In de meeste sectoren kost een mislukte deploy je omzet. In de zorg kan die een patiënt kosten, de aandacht van een toezichthouder, en een datalekmelding die in de acht cijfers loopt. Die asymmetrie zou elke architectuur- en procesbeslissing moeten bepalen die een engineeringorganisatie hier neemt, en toch wordt veel zorgsoftware nog steeds gebouwd alsof betrouwbaarheid en security features zijn die je later toevoegt, in plaats van randvoorwaarden waar je vanaf de eerste commit omheen ontwerpt. Dit stuk is voor de mensen die over die beslissing gaan: directors, engineering managers en senior engineers die gereguleerde teams op grote schaal aansturen en die genoeg hebben gehoord over "digitale transformatie" en willen weten waar de echte engineering-hefboom zit.
Security is de centrale randvoorwaarde, geen compliance-vinkje
Begin met het getal dat al het andere in een ander licht zet. Volgens IBM's 2025 Cost of a Data Breach Report kostte een gemiddeld datalek in de Amerikaanse zorg in 2025 $7,42 miljoen. Dat bedrag daalde van $9,36 miljoen het jaar ervoor, maar de zorg is nog altijd al veertien jaar op rij de sector met de duurste datalekken. Geen enkele andere sector komt in de buurt. Wanneer de verwachte kosten van één enkele fout zo hoog zijn, houdt security op een werkstroom te zijn die het securityteam bezit, en wordt het een eigenschap van de leverpipeline zelf.
De detectiecijfers maken het argument nog scherper. Zorgdatalekken kosten meer tijd om te identificeren en in te dammen dan in welke andere sector ook, gemiddeld 279 dagen, ongeveer vijf weken langer dan het wereldwijde gemiddelde. Een gemiddelde mean-time-to-detect van 279 dagen is op zichzelf geen securityprobleem; het is een observability-probleem. Het betekent dat telemetrie, audit logging, anomaliedetectie en incident response niet in het systeem waren ingebouwd op het moment dat het live ging. De oplossing is weinig glamoureus en valt volledig binnen de controle van engineering: gestructureerde logging op elk toegangspad naar beschermde gezondheidsgegevens, geautomatiseerde alerting gekoppeld aan runbooks, en incident response die je oefent in plaats van improviseert. Secure-by-design pipelines, waarin secrets management, dependency scanning, SBOM-generatie en deploy-credentials met least privilege onderdeel zijn van de build in plaats van een kwartaalaudit, zijn wat dat getal van 279 dagen omlaag brengt. Aangebolde security doet dat niet.
De AI-golf is echt, maar legt de lat voor leverdiscipline hoger
Het vraagsignaal is ondubbelzinnig. In McKinsey's onderzoek uit Q4 2024 onder ongeveer 150 zorgbestuurders verkenden of adopteerden 85% al generatieve AI, waarbij meer organisaties in implementatie zaten dan in proof-of-concept. Onafhankelijke berichtgeving over hetzelfde onderzoek bevestigde die verdeling en voegde details toe over hoe het werk wordt gedaan. Het is niet langer de vraag of AI opduikt in klinische en operationele workflows; het is de vraag wie het betrouwbaar genoeg bouwt om het dicht bij patiëntenzorg te deployen.
Dit is het deel dat de meeste roadmaps overslaan. DORA's 2024 State of DevOps Report stelde vast dat AI-adoptie de productiviteit, flow en werktevredenheid van individuele developers verhoogt, maar gecorreleerd is met een afname in throughput en stabiliteit van softwarelevering. De modellering in het rapport schatte dat een toename van 25% in AI-adoptie samenhing met ongeveer 1,5% minder delivery throughput en 7,2% minder stabiliteit. Interne developer platforms lieten een vergelijkbaar patroon zien: productiviteitswinst die ten koste kan gaan van change stability als de guardrails zwak zijn. In een domein waar instabiliteit klinische gevolgen heeft, is die afweging niet academisch. Het betekent dat AI-ondersteunde ontwikkeling en platforminvesteringen gepaard moeten gaan met de saaie fundamenten: trunk-based development, snelle en betrouwbare CI, progressive delivery met geautomatiseerde rollback, en code review die gegenereerde code niet klakkeloos afstempelt. AI versnelt de output; het ontslaat je niet van de plicht die output te verifiëren voordat ze een system of record raakt.
