Vanaf dinsdag 11 maart 2025 stopt het ziekenhuis Isala in Zwolle met het gebruik van Zivver voor het verzenden van vertrouwelijke patiëntgegevens. In plaats daarvan gaat de organisatie over op Bastion365 — een systeem dat volledig is geïntegreerd in Microsoft Outlook, werkt op mobiele apparaten en toegankelijk is via de browser. De overgang is geen gewone IT-update. Het is een reactie op een diepere crisis: de Amerikaanse overname van Zivver door Kiteworks in juni 2025, die de belofte van volledige vertrouwelijkheid ondermijnde. Nu valt alle Nederlandse gezondheidsdata onder Amerikaanse wetgeving — en dat is niet acceptabel voor een ziekenhuis dat zich aan de Europese AVG en Nederlandse NTA7516 moet houden.
Waarom werd Zivver onveilig?
Toen Isala in maart 2018 overstapte naar Zivver, was het een revolutie. Het systeem herkende automatisch woorden als ‘diagnose’ of ‘medicatie’ en vroeg of je een beveiligde mail wilde sturen. Je kon bestanden van tot wel 5 terabyte verzenden — veel groter dan wat Zorgmail kon. Het werd een pilot in afdelingen als obstetrie en het hartcentrum, en uiteindelijk hospital-wide. Maar alles veranderde op 18 juni 2025, toen de Amerikaanse firma Kiteworks Zivver overnam. Een onderzoek van Follow the Money, gepubliceerd op 13 november 2025 door Armarium, toonde aan: ‘Berichten in sommige gevallen tóch leesbaar bij Zivver terechtkomen. Bovendien valt alle data nu onder Amerikaanse wetgeving.’ Dat betekende: de Nederlandse privacywetgeving was geen garantie meer. Gegevens van Nederlandse patiënten konden nu worden opgevraagd door Amerikaanse autoriteiten — zonder toestemming van de patiënt of de Nederlandse overheid. Voor Isala was het einde van het vertrouwen.Hoe werkt Bastion365 nu?
Bastion365 doet hetzelfde als Zivver — maar zonder de risico’s. Het blijft volledig geïntegreerd in Outlook. Patienten en zorgverleners kunnen nog steeds grote bestanden sturen. De belangrijkste verandering: de backend is nu Europees, met datacenters in de EU. Geen Amerikaanse wetten. Geen ongecontroleerde toegang. Voor de ontvanger zijn er drie mogelijkheden: als je een beveiligde e-mailserver hebt (bijvoorbeeld van een Nederlandse zorgaanbieder met NTA7516-certificaat), dan komt de mail direct in je inbox. Als je bij een erkende provider zit — zoals CZ of Zilveren Kruis — krijg je een melding: ‘Er is een veilige boodschap voor u klaar.’ Maar voor anderen? Dan moet je klikken op een link, een code ontvangen via SMS, en je identiteit bevestigen. Dat klinkt als een stapje terug, maar het is een bewuste keuze: veiligheid boven gemak. Isala benadrukt dit op Instagram: ‘Overstap naar Bastion365 – Veilig mailen wordt nóg makkelijker!’Wie wordt er door deze verandering geraakt?
De impact is gigantisch. Isala heeft contracten met 27 zorgverzekeraars in 2025 — waaronder CZ, Zilveren Kruis, ASR Ziektekostenverzekeringen, Aevitae, Interpolis Zorgverzekeringen en Zorg en Zekerheid. Elke mail over een behandeling, een verzekering of een medicatie-aanpassing loopt nu via Bastion365. Dat betekent: alle patiënten, huisartsen, fysiotherapeuten, apothekers en administratieve diensten die met Isala communiceren, moeten zich aanpassen. Sommigen merken het nauwelijks. Anderen, vooral bij kleinere zorgaanbieders zonder geavanceerde IT, krijgen een extra stappenplan. Het is geen kleine omschakeling — het is een nieuwe standaard voor digitale zorgcommunicatie in Nederland.
Wat betekent dit voor de hele gezondheidssector?
