2025 was het kantelpunt:

Het afgelopen jaar heeft één ding glashelder gemaakt: innovatie in de zorg draait niet langer alleen om technologie, maar om vertrouwen. In een wereld waarin digitale zorgtoepassingen, kunstmatige intelligentie en datadeling steeds meer het hart van de zorg vormen, is de vraag niet langer óf je data veilig beheert, maar hóe

TL:DR – In het kort

• 2025 liet met meerdere datalekken en juridische ontwikkelingen zien hoe kwetsbaar zorgdata is.
• De CLOUD Act en politieke druk vergroten het risico voor data die wordt opgeslagen bij buitenlandse cloudaanbieders.
• Nieuwe Europese regelgeving (NIS2, AI Act) verplicht zorginstellingen tot aantoonbare regie over data- en ketenbeveiliging.
• Een soevereine Nederlandse private cloud biedt de combinatie van compliance, veiligheid en innovatiekracht die de zorg nodig heeft.
• 2026 wordt het jaar van versnelling: van bewustwording naar actie.

In 2025 zagen we wereldwijd en nationaal een reeks gebeurtenissen die de kwetsbaarheid van zorgdata blootlegden. Grote datalekken, geopolitieke druk en nieuwe wetgeving maakten pijnlijk duidelijk dat organisaties alleen toekomstbestendig kunnen innoveren als ze hun data onder eigen rechtsbescherming houden. Voor de Nederlandse zorg betekent dit: de stap naar een private soevereine cloud is niet langer optioneel, maar noodzakelijk.

Jurisdictie boven locatie: grip op zorgdata is een voorwaarde geworden

In 2025 werd opnieuw duidelijk dat de fysieke opslagplaats van data niet automatisch bepaalt wie er toegang toe heeft. De juridische macht, oftewel jurisdictie, is doorslaggevend.

De Amerikaanse CLOUD Act bepaalt bijvoorbeeld dat Amerikaanse autoriteiten gegevens kunnen opeisen van Amerikaanse bedrijven, zelfs als die data fysiek in Nederland of elders in Europa wordt bewaard. Dat raakt direct aan de kern van zorgdata: gegevens die in Nederland thuishoren, kunnen onder buitenlandse wetgeving vallen. Microsoft bevestigde dit in juli 2025 tijdens een hoorzitting in de Franse Senaat.

De Algemene Rekenkamer waarschuwde begin 2025 dat de Nederlandse overheid zelf onvoldoende zicht heeft op haar Cloud afhankelijkheid. In het rapport Dutch Central Government in the Cloud concludeerde de Rekenkamer dat bij twee derde van de onderzochte diensten geen verplichte risicoanalyse was uitgevoerd. Daarmee is er te weinig zekerheid over digitale soevereiniteit en gegevensbescherming

Ook politiek is het onderwerp niet langer vrijblijvend. In juli 2025 publiceerde het ministerie van Digitale Zaken, samen met verschillende EU-lidstaten, het ‘Non-paper on Strengthening Cloud Sovereignty’. Daarin pleit Nederland voor meer Europese controle over cruciale infrastructuur, juist om publieke sectoren zoals de zorg minder afhankelijk te maken van niet-Europese cloudaanbieders

Voor zorgorganisaties is de boodschap helder: zolang data in handen is van partijen die onder buitenlandse jurisdictie vallen, blijft er een risico bestaan dat gevoelige patiëntinformatie buiten het bereik van Nederlandse en Europese privacywetgeving komt te liggen. Juridische regie is daarmee niet langer een formaliteit, maar een randvoorwaarde voor veilige en betrouwbare zorg.

Datalekken en cyberincidenten leggen structurele zwaktes bloot

Het afgelopen jaar liet opnieuw zien hoe kwetsbaar de zorgsector is.

