Waarom goede technologie twintig jaar wacht

Er is een patroon dat je keer op keer terugziet in de ICT van zorg en overheid. Een technologie is beschikbaar, de architectuur klopt, de business case is helder — en toch gebeurt er niets. Of het gebeurt jaren later, met veel meer pijn dan nodig was. De verklaring die dan volgt is vrijwel altijd technisch van aard: het was te complex, de systemen sloten niet op elkaar aan, de infrastructuur was er nog niet klaar voor. Zelden wordt de eerlijkere verklaring uitgesproken: we wilden het niet. Of preciezer: de mensen die erover beslisten, hadden er geen belang bij.

Dat is een ongemakkelijke observatie. Maar het is wel de verklaring die het meest consistent werkt als je terugkijkt op de digitale geschiedenis van de publieke sector.

Beelduitwisseling in de zorg: de technologie was er allang

Rond 2004 was de technische infrastructuur voor digitale beelduitwisseling in de zorg in essentie aanwezig. IHE — Integrating the Healthcare Enterprise — had profielen ontwikkeld die interoperabiliteit tussen beeldsystemen mogelijk maakten. Privacy- en toestemmingsprotocollen waren geen onopgelost vraagstuk. De DICOM-standaard bestond al jaren. Wat ontbrak was niet de technologie, maar de investering. En die investering bleef uit.

Waarom? De financiële prikkels werkten precies de andere kant op. Een patiënt die voor een second opinion naar een ander ziekenhuis ging, nam zijn beelden niet mee — hij werd opnieuw gescand. Dat leverde declaraties op. Dubbel onderzoek was geen inefficiëntie in het systeem; het wás het systeem. Territorialiteit tussen instellingen versterkte dit patroon. Beelden delen betekende patiënten delen, en dat wilde niemand.

Technisch was het geen probleem. Bestuurlijk en financieel was het geen prioriteit — sterker nog, het was een bedreiging voor bestaande inkomstenstromen. De rem zat niet op het kunnen. Die zat op het willen.

Het heeft decennia geduurd voordat beelduitwisseling breed werd ingevoerd. Pas toen externe druk — toezichthouders, zorgverzekeraars, uiteindelijk ook patiëntenorganisaties — groot genoeg werd, verschoof het willen. Niet omdat de technologie ineens beter werd. Die was er al.

Zero Trust: het debat dat niet gewonnen werd

Een jaar of twee later, ergens tussen 2006 en 2008, speelde een vergelijkbaar patroon zich af in een andere context. Zero Trust als beveiligingsprincipe — vertrouw niets, verifieer alles, beperk toegang op basis van identiteit en context — was conceptueel al goed uitgewerkt. De problemen die het aanpakte waren reëel: netwerkperimeters die niet meer klopten, interne dreigingen die onderschat werden, toegangsrechten die veel te breed waren opgezet.

Het debat dat je toen voerde ging niet over de technische merites. Die waren helder genoeg. Het ging over politiek en prioriteit. NAC — Network Access Control — won het debat, niet omdat het beter was, maar omdat het beter paste bij wat organisaties op dat moment bereid waren te doen. NAC was invoerbaar zonder de architectuur fundamenteel te herzien. Zero Trust vroeg om een andere manier van denken over toegang en vertrouwen, en dat botste met hoe organisaties zichzelf hadden ingericht.

Achteraf is het makkelijk om te zeggen dat de keuze voor NAC de verkeerde was. Op het moment zelf was de vraag: hoe ver kun je gaan als de organisatie niet mee wil? Forceren is soms de juiste keuze — maar het vereist draagvlak op het niveau waar budgetten en mandaten liggen. Dat draagvlak was er niet. De discussie bleef technisch, terwijl het eigenlijk een bestuurlijke discussie had moeten zijn.

We betalen daar nog steeds de rekening voor. Veel organisaties in zorg en overheid werken nog altijd met een netwerkmodel dat uitgaat van een vertrouwde binnenkant en een onvertrouwde buitenkant. Die grens bestaat al jaren niet meer.

AI in de beheerlaag: hetzelfde patroon, nieuwe verpakking

Nu is het AI. En het patroon is herkenbaar.

ICT-teams bij gemeenten en ziekenhuizen zijn klein en overbelast. De verhouding tussen wat beheerd moet worden en hoeveel mensen er beschikbaar zijn om dat te doen, klopt al jaren niet. Dat is geen nieuw probleem — het is een structureel probleem dat organisaties bewust hebben laten bestaan, omdat de gevolgen diffuus zijn en de kosten van investeren zichtbaar zijn terwijl de kosten van niet-investeren dat niet zijn.

AI biedt in dit domein reële mogelijkheden. Niet als vervanging van beheerders, maar als versterking van bestaande processen. Geautomatiseerde analyse van logdata, vroegtijdige signalering van afwijkend gedrag in de infrastructuur, ondersteuning bij het afhandelen van terugkerende meldingen — dat zijn geen sciencefiction-toepassingen. Ze bestaan, ze werken, en ze zijn toepasbaar op de schaal van een middelgrote gemeente of een streekziekenhuis.

Het gevaar is niet dat de technologie tekortschiet. Het gevaar is dat management mooie software koopt zonder te begrijpen wat de echte winst is. Een AI-tool bovenop een slecht ingericht beheerproces maakt dat proces niet beter — het maakt de rommel sneller zichtbaar, als je geluk hebt, of verbergt hem effectiever, als je pech hebt. De winst zit niet in de tool. De winst zit in betere beheerpraktijken, waar AI vervolgens op kan bouwen.

Dat vraagt om een andere aankoopbeslissing. Niet: welke tool lost ons probleem op? Maar: wat is ons probleem precies, en wat hebben we nodig om AI daar zinvol in te laten bijdragen? Het eerste gesprek moet gaan over beheervolwassenheid, niet over functionaliteit.

De vraag die zelden gesteld wordt

Het terugkerende patroon in alle drie de voorbeelden is niet technisch. Het is bestuurlijk. De technologie was beschikbaar of is beschikbaar. Wat ontbreekt is de bereidheid om de consequenties te accepteren — financieel, organisatorisch, politiek.

Dat maakt de kernvraag bij elke digitale verandering niet: kunnen we dit? Die vraag is bijna altijd met ja te beantwoorden. De kernvraag is: willen we dit, en wie heeft er belang bij dat het niet gebeurt?

Die tweede vraag wordt zelden expliciet gesteld. Dat is begrijpelijk — het is een ongemakkelijke vraag die mensen en belangen benoemt. Maar het is wel de vraag die het verschil maakt tussen een traject dat vastloopt op schijnbaar technische obstakels en een traject dat werkelijk in beweging komt.

Voor AI in de beheerlaag betekent dit concreet: het gesprek moet niet beginnen bij de leverancier, maar bij de vraag wat beheerteams nu niet kunnen doen omdat ze te weinig tijd hebben, en wat er zou veranderen als ze die tijd wel hadden. Als het antwoord op die vraag helder is, kun je beoordelen of en hoe AI daarbij helpt. Als het antwoord vaag blijft, is de kans groot dat de investering in AI hetzelfde lot treft als de investeringen die er voor kwamen: technisch mogelijk, bestuurlijk niet gewild, en jaren later alsnog onvermijdelijk.

Meer over cloudstrategie, informatieveiligheid en organisatiesturing in de publieke sector via athide.nl.