Een organogram van een zorginstelling is een visuele weergave van de hiërarchische structuur, afdelingen en verantwoordelijkheden binnen een ziekenhuis, VVT-instelling of GGZ-kliniek. Vanaf 2026 is een strak gedefinieerd organogram niet alleen een HR-tool, maar een harde vereiste voor de Wet toetreding zorgaanbieders (Wtza) en de basis voor IT-beveiliging. Zonder een kloppend organogram is het onmogelijk om Role-Based Access Control (RBAC) in Microsoft Entra ID of een Elektronisch Patiëntendossier (EPD) zoals HiX of Epic veilig in te richten. In dit artikel ontleed je de exacte structuur van een moderne zorginstelling, de wettelijke eisen en hoe je het organogram naadloos koppelt aan je IT-infrastructuur.
Wat is een organogram van een zorginstelling exact?
Een organogram (ook wel organigram genoemd) is een schematisch model dat de commandostructuur binnen een organisatie in kaart brengt. In de zorgsector is dit wezenlijk complexer dan in het reguliere bedrijfsleven. Waar een commercieel bedrijf vaak een simpele piramidestructuur volgt, heeft een zorginstelling te maken met een duale sturing. Medisch specialisten opereren vaak in maatschappen of vrij beroep, terwijl verpleegkundigen en stafafdelingen in loondienst zijn. Dit creëert parallelle hiërarchieën.
Het organogram maakt inzichtelijk:
- Wie de formele eindverantwoordelijkheid draagt (Raad van Bestuur).
- Wie toezicht houdt op de bestuurders (Raad van Toezicht).
- Hoe de klinische en poliklinische afdelingen zich verhouden tot de ondersteunende diensten (zoals IT, HR en Facilitair).
Voor netwerkbeheerders en systeemarchitecten is het organogram het fundament van de IT-infrastructuur. De structuur die in het organogram wordt vastgelegd, wordt één-op-één gekopieerd naar de Organizational Units (OU’s) in Active Directory (AD) en Microsoft Entra ID. Een fout in het organogram betekent direct een fout in de toegangsrechten van medewerkers, wat kan leiden tot datalekken of overtredingen van de NEN7510-norm voor informatiebeveiliging in de zorg.
De standaard hiërarchie en afdelingen in de zorg (2026)
De opbouw van een zorginstelling wordt sterk gedicteerd door wetgeving en governance-codes. Hoewel een academisch ziekenhuis groter is dan een regionale thuiszorgorganisatie, is de basisstructuur anno 2026 grotendeels gestandaardiseerd.
Raad van Toezicht (RvT) of Raad van Commissarissen (RvC)
Bovenaan het organogram staat de RvT. Dit orgaan geeft zelf geen leiding, maar houdt toezicht op de Raad van Bestuur. Onder de Wtza is het voor veel zorginstellingen verplicht om een onafhankelijke interne toezichthouder te hebben. Zij controleren of de organisatie financieel gezond is en of de kwaliteit van zorg gewaarborgd blijft.
Raad van Bestuur (RvB) / Directie
De RvB heeft de dagelijkse leiding over de instelling. Zij bepalen de strategische koers, zijn verantwoordelijk voor de naleving van de Governancecode Zorg en leggen verantwoording af aan de RvT. Binnen de IT-context zijn zij eindverantwoordelijk voor databeveiliging en compliance, een rol die sinds de invoering van de nieuwe Cyberbeveiligingswet (NIS2-richtlijn) zwaarder weegt dan ooit.
Medische Staf en Verpleegkundige Staf
De medische staf bestaat uit artsen en medisch specialisten. In ziekenhuizen is dit vaak een Vereniging Medische Staf (VMS) die adviseert aan de RvB. De verpleegkundige staf of Verpleegkundige Adviesraad (VAR) vertegenwoordigt de verpleegkundigen. Deze staven staan vaak ‘naast’ de lijnorganisatie in het organogram, wat de duale sturing in de zorg typeert.
Zorgdivisies en Zorgkernen
Onder de RvB hangen de divisies (bijvoorbeeld Heelkunde, Interne Geneeskunde, Vrouw & Kind). Elke divisie wordt geleid door een divisiemanager, vaak in een duaal managementmodel samen met een medisch manager. Onder de divisies hangen de specifieke afdelingen en poliklinieken.
Ondersteunende Diensten (Backoffice)
Dit zijn de afdelingen die de primaire zorgprocessen faciliteren. Denk aan:
- Informatisering & Automatisering (I&A) / IT: Beheert servers, netwerken, EPD en werkplekken.
- Human Resources (HR): Verantwoordelijk voor werving, verzuim en contracten.
- Facilitair Bedrijf: Gebouwbeheer, schoonmaak, voeding.