In juli 2025 kwam aan het licht dat hackers waren binnengedrongen bij het laboratorium NMDL in Rijswijk, dat bevolkingsonderzoeken uitvoert voor Bevolkingsonderzoek Nederland. In eerste instantie ging het om de gegevens van 485.000 mensen, maar in september bleek dat bijna 941.000 Nederlanders waren getroffen. De gestolen data bevatte onder meer namen, adressen, geboortedata, burgerservicenummers en testresultaten

Dit datalek was geen op zichzelf staand incident. De Autoriteit Persoonsgegevens (AP) rapporteerde in juli 2025 dat de sector zorg en welzijn opnieuw bovenaan stond in het aantal gemelde datalekken: in 2024 ging het om 6.873 meldingen, aanzienlijk meer dan in andere sectoren. Uniserver analyseerden de cijfers, en ziet dat het een structureel probleem is.

Wat deze incidenten gemeen hebben, is het gebrek aan ketenregie. Vaak ligt de oorzaak niet binnen de muren van het ziekenhuis zelf, maar bij externe laboratoria, softwareleveranciers of dataverwerkers. De les is duidelijk: als zorgorganisatie kun je je verantwoordelijkheid niet uitbesteden. Alleen wanneer data binnen een eigen, soevereine infrastructuur wordt verwerkt, blijft de regie behouden.

Nieuwe wetgeving maakt actie onvermijdelijk

Naast incidenten neemt ook de druk van regelgeving toe.

In 2026 treedt de NIS2-richtlijn in Nederland in werking via de nieuwe Cyberbeveiligingswet. Deze wet legt strengere eisen op aan organisaties in vitale sectoren, waaronder de zorg. Denk aan verplichte risicobeoordelingen, ketenbeheer, incidentmelding en bestuurlijke aansprakelijkheid. Wie in 2025 nog niet begonnen is met de voorbereidingen, zal in 2026 onder tijdsdruk moeten handelen

Daarnaast lanceerde de Europese Commissie begin 2025 een actieplan voor cyberbeveiliging in de zorg, gericht op het verhogen van de digitale weerbaarheid van ziekenhuizen en zorginstellingen door middel van preventie, detectie, respons en herstel

Tegelijkertijd worden Europese wetten zoals de Cloud and AI Development Act voorbereid, die organisaties verplicht om de veiligheid en transparantie van hun AI- en cloudsystemen te kunnen aantonen

Samen zorgen deze ontwikkelingen ervoor dat digitale soevereiniteit niet alleen een wens is, maar een wettelijke noodzaak. Voor jouw zorgorganisatie betekent dit dat keuzes voor infrastructuur, leveranciers en governance direct effect hebben op compliance en bestuurlijke verantwoordelijkheid.

De markt beweegt richting soevereiniteit

De beweging naar soevereine oplossingen is niet beperkt tot overheden. Ook de markt maakt de omslag.

Volgens onderzoek van Information Services Group (ISG) geven steeds meer Nederlandse organisaties, waaronder zorginstellingen, de voorkeur aan cloudoplossingen waarbij gevoelige data binnen nationale grenzen blijft en onder Nederlands recht valt

Deze trend bevestigt dat soevereiniteit niet in tegenspraak is met innovatie. Integendeel: wie controle heeft over data, creëert ruimte voor verantwoorde digitale vooruitgang.

De rol van AI en data-integriteit in de zorg

De zorgsector staat aan de vooravond van een nieuwe fase van digitalisering, waarin kunstmatige intelligentie een steeds grotere rol speelt. Denk aan voorspellende analyses in patiëntenzorg, beeldherkenning in diagnostiek en datagedreven beleidsvorming.

Maar AI is zo goed als de data waarop het draait. En die data moet betrouwbaar, actueel en veilig zijn. Zonder databeheer onder eigen rechtsbescherming loop je het risico dat algoritmen worden getraind op onvolledige of onveilig verwerkte informatie.