Build, buy of partner is zelf een engineeringbeslissing
Diezelfde onderzoeksdata vertelt je hoe de markt dit alles van plan is te leveren. Van de zorgorganisaties die generatieve AI adopteren, is 61% van plan dat te doen via partnerschappen met derden, tegenover 20% dat in-house bouwt en 19% dat kant-en-klaar inkoopt. Onder de partnerende organisaties merkte onafhankelijke berichtgeving op dat 58% leunt op bestaande IT-leveranciers en 46% op cloud-hyperscalers voor expertise in datamanagement.
Voor een engineeringleider is de les niet "besteed het uit." Het is dat de keuze tussen build, buy en partner een architectuurbeslissing is met langlevende gevolgen, en dat die op engineeringgronden moet worden gemaakt in plaats van uit inkoopgemak. Partneren met een hyperscaler of specialist levert je snel data-infrastructuur en model-tooling op, maar het verschuift de verantwoordelijkheid voor data residency, toegangsgrenzen, audit trails en exitstrategie naar je integratielaag. De teams die hier goed uitkomen, behandelen partners als componenten achter schone, goed geteste interfaces, behouden de eigendom over hun datamodel en hun compliance-positie, en vermijden de valkuil van een leveranciersrelatie die ongemerkt load-bearing infrastructuur wordt die niemand nog kan vervangen.
Waar de richtinggevende thema's daadwerkelijk renderen
Remote patient monitoring, elektronische patiëntendossiers, datagedreven zorg en operationele automatisering zijn nog steeds de juiste richtingen; ze waren de juiste richtingen in 2023 en de vraag is alleen maar harder geworden. Maar elk daarvan is een betrouwbaarheids- en schaalprobleem vermomd als productfeature. Remote monitoring betekent het ingesten van streaming device-telemetrie zonder events te verliezen die een interventie triggeren. EHR-integratie betekent correctheid onder gelijktijdige schrijfacties en een schema dat een decennium aan regelgevende veranderingen overleeft. Datagedreven zorg betekent een pipeline waarvan je de lineage aan een auditor kunt bewijzen. Operationele automatisering betekent workflows die fail-safe zijn, want een planningssysteem dat stilletjes dubbel boekt is erger dan een dat een mens om hulp vraagt.
Wat deze samenbindt is geen productcategorie; het is engineeringpraktijk. DevOps, cloud en platform engineering zijn de disciplines die richtinggevende ambitie omzetten in systemen die observeerbaar, herstelbaar, veilig en schaalbaar zijn onder echte belasting. Infrastructure as code maakt omgevingen reproduceerbaar en auditeerbaar. CI/CD met geautomatiseerde security- en compliance-gates maakt van het detectievenster van 279 dagen iets dat je actief verkleint. Platform engineering geeft klinische productteams paved paths zodat ze features leveren zonder dat elk team opnieuw secrets handling en deployment safety hoeft uit te vinden. Niets hiervan is nieuw. In de zorg is het simpelweg niet optioneel, want de kosten van het fout doen worden gemeten in miljoenen dollars en, soms, in uitkomsten die op geen enkel dashboard verschijnen.
Als er één verschuiving is om mee te nemen uit het bewijs van de afgelopen twee jaar, is het deze: het gesprek over software in de zorg is voorbij de vraag of technologie helpt. Dat doet ze. De openstaande vraag is of jouw leverpraktijk sterk genoeg is om die veilig uit te brengen. Teams die investeren in secure-by-design pipelines, echte observability en gedisciplineerde levering pakken de AI- en datakans. Teams die deze als bijzaken behandelen, blijven bijdragen aan de datalekstatistieken. Bijblijven met ontwikkelingen in software engineering en delivery hoort bij het aan de goede kant van die grens blijven, maar het duurzame voordeel wordt gebouwd in de pipeline, niet in de mediacyclus.
Bronnen
- Average Cost of a Healthcare Data Breach Falls to $7.42 Million - The HIPAA Journal (reporting IBM Cost of a Data Breach Report 2025), 30 juli 2025
- Accelerate State of DevOps Report 2024 - DORA / Google Cloud, 22 oktober 2024
- Generative AI in healthcare: Adoption trends and what's next - McKinsey & Company, 13 februari 2025
- Survey: Gen AI in healthcare gains momentum across sectors - xtelligent Healthtech Analytics / TechTarget, 4 april 2025