- Financiën & Control: Zorgadministratie en facturatie.
In moderne organogrammen wordt de rol van de Chief Information Security Officer (CISO) steeds prominenter. Om onafhankelijkheid te garanderen, valt de CISO in 2026 vaak direct onder de Raad van Bestuur, en niet onder de IT-manager.
Waarom het organogram de basis is voor IT en Netwerkbeheer
Een organogram is voor een IT-afdeling geen abstracte tekening, maar de blauwdruk voor Identity and Access Management (IAM). In een ziekenhuis of VVT-instelling werken honderden tot duizenden mensen, vaak met wisselende diensten, flexcontracten of als zzp’er. Het handmatig toekennen van IT-rechten is ondoenlijk en extreem foutgevoelig.
Active Directory (AD) en Entra ID structuur
De hiërarchie uit het organogram wordt direct vertaald naar Organizational Units (OU’s) in on-premise Windows Server Active Directory of Security Groups in Microsoft Entra ID (voorheen Azure AD). Een verpleegkundige op de afdeling Cardiologie wordt via een geautomatiseerde koppeling vanuit het HR-systeem in de juiste Entra ID-groep geplaatst.
Role-Based Access Control (RBAC) in de zorg
RBAC is het principe waarbij toegangsrechten worden gekoppeld aan de rol van een medewerker in het organogram, niet aan het individu. Dit is cruciaal voor:
- Elektronisch Patiëntendossier (EPD): Een cardioloog heeft schrijfrechten in het dossier van een hartpatiënt, maar een baliemedewerker mag alleen NAW-gegevens en afspraken inzien. Systemen zoals ChipSoft HiX en Epic leunen zwaar op deze RBAC-modellen.
- Bestandsservers en SharePoint: De afdeling HR heeft toegang tot privacygevoelige personeelsdossiers. Via RBAC is gegarandeerd dat niemand van de afdeling Radiologie deze mappen kan openen.
- Microsoft 365 en applicaties: Licenties worden automatisch toegewezen op basis van de positie in het organogram. Een arts krijgt een Microsoft 365 E5-licentie met geavanceerde security-features, terwijl een stagiair een F3-frontline worker licentie krijgt.
NEN7510 en het ‘Least Privilege’ principe
De NEN7510 is de norm voor informatiebeveiliging in de zorg. Een harde eis hierin is het ‘least privilege’ principe: een medewerker krijgt uitsluitend de IT-rechten die strikt noodzakelijk zijn om zijn of haar functie uit te voeren. Als het organogram niet klopt, of als medewerkers bij een interne overplaatsing hun oude rechten behouden, leidt dit tot non-compliance bij een audit. In 2026 controleert de Inspectie Gezondheidszorg en Jeugd (IGJ) streng op deze koppeling tussen HR-organogram en IT-autorisatiematrix.
De impact van de Wtza en Governancecode Zorg (2026)
De structuur van een zorgorganisatie wordt in Nederland niet vrijblijvend gekozen. Sinds de invoering van de Wet toetreding zorgaanbieders (Wtza) in 2022, en de aangescherpte toezichtskaders in de jaren daarna, gelden er harde eisen voor de inrichting van het organogram.
Transparantie-eisen vanuit de Wtza
De Wtza verplicht zorgaanbieders om transparant te zijn over hun bestuursstructuur en bedrijfsvoering. Voor instellingen die zorg verlenen gefinancierd vanuit de Zorgverzekeringswet (Zvw) of Wet langdurige zorg (Wlz), is een Wtza-vergunning vereist. Een van de eisen voor deze vergunning is de aanwezigheid van een onafhankelijke interne toezichthouder (minimaal drie personen) als de instelling een bepaalde omvang heeft. In het organogram moet de scheiding tussen het bestuur (de uitvoerende macht) en het toezicht (de controlerende macht) glashelder zijn.
Governancecode Zorg 2022 en Sociaal Werk 2025
Naast de Wtza moeten zorginstellingen zich houden aan de Governancecode Zorg (voor ziekenhuizen, VVT, GGZ) of de herziene Governancecode Sociaal Werk 2025 (voor welzijnsorganisaties). Deze codes eisen onder andere:
- Onafhankelijkheid: Leden van de Raad van Toezicht mogen geen direct belang hebben bij de organisatie.
- Medezeggenschap: De positie van de Cliëntenraad en Ondernemingsraad moet expliciet in de organisatiestructuur zijn verankerd. Zij hebben advies- en instemmingsrecht bij belangrijke bestuursbesluiten.
