De Nederlandse Zorgautoriteit (NZa) staat voor de grote uitdaging om de zorg in Nederland toegankelijk en betaalbaar te houden. Om dit te kunnen doen, maakt ze gebruik van data om de continuïteit van de zorg te waarborgen, maatschappelijke ontwikkelingen te signaleren en in te grijpen als de toegang tot zorg onder druk staat. Dit alles is alleen mogelijk met een toekomstbestendige IT-omgeving. Daarom stapt de NZa over naar publieke cloudsystemen.
De IT van de NZa moet vervangen worden om deze klaar te maken voor de toekomst. Het vergt veel tijd en technische expertise om alle IT intern te beheren. Het is niet haalbaar om voor elke applicatie die wordt gebruikt specialistische kennis in huis te halen. Daarom is na zorgvuldige voorbereiding besloten over te stappen naar de cloud om de effectieve en veilige verwerking van persoonsgegevens te borgen.
De NZa gebruikt Snowflake en Microsoft Azure voor de infrastructuur, de beveiliging, het beheer en het onderhoud van haar dataopslagsysteem. Daarnaast wordt Microsoft 365 gebruikt voor de digitale werkplekken. Door over te stappen op de publieke cloud beschikt de NZa straks over de modernste technologie en kennis voor informatiebeveiliging en dataopslag. Zo blijven er meer menskracht en financiële middelen over voor het toegankelijk en betaalbaar houden van de zorg in Nederland.
Uitgebreide beveiligingsmaatregelen
De NZa heeft zorgdeclaratiedata nodig om haar wettelijke taken te kunnen uitvoeren. Dit is bijvoorbeeld informatie over welke zorg er is geleverd, wat die zorg heeft gekost en hoeveel de zorgverzekeraar heeft vergoed. Deze gegevens zijn gepseudonimiseerd en bevatten dus geen namen, adressen, burgerservicenummers of andere gegevens die rechtstreeks naar personen te herleiden zijn. Dit wordt niet alleen gedaan om de privacy te waarborgen, maar ook omdat de NZa voor haar werk niet hoeven te weten welke zorg individuen hebben ontvangen.
Een andere beveiligingsmaatregel die de NZa heeft getroffen, is dat alleen specifieke gemachtigde NZa-medewerkers de gegevens kunnen raadplegen en alleen als dit nodig is om hun werk te doen. Met de publieke cloudsystemen kan de NZa de toegang tot de gegevens nauwlettend in de gaten houden.
De NZa werkt alleen met clouddiensten die voldoen aan geldende wet- en regelgeving en beveiligingsnormen. De zorgdeclaratiedata die de NZA gebruikt, wordt versleuteld opgeslagen op servers in de EU. Daarnaast zijn Snowflake en Microsoft gecertificeerd overeenkomstig het Data Privacy Framework. Dat houdt in dat ze voldoen aan de veiligheidseisen die de Europese Commissie stelt en dat de gepseudonimiseerde persoonsgegevens voldoende worden beschermd.
Rijksbreed cloudbeleid
De NZa valt voor alle Microsoft-diensten en -producten onder de afspraken die de Rijksoverheid heeft gemaakt met Microsoft. Daarnaast volgt ze het rijksbrede cloudbeleid waartoe de minister van Binnenlandse Zaken en Koninkrijksrelaties heeft geadviseerd. De NZa wil een goed praktijkvoorbeeld zijn met de overstap naar publieke cloudsystemen. De overstap is heel zorgvuldig voorbereid, waarbij voortdurend is overlegd met alle belanghebbende partijen.
Ook ziekenhuizen verplaatsen steeds vaker (delen van) hun workflow naar de cloud. Vorig jaar bracht Gelre ziekenhuizen als eerste ziekenhuis in Nederland en Europa het elektronisch patiëntendossier (EPD) naar de cloud. In samenwerking met EPD leverancier ChipSoft, Microsoft en serviceprovider Rapid Circle heeft Gelre ziekenhuizen het initiatief genomen om te pionieren en vol vertrouwen de stap te zetten. Het ziekenhuis heeft ChipSoft HiX 6.3 in gebruik genomen en geïmplementeerd op de Microsoft Azure-cloud.
