Sign in

May 19, 2026 · collaboration hub · GDPR · compliance · product

Gegevens delen tussen organisaties: vier vormen en waar het misgaat

Strikte wetgeving, kwetsbare praktijk. Over de vier manieren waarop organisaties vertrouwelijke informatie uitwisselen, wat de wet van hen vraagt, en waarom een veilige samenwerkingslaag het meest pragmatische antwoord is.

Elke dag wisselen organisaties onderling grote hoeveelheden gevoelige informatie uit. Een wijkteam dat afstemt met een zorgaanbieder, een accountant die schakelt met een cliënt, een werkgever in overleg met de arbodienst. Die uitwisselingen zijn meestal noodzakelijk; het is een voorwaarde voor goede dienstverlening. Denk aan de aanpak van meervoudige problematiek, complexe ketensamenwerking, regionale zorgnetwerken, publiek-private samenwerking, en de inzet van externe specialisten en freelancers.

En toch is dit in de praktijk organisatorisch en juridisch complex.Professionals moeten vaak snel handelen, terwijl een groeiend stelsel van wetgeving hen dwingt tot uiterste zorgvuldigheid. Denk aan de AVG, NIS2, de Cyberbeveiligingswet en de AI Act. Tel daar sectorspecifieke wetten bij op, zoals de Jeugdwet, de Wmo of de Wet politiegegevens. Al deze regels kunnen elkaar aanvullen, maar soms ook rechtstreeks tegenwerken. Nieuwe wetgeving, zoals de Wet aanpak meervoudige problematiek sociaal domein (Wams), probeert juist duidelijkheid te scheppen. Door gemeenten een heldere wettelijke basis te geven voor het delen van gegevens bij complexe casussen, verdwijnen de belemmeringen waar professionals jarenlang tegenaan liepen.

Ondertussen moet het dagelijkse werk wel doorgaan. Hoe lossen professionals dit in de praktijk op? Grofweg zijn er vier manieren om gegevens uit te wisselen, elk met eigen voordelen en specifieke risico's.

Vier vormen van gegevensuitwisseling en waarom ze schuren

1. Geautomatiseerde ketenuitwisseling

Dit is de meest gereguleerde variant. Denk aan het iWmo-berichtenverkeer in het sociaal domein of CORV binnen de justitieketen. Gegevens stromen hierbij automatisch van het ene bronsysteem naar het andere, via vaste standaarden en zonder dat een medewerker handmatig hoeft in te grijpen. Steeds vaker kijken organisaties naar Europese standaarden zoals International Data Spaces (IDS). Dit is een blauwdruk voor gecontroleerde datadeling waarbij de oorspronkelijke eigenaar de regie over de eigen gegevens behoudt.

Het knelpunt: Deze systemen zijn veilig en getoetst, maar ook kostbaar, traag en weinig flexibel. Ze zijn ontworpen voor voorspelbare, herhalende informatiestromen. Ze kunnen daarnaast privacyrisico's met zich meebrengen door het ontbreken van afmeldopties, waardoor het voor patiënten of cliënten lastig is om bezwaar te maken tegen de uitwisseling van hun gegevens.

Voor een acute situatie op maandagmiddag biedt deze methode geen uitkomst. Bovendien hebben veel partners, zoals een zelfstandige therapeut of een advocaat, vaak geen toegang tot deze systemen..

2. Gedeelde online werkruimtes

Denk aan Microsoft Teams, Slack, of sectorspecifieke omgevingen zoals Karify of Nedap ONS. Dit biedt meer flexibiliteit: samenwerken en bestanden delen in een gezamenlijke omgeving. Met mogelijkheden om ook cliënten of burgers tot een afgebakend deel van het bronsysteem toe te laten.

De keerzijde: er is altijd een partij die de spelregels bepaalt. Wie inlogt bij de ander, verliest de regie over zijn eigen gegevens. Samenwerkingen zijn meestal ook tijdelijk van aard. Maar na afloop wordt vaak vergeten om toegang in te trekken. Bovendien ontbreekt bij veel van deze platforms een zogeheten zero-knowledge architectuur: de leverancier kan in principe bij de inhoud. Bij Microsoft Teams betekent dit potentieel inzage vanuit de VS, met alle geopolitieke risico's die daar tegenwoordig bij horen. Daar komt bij dat de wet in bepaalde sectoren strikte eisen stelt aan gegevensscheiding; samenwerken in elkaars systemen is dan simpelweg niet toegestaan.

3. Sociale interactie

Dit is de informele, relationele stroom. Het richt zich puur op het onderlinge, laagdrempelige contact tussen de organisatie (hulpverleners, ambtenaren, juridische professionals) en vaak de cliënt of inwoner zelf. Denk aan beveiligde groepschats, overlegplatforms of digitale "buurtkamers". Berichtjes sturen, bellen of afstemmen via een beveiligde groepschat. Het doel is om snel te kunnen schakelen en de sociale samenhang rondom een casus warm te houden.

