Healthtech bouwen in 2026: HIPAA, FHIR en de ransomware-rekensom die je niet kunt overslaan

Eén cijfer bepaalt de inzet voordat je ook maar één regel code schrijft: een gemiddeld datalek in de zorg kost nu zo'n $10,22 miljoen, en de zorgsector heeft al veertien jaar op rij de twijfelachtige eer van de duurste datalekken van alle sectoren. Dat is geen staartrisico dat je na de lancering even oplapt. Voor wie software bouwt die patiëntgegevens raakt, is het juist datgene waar het hele product uiteindelijk omheen wordt gebouwd.

Een planningstool en een tool voor patiëntenplanning zien er in een demo bijna identiek uit. Dezelfde kalender, dezelfde boekingsflow, dezelfde bevestigingsmail. Het verschil zit volledig eronder: wie een dossier mag inzien, waar het wordt opgeslagen, aan wie je je juridisch hebt verplicht om het te beschermen, en wat er gebeurt op de dag dat iemand het probeert te stelen. Niets daarvan komt op een screenshot terug, en het bepaalt allemaal of het product geschikt is om uit te brengen.

Drie dingen bepalen op dit moment wat "goed" betekent in healthtech. De Security Rule van HIPAA wordt voor het eerst in meer dan twintig jaar herschreven. Federale interoperabiliteitsdeadlines dwingen zorggegevens naar een gemeenschappelijke API-standaard. En ransomware is zo erg geworden dat toezichthouders een datalek niet langer als pech beschouwen, maar als bewijs. Als je een bouwproject afbakent, behandel deze drie dan als ontwerpvoorwaarden, niet als juridische voetnoten die je later afhandelt. De vroege versie is veel goedkoper dan de retrofit.

Ransomware is niet langer andermans probleem

De omvang laat zich moeilijk wegwuiven. Sinds 2009 zijn er in de VS meer dan 7.400 datalekken in de zorg geregistreerd, die meer dan 935 miljoen dossiers troffen — een veelvoud van de bevolking van het land. Ransomware drijft een groeiend deel daarvan: het zit achter zo'n 28 procent van de grote datalekken in de zorg, en dat aandeel wordt steeds groter. Voor een klein bedrijf dat patiëntgegevens beheert, is één geslaagde aanval geen IT-incident. Het is mogelijk het einde van het bedrijf.

Oprichters onderschatten doorgaans wat er daarna komt. Wanneer het Office for Civil Rights na een datalek een onderzoek opent, is het eerste waar ze om vragen meestal geen forensische tijdlijn van de aanval. Het is je risicoanalyse — het document waaruit blijkt dat je in kaart had gebracht waar patiëntgegevens stonden en wat er mis kon gaan. Een ontbrekende of verouderde analyse is de overtreding waarop de meeste schikkingen daadwerkelijk worden gebouwd. OCR sluit er per jaar ergens tussen de vijftien en twintig en nog wat af, vaak gekoppeld aan een ransomware-incident, een afwezige risicoanalyse of een verzoek om dossiers waar iemand op bleef zitten. De gemiddelde schikking in 2025 bedroeg zo'n $1,2 miljoen.

Een datalek brengt je dus in lagen kosten: het herstel zelf, de juridische schikking daarbovenop, en het klantvertrouwen dat tegen geen enkele prijs terugkomt. En "we hadden pech, we zijn gehackt" is geen verweer meer van betekenis. Wat een onderzoeker wil weten, is of je het basiswerk had gedaan om het te zien aankomen.

HIPAA wordt herschreven, en "optioneel" verdwijnt

Het grootste deel van zijn bestaan verdeelde de HIPAA Security Rule zijn waarborgen in twee bakjes: "vereist" en "adresseerbaar". In de praktijk lazen veel teams "adresseerbaar" als "optioneel" en sloegen ze zaken als versleuteling over met een rechtvaardiging van één regel. De herziening die zich een weg baant door HHS — de eerste grote herziening van de regel in ruim twee decennia — sluit dat gat. Het voorstel duwt waarborgen die voorheen onderhandelbaar waren — waaronder versleuteling van data in rust en onderweg, multifactorauthenticatie, en een daadwerkelijke inventaris van de systemen die patiëntgegevens bevatten — richting onverkort verplicht.

Als je nu bouwt, is de zet voor de hand liggend: bouw alsof ze al verplicht zijn, want de regels bewegen maar in één richting. Geen ervan is exotisch. Ze zijn eenvoudig in te ontwerpen terwijl het systeem nog jong is, en pijnlijk om in te brengen in een live systeem waar al patiëntgegevens doorheen stromen.

