Ontwikkelaars logoontwikkelaars
Terug naar blog
Strategie & Groei

Software laten ontwikkelen voor de zorg — eisen, kosten en valkuilen

Zorgsoftware bouwen is complexer dan standaard maatwerk. Wat zijn de eisen, wat kost het realistisch, en welke valkuilen moet je vermijden?

Ontwikkelaars Team28 maart 20269 min leestijd
software zorgzorgsector digitaliseringNEN 7510AVG zorgmedische software
Software laten ontwikkelen voor de zorg — eisen, kosten en valkuilen

Maatwerksoftware laten bouwen voor de zorgsector is fundamenteel anders dan een webshop of intern dashboard. Dat zit hem niet in de techniek alleen — het zit hem in het stelsel van eisen, verantwoordelijkheden en toezicht dat de zorgsector omgeeft. Wie dat onderschat, betaalt de prijs later: in vertragingen, herstelwerk, of erger nog, in een product dat niet in gebruik genomen mag worden.

Dit artikel is bedoeld voor zorginstellingen, zorgondernemers en beslissers die overwegen een digitaal product te laten bouwen — van een patiëntenportaal tot een rapportagesysteem of een eigen ECD. Het geeft een eerlijk beeld van wat dit traject inhoudt, wat het kost en wat de meest gemaakte fouten zijn.

De wet- en regelgeving die je niet kunt negeren

NEN 7510 — informatiebeveiliging in de zorg

NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorgsector. Vergelijkbaar met ISO 27001, maar specifiek gericht op de bescherming van medische gegevens. Voor veel zorgorganisaties is NEN 7510-certificering verplicht of contractueel vereist door zorgverzekeraars en koepelorganisaties.

Wat dit in de praktijk betekent voor een softwaretraject: de leverancier moet aantoonbaar kunnen maken dat het systeem voldoet aan de beveiligingseisen uit de norm. Dat vraagt om toegangscontrole op rolniveau, logging van wie wanneer welke gegevens heeft ingezien, versleuteling van data in transit en at rest, en een gedocumenteerd incident response-proces. Dit zijn geen opties die je achteraf inbouwt — ze moeten van dag één in het ontwerp zitten.

AVG en medische gegevens

Medische gegevens vallen onder de bijzondere persoonsgegevens in de AVG. De verwerking ervan is in principe verboden, tenzij er een expliciete wettelijke grondslag is. In de zorg is die grondslag vaak de behandelrelatie (artikel 9, lid 2h AVG), maar dat ontslaat je niet van andere verplichtingen.

Een softwarebureau dat zorgsoftware bouwt, treedt juridisch gezien op als verwerker. Dat betekent een verwerkersovereenkomst is verplicht, dataminimalisatie moet in het ontwerp worden doorgevoerd, en datalekken moeten binnen 72 uur gemeld kunnen worden bij de Autoriteit Persoonsgegevens. Zorgorganisaties die dit delegeren aan een bureau zonder verwerkersovereenkomst zijn zelf aansprakelijk.

UZI-kaarten en authenticatie

Voor systemen die toegang geven tot het Landelijk Schakelpunt (LSP) of die werken met de BIG-registratie, is authenticatie via UZI-kaarten (Unieke Zorgverlener Identificatie) vereist. Dit zijn chipkaarten die de identiteit van een zorgverlener vastleggen. Niet elk bureau heeft ervaring met UZI-integraties — en het is geen triviale technische klus.

Systemen die geen directe LSP-koppeling nodig hebben, kunnen ook werken met DigiD (voor patiënten) of andere gecertificeerde authenticatiemiddelen, afhankelijk van het risiconiveau.

SMART on FHIR en interoperabiliteit

Eén van de meest onderschatte eisen in zorgsoftware is interoperabiliteit: de eis dat systemen met elkaar kunnen communiceren. In Nederland is FHIR (Fast Healthcare Interoperability Resources) de standaard voor het uitwisselen van medische data. SMART on FHIR is een autorisatieraamwerk dat daar bovenop zit en veilige koppeling met externe systemen mogelijk maakt.

Als jouw nieuwe systeem ook maar enigszins moet communiceren met een EPD (Elektronisch Patiëntendossier), een huisartssysteem of het LSP, dan is FHIR-ondersteuning geen luxe — het is een randvoorwaarde. Veel standaardsoftware ondersteunt dit niet of onvolledig. Maatwerksoftware kan dit inbouwen, maar het verhoogt de complexiteit én de kosten.

Vraag bij een bureaugesprek altijd expliciet: hebben jullie eerder FHIR-integraties gebouwd? Heb je referenties in de zorg? Een bureau dat hier vaag over is, heeft het waarschijnlijk niet gedaan.

Veelvoorkomende toepassingen

Niet elke zorgsoftware is even complex. Een paar veelvoorkomende use cases, gerangschikt naar complexiteit:

Patiëntenportaal — Een beveiligde omgeving waar patiënten afspraken kunnen inzien, vragenlijsten invullen of berichten sturen. Relatief overzichtelijk in scope, maar vraagt wel AVG-compliance, DigiD-integratie en een goede UX voor een diverse gebruikersgroep.

