuur zelf besluiten?

En dan geen drie A4’tjes vol jargon, maar een helder verhaal in gewone taal: wat betekent dit voor patiëntveiligheid, continuïteit en reputatie?

3.2. Heldere governance voor AI in de zorgorganisatie

Een goed AI-governancemodel in de zorg heeft minimaal:

  • een multidisciplinair AI- of datacomité (zorgprofessionals, IT, jurist, FG, security officer, ethicus, soms patiëntvertegenwoordiger);
  • duidelijke decisielijnen: wie mag welk AI-systeem goedkeuren en onder welke voorwaarden?;
  • afspraken over monitoring: hoe volg je bias, performance, incidenten?;
  • een stopknop: wanneer gaat een AI-systeem (tijdelijk) uit de lucht?

Zonder dit soort structuur krijg je een wildgroei van losse AI-pilotjes, vaak gestart door enthousiaste afdelingen, zonder heldere kaders. Dat is leuk voor een congrespresentatie, maar levensgevaarlijk als zorgsysteem.

3.3. Leveranciers niet meer zien als ‘black box’

Bij Clinical Diagnostics zagen we weer hoe afhankelijk zorgorganisaties zijn van externe partijen. Voor AI is dat nóg sterker: veel modellen draaien in de cloud, bij internationale techbedrijven.

Als bestuurder zou je minimaal eisen:

  • inzage in security- en privacymaatregelen van leveranciers;
  • een verwerkersovereenkomst die écht aansluit bij jouw risico’s;
  • afspraken over datalokalisatie (blijft de data in de EU?);
  • exit-scenario’s: wat als je wilt stoppen of de leverancier uitvalt?

“Wij regelen dat in de SLA” is geen geruststellende zin, maar een alarmsignaal als je zelf niet begrijpt wat er precies geregeld is.

4. Hoe combineer je AI-innovatie met strenge privacy-eisen?

Veel bestuurders voelen een spanning: aan de ene kant druk op innovatie, aan de andere kant angst voor IGJ en AP. Het gevolg: óf verlammen, óf roekeloos versnellen.

De betere route: veilig versnellen. Dat kan, maar vraagt discipline.

4.1. Begin met een scherp zorginhoudelijk probleem

AI in de Nederlandse zorg slaagt alleen als het aansluit op echte knelpunten:

  • triage op de SEH;
  • vroegsignalering van verslechtering op een afdeling;
  • capaciteitsplanning op OK of IC;
  • snellere en betere beeldvorming in de radiologie.

Start nooit met: “We willen iets met AI.” Begin met: “We hebben dit concrete zorgprobleem; kan AI hier aantoonbaar beter helpen dan bestaande methoden?”

4.2. Privacy by design, niet als laatste horde

Bij elk AI-project zou vanaf dag 1 aan tafel moeten zitten:

  • een functionaris gegevensbescherming (FG) of privacy officer;
  • een security officer;
  • iemand vanuit de medisch inhoudelijke hoek;
  • IT/architectuur.

Dan kun je:

  • direct bepalen welke data écht nodig zijn (dataminimalisatie);
  • pseudonimiseren of anonimiseren waar mogelijk;
  • DPIA uitvoeren vóórdat er data gaan stromen;
  • kaders vastleggen voor bewaartermijnen, toegang, logging.

Organisaties die dit goed doen, merken dat de doorlooptijd van AI-projecten juist korter wordt. Minder gedoe achteraf, minder herontwerp.

4.3. Patiënten betrekken verhoogt zowel kwaliteit als legitimiteit

AI en datadeling schuiven aan bij het maatschappelijk debat: wat vinden Nederlanders acceptabel? In de praktijk helpt het enorm om patiëntenraden vroegtijdig te betrekken.

Concreet:

  • leg uit welke data je wilt gebruiken en waarom;
  • wees eerlijk over risico’s én maatregelen;
  • bespreek scenario’s: wat als er tóch een datalek optreedt?

Organisaties die hier transparant over zijn, bouwen vertrouwen op. Dat vertrouwen is goud waard als er ooit iets misgaat.

5. Van kwetsbaar systeem naar strategisch voordeel

De datadiefstal bij Clinical Diagnostics laat vooral zien hoe kwetsbaar versnipperde digitale zorgketens zijn. Maar dezelfde digitalisering en AI bieden óók een kans om het anders te doen.

5.1. Security als randvoorwaarde voor passende zorg en AI

Passende zorg, zoals we die in Nederland nastreven, kan niet zonder goede data en slimme analyse. Denk aan:

  • voorspellende modellen voor heropnames;
  • gepersonaliseerde behandeltrajecten;
  • slimmere inzet van schaarse professionals;
  • AI-ondersteuning bij diagnostiek en triage.

Dit alles werkt alleen als:

  • data betrouwbaar en compleet zijn;
  • patiënten durven in te stemmen met gebruik;
  • de organisatie aantoonbaar zorgvuldig met privacy omgaat.

Dus: informatiebeveiliging en privacy zijn geen rem op innovatie, maar de voorwaarde om op schaal AI in de zorg te gebruiken.

5.2. Wat kun je als bestuurder of MT-lid morgen doen?

Een paar heel concrete stappen:

  1. Vraag om een eerlijke nulmeting
    Laat je CISO / FG / IT en zorgprofessionals in gewone taal uitleggen waar de grootste kwetsbaarheden zitten – technisch, organisatorisch, in contracten.

  2. Maak AI en dataveiligheid een vast onderdeel van de strategische agenda
    Niet als subpuntje onder ICT, maar gekoppeld aan patiëntveiligheid, kwaliteit en bedrijfsvoering.

  3. Investeer gericht in digitale geletterdheid van bestuur en toezicht
    Denk aan: gerichte trainingen, scenario-oefeningen, een ‘digitale coach’ in de raad van bestuur, of het aantrekken van een raad-van-toezichtlid met stevige digitale en AI-achtergrond.

  4. Stel eisen aan AI-projecten
    Geen pilot zonder:

    • duidelijk zorgprobleem;
    • risicoanalyse (incl. privacy en security);
    • afspraken over monitoring;
    • helder eigenaarschap.

  5. Zoek actieve samenwerking
    Met andere zorgorganisaties, koepels en kennisinstellingen om te leren van incidenten, standaarden te ontwikkelen en gezamenlijk eisen aan leveranciers te stellen.

Afsluiting: AI in de zorg vraagt bestuurders met ruggengraat

AI in de Nederlandse zorg staat of valt niet met de slimheid van algoritmen, maar met de volwassenheid van bestuur en governance. De uitspraak van Monique Verdier raakt precies de kern:

Als de top het niet begrijpt – of er niet voor durft te gaan staan – wordt het hele systeem kwetsbaar.

Voor zorgorganisaties die data en AI serieus nemen, ligt er juist nu een kans: onderscheid je als veilige, transparante en datagedreven zorgaanbieder. Dat trekt professionals aan, geeft vertrouwen bij patiënten en maakt je aantrekkelijk voor samenwerkingspartners.

De vraag is dus niet óf je als bestuurder werk moet maken van dataveiligheid en AI-governance, maar hoe snel je dat doet.

Wil je je organisatie klaarzetten voor verantwoorde AI in de zorg, dan begint dat bij één simpele keuze: neem data, security en AI niet als IT-dossier, maar als jouw eigen bestuursportefeuille.