De meeste gidsen over het inhuren van een zorgsoftware-ontwikkelaar lezen als een checklist die iedereen had kunnen schrijven: "let op ervaring", "controleer reviews", "denk aan schaalbaarheid". Als jij een engineering director of staff engineer bent die een partner beoordeelt voor een gereguleerd, high-volume klinisch systeem, dan is dat advies erger dan nutteloos - het geeft je vals vertrouwen en slaat juist de criteria over die daadwerkelijk voorspellen of de samenwerking eindigt in een opgeleverd product of in een datalekmelding. Dit is de versie die ik aan een VP zou geven voordat er een shortlist van leveranciers wordt opgesteld: wat je moet meten, wat je schriftelijk moet eisen, en waar de meeste inkooptrajecten misgaan.
De belangen zijn niet abstract. De zorg is al 14 jaar op rij de duurste sector voor datalekken, met gemiddeld $9,77M per lek in 2024 tegenover een sectoroverstijgend wereldwijd gemiddelde van $4,88M. Ongeveer $2,8M van dat gemiddelde bestaat uit gederfde omzet en de respons na het lek - precies het deel dat op jouw roadmap en jouw reputatie terechtkomt, niet op die van de aanvaller. Dus de eerste herkadering: je koopt geen features. Je koopt een verlaging van de kans op en de blast radius van een security- en compliancefalen. Alles hieronder volgt daaruit.
Behandel security als architectuur, niet als een regel op de offerte
Een leverancier die "HIPAA compliant" op een slide zet en vervolgens doorgaat, heeft je al iets verteld. Vraag waar security thuishoort in hun ontwerpproces. In de zorg zijn de traagste, meest schadelijke datalekvectoren geen exotische zero-days - het zijn gestolen of gecompromitteerde credentials (gemiddeld 292 dagen om te identificeren en in te dammen), phishing (261 dagen) en social engineering (257 dagen). Die cijfers zijn een aanklacht tegen identity- en toegangscontroles, niet tegen firewalls.
Dring dus aan op concrete punten die een bolt-on aanpak van security niet kan veinzen:
- Identity and access management als eersterangs ontwerpvraagstuk: least-privilege als standaard, kortlevende credentials, geen gedeelde serviceaccounts, en volledige audit trails over wie welk patiëntendossier wanneer heeft ingezien.
- Secrets management dat centraal geregeld is en automatisch wordt geroteerd. Als ze connection strings in configbestanden of CI-variabelen bewaren, is dat een finding.
- Secure-by-design-praktijken die zijn ingebakken in de SDLC: threat modelling bij het ontwerp, dependency- en SAST-scanning in de pipeline, en een gedocumenteerd proces om CVEs te triagen en te patchen - geen jaarlijkse pentest die wordt gearchiveerd en vergeten.
Een volwassen partner loopt deze punten zonder aarzelen met je door, omdat ze het al doen. Een zwakke partner stelt je gerust dat ze "security zeer serieus nemen". Geloof de artefacten, niet de bijvoeglijke naamwoorden.
De compliancelat is verschoven: HIPAA is niet langer het plafond
Ben je een Nederlandse of EU-koper, dan scope je naar de verkeerde jurisdictie en het verkeerde decennium als je je leverancier afmeet aan HIPAA. De European Health Data Space (EHDS) Regulation (EU) 2025/327 is op 26 maart 2025 in werking getreden. Die maakt certificering op het gebied van interoperabiliteit, security, veiligheid en privacy verplicht voor alle elektronische patiëntendossiersystemen voordat ze op de EU-markt mogen worden gebracht, met bepalingen voor secundair gebruik die gefaseerd worden ingevoerd tot en met 2029.
Dat verandert het gesprek van "future-proofing" naar concrete, gedateerde verplichtingen. Het oorspronkelijke generieke advies om "schaalbaarheid en support mee te nemen" moet worden herkaderd als data governance van regelgevingskwaliteit: kan de leverancier geharmoniseerde EU-interoperabiliteit aantonen (het EEHRxF-uitwisselingsformaat), secure processing environments voor elk secundair datagebruik, audit logging die een toezichthouder tevreden stelt, en de rechten op patiënttoegang en -controle die EHDS versterkt? Vraag of ze de verordening daadwerkelijk hebben gelezen en hun architectuur erop hebben afgestemd, of dat EHDS gewoon een term is die ze in deze vergadering hebben opgepikt. De gefaseerde deadlines zijn openbaar; een serieuze partner heeft er al een standpunt over.