Planningssysteem voor zorgprofessionals — Roosters, afspraken, beschikbaarheid. De uitdaging zit in complexe planning-logica (deeltijdcontracten, specialisaties, locaties) en integratie met bestaande HR- of ECD-systemen.

Zorgdossier of ECD — Het meest complexe type. Gestructureerde vastlegging van zorgplannen, behandeldata, medicatie. Vereist standaardisatie via FHIR, robuuste auditing, en vaak integratie met externe systemen als apothekersoftware of het LSP.

Rapportage aan zorgautoriteiten — Veel zorgorganisaties moeten periodiek rapporteren aan de Nederlandse Zorgautoriteit (NZa) of zorgverzekeraars. Software die dit automatiseert moet exact aansluiten op de vereiste DBC-coderingen en declaratieformaten.

Waarom zorgsoftware duurder is

Het verschil in prijs tussen een reguliere webapplicatie en zorgsoftware heeft drie oorzaken.

Compliance-overhead — Documentatie, beveiligingsaudit, penetratietest en het aantoonbaar voldoen aan NEN 7510 kosten extra tijd. Dit is werk dat niet zichtbaar is in de eindgebruikersinterface, maar dat noodzakelijk is om het systeem in gebruik te nemen.

Integratie-complexiteit — Koppelingen met EPD-systemen, UZI-infrastructuur, LSP of FHIR-endpoints zijn technisch veeleisend. Het zijn geen standaard API-koppelingen — ze vereisen certificaten, specifieke protocollen en uitgebreid testen.

Testvereisten — In de zorg kunnen fouten directe gevolgen hebben voor patiëntveiligheid. Dat vraagt om een uitgebreidere teststrategie, inclusief functionele acceptatietests met eindgebruikers (zorgprofessionals), en soms certificering als medisch hulpmiddel onder de MDR (Medical Device Regulation).

Realistische budgetindicaties

Voor zorgsoftware gelden andere budgetnormen dan voor regulier maatwerk:

  • Patiëntenportaal (basis): €40.000 – €70.000. Inclusief DigiD, beveiligde messaging, afsprakenoverzicht en AVG-compliance. Zonder EPD-integratie.
  • Patiëntenportaal met EPD-koppeling: €80.000 – €140.000. Afhankelijk van het EPD en de koppelvlakken die beschikbaar zijn.
  • Planningssysteem: €60.000 – €120.000. Sterk afhankelijk van de planningscomplexiteit en het aantal integraties.
  • Volledig ECD of EPD: €150.000 – €400.000+. Dit is maatwerk in de zwaarste categorie. Verwacht een traject van 9 tot 18 maanden met een multidisciplinair team.

Bovenop de bouwkosten komen de doorlopende kosten: hosting (bij voorkeur in Nederland of de EU, op gecertificeerde infrastructuur), onderhoud, jaarlijkse security reviews en eventuele recertificering.

De valkuilen die zorginstellingen het meest treffen

Een bureau kiezen zonder zorgreferenties. Technisch kunnen veel bureaus een applicatie bouwen. Maar een bureau dat nog nooit in de zorgsector heeft gewerkt, kent de compliance-eisen niet van binnenuit. Het gevolg: je betaalt voor een leerproces dat de leverancier op jouw rekening doet.

Compliance uitstellen tot na de bouw. Beveiliging en AVG-compliance zijn geen laagje verf dat je er achteraf op doet. Wie dit inbouwt ná de eerste release, bouwt het systeem effectief opnieuw. Plan compliance als eerste-klasse requirement, niet als natraject.

Geen rekening houden met wijzigingen in wet- en regelgeving. De zorgsector digitaliseert snel, en de regelgeving evolueert mee. Systemen die vandaag voldoen, moeten over twee jaar mogelijk worden aangepast. Zorg dat er een onderhoudscontract is en dat het bureau ook op de lange termijn beschikbaar is.

De gebruiker vergeten. Zorgprofessionals zijn druk. Een systeem dat niet intuïtief werkt, wordt niet gebruikt — ongeacht hoeveel het heeft gekost. Investeer in gebruikersonderzoek en test vroeg met echte zorgverleners en patiënten.

Het juiste bureau vinden

Vraag bij gesprekken met bureaus naar concrete referenties in de zorgsector. Niet alleen "we hebben eerder iets in de zorg gedaan", maar: welk systeem, voor welke organisatie, met welke integraties, en wat waren de compliance-eisen? Vraag ook naar de verwerkersovereenkomst — een bureau dat hier niet direct over kan praten, heeft weinig ervaring met AVG in de zorg.

Controleer of het bureau vertrouwd is met NEN 7510, FHIR en de Nederlandse zorginfrastructuur. Dit zijn geen bonuspunten — het zijn basiskwalificaties voor dit type werk.

Zorgsoftware bouwen is complex, maar het is beheersbaar als je weet wat je inkoopt. De organisaties die succesvol digitaliseren, zijn niet de organisaties met het grootste budget — het zijn de organisaties die de juiste partner vinden en de juiste vragen stellen.

Ontwikkelaars Team

Ontwikkelaars Team

Expert team bij Ontwikkelaars