- Digitale veiligheid: Sinds recente updates wordt van zorgbestuurders geëist dat zij aantoonbaar controle hebben over IT-risico’s en cybersecurity. Dit betekent dat functies zoals de CISO en de Functionaris Gegevensbescherming (FG) een directe escalatielijn naar de RvB en RvT moeten hebben in het organogram.
Verschillende modellen voor zorgorganisaties
Hoe het organogram er visueel uitziet, hangt af van het gekozen organisatiemodel. In de zorgsector zien we in 2026 voornamelijk drie dominante modellen.
1. De Lijn-staforganisatie
Dit is het meest klassieke model, veelal gebruikt in grote algemene ziekenhuizen. Er is een duidelijke verticale hiërarchie (de lijn) van RvB, via divisiemanagers naar afdelingshoofden. De stafafdelingen (HR, IT, Kwaliteit) staan hier als ‘zijtakken’ aan vast en adviseren de lijnmanagers. Dit model is overzichtelijk en maakt het inrichten van [INTERNAL:entra-id-implementatie] Entra ID RBAC relatief eenvoudig, omdat de commandostructuur lineair is.
2. De Matrixorganisatie
In academische ziekenhuizen (UMC’s) en complexe zorginstellingen wordt vaak een matrixmodel gebruikt. Hierbij heeft een medewerker twee leidinggevenden. Een verpleegkundige op de afdeling oncologie legt bijvoorbeeld hiërarchisch verantwoording af aan het afdelingshoofd (voor uren en verlof), maar functioneel aan de medisch specialist (voor medisch-inhoudelijke protocollen). IT-technisch is dit complexer: de gebruiker heeft in het netwerk rechten nodig op basis van beide assen van de matrix.
3. Netwerkorganisatie en Zelfsturende teams
In de wijkverpleging, thuiszorg en delen van de GGZ is het model van zelfsturende teams (geïnspireerd door Buurtzorg) de norm. Het organogram is hier heel plat. Er is een kleine directie, een backoffice, en verder bestaan de ‘afdelingen’ uit autonome teams van 10 tot 15 zorgprofessionals. In het HR- en IT-systeem betekent dit dat er veel ‘Teamrollen’ zijn in plaats van klassieke managementrollen. Toegangsrechten tot het EPD worden hier vaak op postcodeniveau of wijk-niveau afgebakend.
Stap-voor-stap: Een organogram opzetten of updaten in 2026
Het bouwen van een sluitend organogram voor een zorginstelling vereist samenwerking tussen HR, directie en IT. Volg dit stappenplan om een toekomstbestendige structuur neer te zetten.
Stap 1: Inventarisatie van functies en rollen
Begin met een export uit het huidige HR-systeem. Welke functies zijn er daadwerkelijk actief? Schrap verouderde functietitels en harmoniseer de benamingen. Een ‘Verpleegkundige niveau 4’, ‘Vpk niv 4’ en ‘Verpleegkundige MBO’ moeten worden samengevoegd tot één gestandaardiseerde functienaam. Dit is essentieel voor een schone [INTERNAL:active-directory-opschonen] AD-koppeling.
Stap 2: Bepalen van de span of control
Analyseer hoeveel medewerkers direct onder één leidinggevende vallen (de span of control). In de zorg ligt dit getal vaak hoog (soms wel 30 tot 50 FTE per teamleider). Zorg dat de hiërarchische lijnen logisch zijn en dat niemand aan meer dan twee personen rapporteert, tenzij het een bewuste matrixstructuur is.
Stap 3: Medezeggenschap en toezicht inbedden
Teken de Raad van Toezicht, de Cliëntenraad, de Ondernemingsraad en de Medische/Verpleegkundige staf in. Gebruik voor deze overlegorganen stippellijnen in plaats van doorgetrokken lijnen, om aan te geven dat zij een adviserende of toezichthoudende rol hebben, en geen hiërarchische sturing geven aan de operatie.
Stap 4: Software kiezen en tekenen
Gebruik gespecialiseerde software om het organogram visueel te maken. Vermijd statische PowerPoint- of Word-documenten; deze zijn binnen een maand verouderd. Kies voor tools die dynamisch koppelen met je brondata.
Stap 5: SCIM-koppeling met IT-infrastructuur
De laatste, en belangrijkste stap voor 2026: koppel het HR-organogram aan je IT-systemen via SCIM (System for Cross-domain Identity Management). Wanneer HR een nieuwe medewerker toevoegt in een specifieke tak van het organogram, creëert de SCIM-koppeling automatisch het Entra ID-account, wijst de juiste Microsoft 365 licentie toe en configureert de RBAC-rechten in het EPD. Bij uitdiensttreding worden alle rechten direct en geautomatiseerd ingetrokken.