De keerzijde: hoe goed de bedoeling ook is, hier vervagen de grenzen tussen informele afstemming en formele dossiervorming het snelst. Zodra een korte bespreking overgaat in het delen van gevoelige details of strategische besluiten, belanden die in een vluchtig medium zonder structuur, vastlegging of bewaartermijn.

4. Ad-hoc uitwisseling

De meest gebruikte vorm in de praktijk: gewone e-mail, WhatsApp, We-Transfer, een usb-stick of een gedeelde link naar een cloudmap. Niet omdat organisaties dit aanbevelen, maar omdat het werkt. Iedereen heeft het bij de hand, en het vraagt niets extra.

De keerzijde: juist hier gaat het het vaakst mis. Een bericht naar het verkeerde adres, een bijlage die blijft rondhangen in een inbox, een appgroep waar nog een oud-collega in blijkt te zitten. Beveiligde e-mail, zoals Zivver, is een bewuste verbetering ten opzichte van gewone e-mail, maar ook dat lost het structurele probleem niet op: zodra de ontvanger het bestand opslaat en doorstuurt, is de audittrail verbroken en de doelbinding verdwenen.

Waarom dit ook een beveiligingsprobleem is

Veel organisaties denken bij informatiebeveiliging nog steeds primair aan toegangsbeheer: wie mag ergens inloggen? Maar moderne risico's gaan dieper. Een beveiligde verbinding betekent niet dat de inhoud ook beschermd blijft. Veel samenwerkingsplatformen versleutelen gegevens tijdens transport, maar kunnen de inhoud zelf nog steeds lezen, analyseren of scannen. Dat geldt ook voor metadata: wie met wie communiceert, wanneer, hoe vaak en waarover. Juist die metadata is in samenwerkingsverbanden vaak bijzonder gevoelig.

Bij een zero-knowledge architectuur liggen de sleutels volledig bij de gebruikers zelf. De leverancier kan de inhoud niet lezen, technisch niet, juridisch niet, operationeel niet. Dat heeft positieve gevolgen voor de bescherming van de gegevens:

  • Gegevens blijven onleesbaar bij een datalek of hack.
  • Buitenlandse juridische claims of clouddwang verliezen hun effect.
  • Interne beheerders bij de leverancier kunnen niet meekijken.
  • Organisaties behouden grip op hun eigen vertrouwelijkheid en digitale soevereiniteit.

Veiligheid verschuift daarmee van vertrouwen in een leverancier naar cryptografische zekerheid.

Samenwerking vraagt ook om informatiebeheer

Veilig samenwerken draait niet alleen om encryptie. Organisaties moeten ook kunnen sturen op de volledige levenscyclus van informatie. De kernbeginselen die steeds terugkomen in de wetgeving zijn:

  • Doelbinding: gebruik gegevens alleen voor het vooraf afgesproken doel.
  • Dataminimalisatie: deel alleen wat strikt noodzakelijk is. Niet het hele dossier als een alinea volstaat.
  • Toegangscontrole: zorg dat alleen bevoegden erbij kunnen en leg vast wie dat zijn.
  • Integriteit en vertrouwelijkheid: bescherm gegevens technisch tegen onbevoegde inzage of wijziging.
  • Aantoonbaarheid: kun je achteraf aantonen dat je het conform de regels hebt gedaan?
  • Bewaartermijnen: automatische verwijdering of archivering na de geldende termijn.
  • Intrekbaarheid: de mogelijkheid om toegang in te trekken of gegevens te verwijderen wanneer dat nodig is.

In de praktijk gaat dit regelmatig mis zodra informatie buiten het bronsysteem terechtkomt. Een pdf in een mailbox kent geen bewaartermijn. Een doorgestuurd bestand verliest zijn context. Gegevens delen via WhatsApp is nauwelijks nog beheersbaar.

Een goede samenwerkingslaag dwingt meer structuur af: toegang per dossier of deelnemer, automatische verwijdering, intrekbare rechten, auditlogs, controle over hergebruik. Pas dan wordt veilige samenwerking ook bestuurbaar.

Waarom bestaande tools hier vaak niet voor zijn ontworpen

De meeste gangbare samenwerkingsplatforms zijn in de kern gebouwd voor samenwerking binnen een organisatie, niet voor de complexe verhouding tussen zelfstandige organisaties met verschillende wettelijke verantwoordelijkheden, grondslagen en bewaarverplichtingen. Dat verschil is wezenlijk.

