Ondanks de strengere juridische situatie kan de public cloud een succesfactor worden in de gezondheidszorg. Een praktijkvoorbeeld laat zien hoe de balans tussen naleving en modernisering kan worden bereikt en welke selectiecriteria doorslaggevend zijn.
Een tekort aan geschoold personeel, stijgende kosten in combinatie met onzekere financiering, een statische infrastructuur, de dringende behoefte aan digitalisering, en dit alles met tegelijkertijd hoge eisen als gevolg van de KRITIS-verordening – de gezondheidszorgsector worstelt met enorme uitdagingen. Onlangs is er nog een extra uitdaging bij gekomen: Artikel 393 van het Duitse Vijfde Boek van het Wetboek van Sociale Zekerheid (V) verplicht ziekenhuizen, zorgverzekeraars en hun IT-dienstverleners om een C5-testcertificaat van het Federale Bureau voor Informatiebeveiliging (BSI) voor cloudoplossingen te overleggen. Het is ook belangrijk om de gegevensverwerking te beperken tot Duitsland, de EU en enkele andere landen. Vereisten die verder gaan dan de Algemene Verordening Gegevensbescherming (AVG) en die vereisen dat de betrokken organisaties nieuwe certificeringsprocessen implementeren en hun aanpak bij het selecteren van een cloudprovider herzien.
Tegelijkertijd moeten zorginstellingen hun IT-infrastructuur moderniseren, flexibeler worden en de kosten verlagen. Veel IT-managers vragen zich af hoe ze deze balans kunnen bereiken: sluit de strengere juridische situatie de public cloud uit, of zijn er manieren om aan beide eisen te voldoen?
Grote spelers in de gezondheidszorg verwerken enorme hoeveelheden gegevens. Bij AOK Niedersachsen bijvoorbeeld worden jaarlijks meer dan 20 miljoen documenten verwerkt, waaronder kennisgevingen, uitkeringsoverzichten en informatiebrieven. De zorgverzekeraar stuurt vier van de vijf documenten per post. Traditionele verzending is nodig omdat sommige informatie niet digitaal in kaart kan worden gebracht of omdat er een gebrek is aan consistente digitale implementatie tussen de partijen die betrokken zijn bij het gezondheidszorgsysteem. In totaal gaat het om ongeveer 16 miljoen zendingen per jaar die moeten worden afgedrukt, in enveloppen worden gedaan en gefrankeerd.
Als er speciale acties naar alle verzekerden worden gestuurd - waarbij op piekmomenten tot 2,3 miljoen documenten bijna gelijktijdig moeten worden verstuurd - bereikt de schaalbaarheid van een datacenter op locatie zijn grenzen. Dit kan leiden tot prestatieproblemen die de beschikbaarheid van de dienst beïnvloeden. Voor een zorgverzekeraar, waarbij veel zendingen tijdkritisch zijn, vormt dit een aanzienlijk risico.
De logische stap: de migratie van managed services naar de cloud. Maar naar welke? Hoewel een private cloud meer controle biedt, brengt het vaak vergelijkbare schaalproblemen met zich mee als on-premise oplossingen, omdat nieuwe capaciteiten nog steeds van tevoren moeten worden gepland en hardware moet worden aangeschaft. Een public cloud biedt juist dat wat ontbreekt: resources op aanvraag, schalen binnen uren in plaats van weken, geen aanlooptijden voor piekbelastingen.
Maar in de gezondheidszorg rijst onmiddellijk de vraag: valt dit te rijmen met de strenge eisen op het gebied van gegevensbescherming en compliance? Gaan gevoelige gezondheidsgegevens en public cloud wel samen? In principe wel, maar niet elke public cloud voldoet aan de eisen.
De weg naar de public cloud moet daarom niet beginnen met de keuze van technologie, maar met intensieve interne coördinatie. De functionaris voor gegevensbescherming, juridische afdeling en gespecialiseerde afdelingen moeten nauw samenwerken om alle juridische en organisatorische kwesties vooraf op te helderen. Aan welke eisen moet een cloudprovider voldoen? Welke contractuele clausules zijn onmisbaar? Hoe kan de controle over sociale gegevens worden gewaarborgd? Het selectieproces kan pas beginnen als deze basisprincipes zijn vastgesteld. Deze volgorde is cruciaal voor het succes van het project om providers gericht te kunnen controleren.
§ Artikel 393 Duits sociaal wetboek (Sozialgesetzbuch, SGB) V vereist sinds maart 2024 een C5-testcertificaat van de BSI en beperkt de gegevensverwerking tot Duitsland, de EU en enkele andere landen. § 80 Duits sociaal wetboek (Sozialgesetzbuch, SGB) X regelt de verwerking van sociale gegevens door externe dienstverleners en vereist dat de contractant alleen handelt in overeenstemming met instructies. De AVG beschermt persoonlijke gegevens en vereist transparantie. Een public cloud moet aantoonbaar aan alle drie de eisen voldoen.
Waar bevinden de servers zich fysiek? Verlaten de gegevens het Duitse grondgebied? De verantwoordelijken moeten de zekerheid hebben dat sociale gegevens uitsluitend in Duitse datacenters worden verwerkt - zonder achterdeurtjes via buitenlandse wetten zoals de Amerikaanse Cloud Act. Wie heeft toegang tot de systemen? External Key Management is ook een cruciaal veiligheidsaspect: Het gezondheidszorgbedrijf moet soevereiniteit hebben over de ontsleuteling; de cloudprovider mag hier geen toegang toe hebben.
Om een vendor lock-in uit te sluiten, zouden cloudoplossingen idealiter gebaseerd moeten zijn op open standaarden. Dit maakt het technisch eenvoudig om van provider te veranderen. Tegelijkertijd moet de cloudoplossing snel kunnen schalen om piekbelastingen binnen enkele uren op te vangen.
De levering van de diensten werd voor ons een vlaggenschipproject voor het gebruik van cloudservices. En we hebben er geen spijt van gehad dat we deze stap hebben gezet.
Christoph Meyer, hoofd AOK AOK Niedersachsen
AOK Niedersachsen wilde zijn documentbeheersysteem van leverancier Binect flexibeler maken. De keuze viel op T Cloud Public met datacenterlocaties in Duitsland, zodat sociale gegevens Duitsland nooit verlaten. De oplossing draait al meer dan drie jaar stabiel. De oplossingstijden zijn teruggebracht van dagen naar uren, aldus Sebastian Angerstein, hoofd IT Project- en Solutionmanagement bij AOK Niedersachsen. Ook de gebruikerservaring is aanzienlijk verbeterd. En: last but not least: de beschikbaarheid van de dienst is aanzienlijk geoptimaliseerd. updates kunnen snel worden uitgerold en schaling gebeurt met één druk op de knop. Het pay-as-you-use-model brengt kostenvoordelen en transparantie met betrekking tot de werkelijke kosten met zich mee. "De levering van de diensten werd voor ons een vlaggenschipproject voor het gebruik van cloudservices. En we hebben er geen spijt van gehad dat we deze stap hebben gezet," zegt Christoph Meyer, verantwoordelijk voor de afdeling Solutionmanagement bij AOK Niedersachsen.
Wat andere organisaties van het project kunnen leren: een public cloud en de gezondheidszorg sluiten elkaar niet uit. Voldoen aan de uitgebreide regelgeving kan zelfs gemakkelijker worden gemaakt met behulp van gecertificeerde cloudoplossingen uit Duitsland. De vroegtijdige betrokkenheid van compliance-afdelingen, de keuze voor open standaarden (open source) en een focus op leveranciers met C5 type 2 certificering zijn cruciaal voor succes.