Het helpt om concreet te zijn over waar "HIPAA-compliant" eigenlijk naar verwijst, want de term wordt rondgestrooid als een badge die je koopt. Er is geen certificaat. Wat er wél is: een set administratieve, fysieke en technische waarborgen waarvan je kunt aantonen dat je ze hebt geïmplementeerd, een risicoanalyse die je actueel houdt, en een ondertekend business associate agreement met elke externe dienst die de gegevens voor je verwerkt. Dat laatste laat meer beginnende teams struikelen dan wat ook — de analyticstool, de e-mailprovider, de error-tracker, elk daarvan is een leverancier die patiëntgegevens raakt, en elk daarvan heeft een BAA nodig, anders hoort het niet in de stack.

Je data moet FHIR spreken

De tweede kracht die healthtech hervormt is interoperabiliteit, en die beweegt op een kalender. De Interoperability and Prior Authorization-regel van CMS verplicht betrokken verzekeraars — Medicare Advantage, Medicaid, CHIP en de daaraan gekoppelde plannen — om FHIR-gebaseerde API's op te zetten, waarbij de eerste bepalingen ingaan in januari 2026 en de kern-API-vereisten uiterlijk in januari 2027 moeten zijn voldaan. In april 2026 stelde CMS voor om dezelfde aanpak uit te breiden naar prior authorization voor geneesmiddelen. De deadlines blijven binnenkomen, en de standaard die er onder al deze ligt is FHIR.

Je bent misschien geen verzekeraar, dus de letter van de regel bindt je wellicht niet. De zwaartekracht ervan nog wel. Zodra de grote systemen waarmee je product moet verbinden allemaal FHIR exposen en consumeren, wordt een eigen datamodel een vertaalprobleem dat je jezelf voor altijd hebt opgelegd om op te lossen. De teams die hun schema vanaf het begin rond FHIR-resources ontwierpen, integreren in dagen. De teams die dat niet deden, ontdekken het meestal in de week dat een ziekenhuispartner vraagt hoe ze gegevens uitwisselen.

Dit is de goedkoopste plek om vroeg gedisciplineerd te zijn. Een patiënt, een afspraak of een observatie modelleren zoals FHIR het al definieert, kost je in het begin vrijwel niets en bespaart je later een migratie. Je eigen versie verzinnen voelt op dag één sneller en stuurt je op dag vijfhonderd de rekening.

Wat dit betekent voor hoe je bouwt

De rode draad die dit alles bindt: in healthtech leeft compliance in de architectuur, en de volgorde waarin je deze beslissingen neemt bepaalt of ze goedkoop of rampzalig zijn. Een paar dingen zijn het waard om goed te krijgen voordat het eerste echte patiëntendossier bestaat:

• Bouw je compliant-infrastructuur niet zelf. De grote clouds bieden HIPAA-geschikte diensten en tekenen een BAA. Veilige infrastructuur vanaf nul bouwen is een manier om een jaar te besteden aan het opnieuw uitvinden van iets dat je kunt huren.
• Ontwerp toegang en audit logging er vanaf het begin in. Wie welk dossier mag inzien, en een spoor van wie het daadwerkelijk deed, is triviaal om vroeg toe te voegen en een herschrijving om laat toe te voegen.
• Toets elke leverancier op een BAA voordat je integreert. Als een dienst er geen tekent, mag hij geen patiëntgegevens raken, hoe handig hij ook is.
• Behandel de risicoanalyse als een levend document. Het is het eerste waar een toezichthouder om vraagt, dus het zou niet iets moeten zijn dat je opstelt in de week voordat een datalek de vraag afdwingt.

Verbonden apparaten voegen hun eigen blootstelling toe. De markt voor met internet verbonden medische hardware was in 2023 al zo'n $47 miljard waard, en elke sensor, wearable of monitor die data naar je product streamt, vergroot het oppervlak dat iemand kan aanvallen. Als hardware deel uitmaakt van het plan, moet het beveiligingsmodel zich helemaal tot aan de rand uitstrekken, en niet bij de server stoppen.

Ik ga niet doen alsof iets hiervan gratis is. Het goed doen voegt tijd en kosten toe aan een bouwproject, en een oprichter die race om een idee te valideren, voelt elke week ervan. Maar de kosten zijn grotendeels te kennen, en kosten die je kunt kennen, kun je inplannen. Je kunt budgetteren voor HIPAA-geschikte infrastructuur, voor een FHIR-vormig datamodel, voor een security review. Waar je niet voor kunt budgetteren, is het andere pad: een datalek dat gemiddeld ruim in de zeven cijfers loopt, een OCR-dossier dat erbovenop landt, en de klanten die stilletjes vertrekken omdat een zorgproduct dat hun dossiers lekte moeilijk te vergeven is. Tussen een bekende kost en een onkenbare is de bekende kost het koopje.