Binnen een organisatie is centrale controle logisch. Maar zodra meerdere organisaties samenwerken, ontstaat juist behoefte aan gescheiden verantwoordelijkheden, minimale gegevensdeling, tijdelijke toegang, controleerbare toestemming en onafhankelijke governance. Er zijn oplossingen die die samenwerklaag wel bieden, maar die zijn meestal ontwikkeld bovenop het feitelijke bronsysteem en niet ontworpen met veilig samenwerken als basisdoel.

Daar wringt het. En als een veilig systeem tien klikken kost en een extra aanmeldstap vereist terwijl de collega aan de andere kant geen account heeft, grijpt de professional naar de telefoon of WhatsApp. Niet omdat het mag, maar omdat het werk af moet. Veiligheid die niet wordt gebruikt, beschermt niets.

De veilige hub als pragmatisch antwoord

Betere handhaving en bewustwording zijn belangrijk, en ze blijven nodig. Mensen maken fouten, en regels zonder naleving zijn leeg. Maar handhaving lost het onderliggende ontwerpprobleem niet op. Zolang de veilige weg onhandig is en de onveilige weg snel werkt, weet je wat mensen kiezen.

De oplossing zit in een slimme tussenlaag: een veilige, onafhankelijke hub die organisatiegrenzen overbrugt zonder dat iedereen in elkaars interne systemen hoeft. Niet als vervanging van bestaande bronsystemen, maar als een onafhankelijke ontmoetingsplek voor wat organisaties samen moeten doen, zonder de rest van de organisatie mee te slepen.

Een goede hub pakt de dagelijkse praktijk op de volgende manieren aan:

Alleen delen wat nodig is.
Echte dataminimalisatie betekent soms dat de andere partij alleen hoeft te weten of iets het geval is, zonder de onderliggende rapportage in te zien. Dat-informatie in plaats van wat-informatie.

Opslaan en aanmaken binnen de beveiligde omgeving.
Niet alles wat relevant is voor de samenwerking bestaat al als document elders. Gespreksverslagen, logboekregels en notities kunnen direct binnen de versleutelde werkruimte worden aangemaakt en bewaard, zodat alles wat bij een casus of project hoort op een plek samenkomt.

Zero-knowledge architectuur.
Volledige client-side encryptie zorgt ervoor dat ook de platformleverancier nooit bij de inhoud kan. Onleesbaar bij datalekken, onbruikbaar bij buitenlandse juridische claims.

Onweerlegbaar audittrail.
Elke actie wordt technisch ondertekend vastgelegd. Bij een inspectie of juridische toetsing is direct aantoonbaar wie wanneer toegang had en wat er is gebeurd.

Praktisch voor externe partijen.
Geen gedoe met accounts aanmaken voor partners die eenmalig iets moeten aanleveren. Veilig uitvragen via een beveiligde link, met formulieren die direct structuur aanbrengen in wat er binnenkomt.

Verbonden met de rest, waar dat nodig is.
Voor organisaties die informatie die via de hub binnenkomt ook willen verwerken in hun eigen bronsysteem, is terugkoppeling mogelijk via agents. De hub wordt zo niet alleen een veilige ontmoetingsplek, maar ook een schakel in de bredere datapipeline: gecontroleerd, gestructureerd en met de juiste grondslagen.

Gebruiksvriendelijk, op elk apparaat.
Een interface die niet vraagt om een opleiding, en die werkt op laptop, tablet en telefoon. Want veiligheid die niet wordt gebruikt, beschermt niets.

En ja, er blijven kwetsbaarheden

Een veilige hub lost niet alles op. Informatie die veilig is uitgewisseld, wordt daarna opgeslagen in lokale systemen die hun eigen risico's kennen. Mensen maken fouten. Systemen hebben kwetsbaarheden.

Maar het onderscheid tussen uitwisseling en opslag is relevant. Een groot deel van de datalekken ontstaat niet in de opslag, maar tijdens de overdracht: informatie die onderweg wordt onderschept, op het verkeerde adres belandt, te lang blijft hangen in een inbox of wordt gedeeld met te veel mensen.

Een veilige hub verhoogt de standaard op precies dat kwetsbare moment, en biedt tegelijk de structuur die maakt dat samenwerking niet langer hoeft te botsen met verantwoording, vastlegging en naleving.

Databeamer als neutrale samenwerkingslaag

Databeamer is ontwikkeld voor situaties waarin organisaties wel moeten samenwerken, maar niet volledig in elkaars systemen kunnen of mogen werken. Niet als vervanging van bestaande bronsystemen, maar als een onafhankelijke vertrouwenslaag daartussen: volledig end-to-end versleuteld, met hybride post-quantum encryptie, gebouwd in Europa, zonder AI-scanning op inhoud, en met grip op toegang, vastlegging en bewaartermijnen.

Zodat samenwerking niet langer hoeft te botsen met veiligheid en regelgeving.