Daarom is een soevereine cloud essentieel voor de ontwikkeling van verantwoorde AI in de zorg. Alleen in een infrastructuur die voldoet aan Europese standaarden voor privacy, beveiliging en transparantie, kan kunstmatige intelligentie bijdragen aan betere zorg, zonder de veiligheid van patiëntgegevens in gevaar te brengen.

Het concept van Private AI sluit hier naadloos op aan: innovatieve toepassingen binnen een gecontroleerde, Nederlandse omgeving waar data niet gedeeld of geanalyseerd wordt buiten nationale of Europese grenzen. Een perfect voorbeeld van Private AI is bijvoorbeeld Fuse AI. Zo kun je als zorginstelling blijven innoveren, zonder concessies te doen aan veiligheid of vertrouwen.

Concreet: wat kun jij doen?

De overstap naar een soevereine cloud vraagt om een structurele aanpak. De belangrijkste aandachtspunten zijn:

1. Kies voor een Nederlandse leverancier
   Controleer niet alleen waar de data wordt opgeslagen, maar ook onder welke jurisdictie de leverancier valt.
2. Werk aantoonbaar volgens erkende normen
   Denk aan NEN 7510, ISO 27001 en SOC 2. Deze standaarden zijn essentieel om compliance richting NIS2 te kunnen aantonen.
3. Beperk afhankelijkheid van de keten
   Evalueer regelmatig de datastromen binnen jouw organisatie en bij partners. Een soevereine cloud biedt de mogelijkheid om beheer, opslag en beveiliging volledig binnen Nederlandse grenzen te houden.
4. Borg governance en transparantie
   Stel vast wie binnen jouw organisatie verantwoordelijk is voor digitale soevereiniteit en zorg dat audits en rapportages onderdeel zijn van het beleid.
5. Investeer in innovatie met zekerheid
   Bouw AI- en datatoepassingen op infrastructuur die voldoet aan Europese normen. Zo creëer je ruimte voor vernieuwing zonder risico’s voor patiëntveiligheid.

Voorbeeld uit de praktijk: Bernhoven en ilionx met Uniserver

Een praktijkvoorbeeld laat zien hoe dit in de zorg werkt.
Bernhoven koos samen met ilionx en Uniserver voor een private cloudoplossing waarin patiëntdata gegarandeerd binnen Nederland blijft en volledig onder Nederlandse en Europese wetgeving valt. Deze samenwerking werd door Computable, en Consultancy.nl als toonaangevend bestempelt.

“Door het beheer uit te besteden aan de experts van ilionx en te kiezen voor een Private Cloud-platform van Uniserver, houden we onze patiëntdata gegarandeerd op Nederlandse bodem, onder de bescherming van Nederlands en EU-recht.” – Marc Roozen, CIO Ziekenhuis Bernhoven

Deze samenwerking bewijst dat zorginstellingen niet hoeven te kiezen tussen innovatie en veiligheid. Een soevereine cloud maakt beide mogelijk.

Conclusie

2025 was het jaar waarin duidelijk werd dat datasoevereiniteit geen theoretisch concept meer is, maar een directe strategische noodzaak. De combinatie van juridische risico’s, cyberdreigingen en nieuwe regelgeving maakt dat de zorg in 2026 niet meer zonder een eigen, soevereine cloud kan.

Zorgorganisaties die nu investeren in Nederlandse infrastructuur, investeren in controle, continuïteit en vertrouwen. Dat is de basis waarop een toekomstbestendige zorg gebouwd wordt.

Een private soevereine cloud betekent niet minder innovatie, maar juist méér ruimte voor verantwoorde vooruitgang. De zorg verdient technologie die past bij haar waarden: mensgericht, veilig en betrouwbaar.

Wil je weten hoe jouw organisatie deze stap veilig kan zetten?

Lees meer over onze aanpak op Uniserver.nl of neem contact met ons op voor een gesprek over de mogelijkheden van een private soevereine cloud in de zorg.