Benchmark deliverymaturity met cijfers, niet met anekdotes
"Bewezen track record" is niet te weerleggen. Engineeringmaturity is daarentegen meetbaar - en je moet de leverancier de metingen laten produceren. Het 2024 DORA Accelerate State of DevOps Report (39.000+ respondenten) definieert elite delivery performance exact: deployen op aanvraag, lead time for changes onder een dag, change failure rate onder 5%, en herstel van incidenten binnen een uur. Slechts 19% van de teams haalt die lat. In een domein waar een mislukte deploy kan betekenen dat een arts geen medicatielijst kan opvragen, zijn die vier metrics een directe proxy voor het operationele risico dat je op je neemt.
Vraag elke leverancier op de shortlist om hun DORA-metrics op een vergelijkbaar, gereguleerd project. Let op drie dingen:
- Weigeren of vaagheid ("dat houden we eigenlijk niet bij") vertelt je dat ze hun eigen betrouwbaarheid niet meten, wat betekent dat ze die niet kunnen verbeteren en jij die niet kunt verifiëren.
- Verdacht perfecte cijfers zonder incidenthistorie. Volwassen teams hebben postmortems en een verhaal over hun mean-time-to-recovery. Vraag te zien hoe ze een recent productie-incident hebben afgehandeld.
- Change failure rate boven recovery time. In de zorg verslaat een herstel binnen een uur op een ingedamd falen een lage deploy frequency die risico verbergt in big-bang releases.
Onderzoek hoe ze AI inzetten - want in 2024 sneed het mes aan twee kanten
Elke leverancier claimt nu dat AI ze sneller maakt. De DORA-data nuanceert die claim op een manier die het waard is om direct aan te kaarten. Een toename van 25% in AI-adoptie correleerde met een daling van 1,5% in delivery throughput en een daling van 7,2% in delivery stability, ook al verbeterde het de documentatie (+7,5%) en de codekwaliteit (+3,4%). Hetzelfde rapport vond dat platform engineering de productiviteit verhoogt, maar een tijdelijke dip in performance veroorzaakt voordat de maturity er is.
De les is niet "vermijd AI". De les is dat ongecontroleerd AI-gebruik precies de delivery stability uitholt waar gereguleerde zorgsystemen van afhankelijk zijn. Een sterke partner koppelt AI-ondersteuning aan gedisciplineerde menselijke review, sterke platform engineering, en de test- en pipeline-guardrails die opvangen wat een model met overtuiging fout doet. Vraag hoe AI-gegenereerde code wordt gereviewd voordat die een systeem raakt dat patiëntgegevens verwerkt. Is het antwoord "hetzelfde als alle andere code", mooi - dat is het juiste antwoord, en je moet bevestigen dat het pad voor "alle andere code" zelf rigoureus is.
Hoe een verdedigbare shortlist eruitziet
Tegen de tijd dat je je vastlegt, moet je naar bewijs kunnen wijzen, niet naar indrukken. Definieer je requirements als een model van de klinische workflow en de dataflow, niet als een verlanglijst van features - dat legt bloot waar PHI zich verplaatst en waar de compliance- en auditverplichtingen daadwerkelijk bijten. Weeg je scoring vervolgens richting wat de kostendata aangeeft als bepalend: securityarchitectuur en identitycontroles, aantoonbare EHDS- en interoperabiliteitsgereedheid, DORA-waardige deliverymetrics op vergelijkbaar werk, en een nuchtere, gegoverneerde aanpak van AI. Portfolio's en case studies blijven nuttig, maar lees ze op security- en compliancematuriteit, niet op visuele afwerking.
De meeste leveranciers komen door de generieke checklist heen. Veel minder zullen hun change failure rate produceren, je door hun secrets rotation loodsen, of je hun EHDS-mapping laten zien. Dat gat is precies waarom je dit goed moet doen - daar zit het nadeel van $9,77M, en het is het enige deel van de beoordeling dat een concurrent niet van een brochure kan overschrijven.
Bij Expeditious Software bouwen we zorgsystemen op dit niveau - secure-by-design, afgemeten aan DORA, en gearchitecteerd voor EU-regelgeving in plaats van er achteraf op aangepast. Wil je een partner die je de metrics overhandigt voordat je erom vraagt, neem dan contact op.
Bronnen
- Average Cost of a Data Breach Rises to $4.88M; Falls to $9.77M in Healthcare - The HIPAA Journal (rapportage over IBM / Ponemon Institute Cost of a Data Breach Report 2024)
- Cost of a data breach: The healthcare industry - IBM (Cost of a Data Breach Report 2024, uitgevoerd door Ponemon Institute)
- The European Health Data Space - What EU Health Care Providers and Data Holders Need To Know - Skadden, Arps, Slate, Meagher & Flom LLP
- Announcing the 2024 DORA report (Accelerate State of DevOps Report 2024) - Google Cloud / DORA