Isala is niet de eerste, maar wel een van de meest zichtbare organisaties die de stappen zetten. De overname van Zivver door Kiteworks was een waarschuwing voor heel de Nederlandse gezondheidszorg. Veel ziekenhuizen en huisartsenbureaus hadden Zivver als ‘het standaard’ beschouwd. Nu moeten ze opnieuw keuzes maken. De Nederlandse Gezondheidszorg Informatievoorziening (NGI) en het College voor de Zorgautoriteiten (CVZ) hebben al aangegeven dat ze de overgang naar Europese oplossingen aanmoedigen. Bastion365 is nu een van de weinige platforms die zowel functioneel als juridisch voldoet. Het is een teken: in de gezondheidszorg is data niet een product. Het is een recht. En dat recht mag niet afhankelijk zijn van de locatie van een server in Texas of Californië.Wat komt er nu?
Isala zegt dat de overgang soepel verloopt. Er zijn instructies voor patiënten en partners beschikbaar op de website. Maar de echte test komt nu: hoe reageren andere zorgorganisaties? Zullen ze volgen? Of blijven ze bij Zivver, ondanks de risico’s? De komende maanden zullen we zien of Bastion365 de nieuwe standaard wordt — of dat er nog meer Europese alternatieven opkomen. Wat zeker is: de tijd van ‘het maakt niet uit waar de data ligt’ is voorbij. De GDPR is geen papieren belofte. Het is een levensvatbare wet — en nu wordt ze ook daadwerkelijk toegepast.Frequently Asked Questions
Hoe weet ik als patiënt of mijn mail veilig is ontvangen?
Als je een e-mailadres hebt van een Nederlandse zorgverzekeraar zoals CZ of Zilveren Kruis, krijg je vaak een melding dat een veilige boodschap klaar staat. Als je een privé-e-mailadres gebruikt, krijg je een link waar je via SMS een code moet invoeren. Als je de mail gewoon in je inbox ziet zonder extra stappen, is dat ook veilig — maar alleen als jouw provider NTA7516-certificeerd is. Isala geeft duidelijke instructies op hun website voor alle ontvangers.
Waarom kon Zivver niet blijven gebruikt worden?
Omdat Zivver in juni 2025 werd overgenomen door het Amerikaanse bedrijf Kiteworks, vielen alle gegevens onder Amerikaanse wetgeving. Volgens een Follow the Money-onderzoek konden berichten in sommige gevallen toch leesbaar zijn bij Zivver, en konden Amerikaanse autoriteiten toegang vragen tot Nederlandse patiëntgegevens — zonder Nederlandse toestemming. Dat stond in directe tegenspraak met de AVG en de Nederlandse NTA7516-normen.
Kan ik nog steeds grote bestanden sturen met Bastion365?
Ja, Bastion365 ondersteunt bestanden tot 5 terabyte — net als Zivver. Dat is cruciaal voor zorgprofessionals die bijvoorbeeld MRI-scans, lange videoconsults of uitgebreide patiëntdossiers moeten delen. De technische capaciteit is behouden, maar de infrastructuur is nu volledig binnen de EU, waardoor de privacywetgeving geldt die je verwacht: Nederlandse en Europese regels, niet Amerikaanse.
Hebben andere ziekenhuizen ook al overgestapt?
Enkele grote ziekenhuizen, zoals het UMC Utrecht en het Erasmus MC, zijn al op zoek naar alternatieven, maar Isala is de eerste die een volledige overgang heeft afgerond. Er zijn al meer dan 15 zorgorganisaties die Bastion365 testen, en de Nederlandse Gezondheidszorg Informatievoorziening (NGI) houdt de ontwikkeling nauwlettend in de gaten. De markt is in beweging — en Isala zet een voorbeeld.
Wat als ik geen SMS kan ontvangen?
Isala biedt alternatieven: je kunt ook een verificatielink ontvangen via e-mail, of een beveiligde code via een app zoals Microsoft Authenticator. Voor oudere patiënten of mensen zonder mobiel is er ook de optie om een code te laten sturen naar een vaste telefoonlijn. Het systeem is ontworpen om inclusief te zijn — ook al is de beveiliging streng. De prioriteit is: niemand mag gegevens inzien die niet zijn bedoeld voor hem of haar.