Software en tools voor zorg-organogrammen (2026 vergelijking)
Het handmatig tekenen van een organogram is in een dynamische sector als de zorg niet meer van deze tijd. Er is een constante stroom van in-, door- en uitstroom van personeel. Hieronder een vergelijking van de meest gebruikte tools in 2026.
| Software | Doelgroep | IT-Integratie (SCIM/Entra ID) | Prijsindicatie (2026) |
|---|---|---|---|
| Microsoft Visio (Plan 2) | Systeembeheerders, architecten | Ja, via Entra ID / Excel import | € 14,00 per gebruiker/maand |
| Lucidchart | HR-managers, management | Ja, sterke Azure/Entra ID sync | Vanaf € 9,00 per gebruiker/maand |
| AFAS Profit (HRM) | Brede zorginstellingen | Ingebouwd (bronsysteem) | Maatwerk obv FTE |
| Nedap Ons | VVT en Gehandicaptenzorg | Ingebouwd (bronsysteem) | Maatwerk obv FTE |
| Draw.io | Kleine klinieken, startups | Nee (handmatig) | Gratis (Open Source) |
In professionele zorginstellingen is het HR-pakket leidend als ‘Single Source of Truth’. Het organogram wordt hierin opgebouwd op basis van de afdelingsstructuur en de formatieplaatsen. Tools zoals Visio of Lucidchart kunnen deze data inlezen en er automatisch een visueel schema van genereren. Zodra iemand van afdeling wisselt, updatet het organogram in Lucidchart automatisch én passen de netwerkrechten in Entra ID zich aan.
Voorbeeld: Organogram van een algemeen ziekenhuis met Entra ID rollen
Om de brug tussen de organisatiestructuur en de IT-rechten concreet te maken, toont de onderstaande tabel hoe een typisch ziekenhuis-organogram zich in 2026 vertaalt naar Role-Based Access Control in Microsoft Entra ID en het EPD.
| Hiërarchische Laag | Functie / Rol | Entra ID Security Group | EPD (HiX/Epic) Rol | IT Rechten & Toegang |
|---|---|---|---|---|
| Toezicht | Lid Raad van Toezicht | SG_RvT_Leden |
Geen toegang | Alleen toegang tot bestuursportaal, MFA verplicht. |
| Bestuur | Lid Raad van Bestuur | SG_Directie |
Management (Lezen) | Managementrapportages (Power BI), volledige intranet toegang. |
| Onafhankelijk | CISO / Security Officer | SG_IT_Security |
Audit (Lezen) | Entra ID Global Reader, Security Administrator, EPD log-inzage. |
| Lijnmanagement | Divisiemanager Heelkunde | SG_MGT_Heelkunde |
Afdelingshoofd | Goedkeuring HR-workflows, inzage roosters, financiële dashboards. |
| Medische Staf | Cardioloog | SG_MED_Cardiologie |
Specialist_Cardio | Volledige lees/schrijfrechten EPD Cardiologie, e-voorschrijven medicatie. |
| Operatie | Verpleegkundige | SG_VPK_Cardiologie |
VPK_Kliniek | Dossierinzage eigen patiënten, vitale waarden registreren. |
| Ondersteunend | IT Systeembeheerder | SG_IT_Admins |
Systeembeheer | Entra ID Privileged Role Administrator (via PIM), servertoegang via Bastion. |
In dit model is duidelijk te zien dat het ‘least privilege’ principe wordt toegepast. Een lid van de Raad van Toezicht heeft een hoge status in het organogram, maar krijgt absoluut geen toegang tot medische dossiers in het EPD. Een [INTERNAL:windows-server-beheerder] IT-beheerder heeft uitgebreide netwerkrechten, maar mag medische data niet inzien.
Veelgemaakte fouten bij het inrichten van een zorg-organogram
Bij het inrichten van het organogram en de bijbehorende processen gaan zorginstellingen vaak de fout in, wat leidt tot inefficiëntie of veiligheidsrisico’s.
1. Silo-vorming tussen HR en IT
De meest kritieke fout is dat HR het organogram wijzigt (bijvoorbeeld een afdeling opsplitst in twee nieuwe teams), maar dit niet tijdig communiceert aan IT. Het resultaat: nieuwe medewerkers krijgen geen toegang tot de juiste netwerkschijven of het EPD, waardoor zij hun werk niet kunnen doen. Een geautomatiseerde SCIM-koppeling voorkomt dit.
2. Onduidelijke positie van de CISO en FG
In verouderde organogrammen valt de Chief Information Security Officer (CISO) of de Functionaris Gegevensbescherming (FG) onder de IT-manager. Dit is een belangenverstrengeling; de slager keurt zijn eigen vlees. Wettelijk gezien moeten deze rollen een onafhankelijke positie hebben en direct rapporteren aan de directie of Raad van Bestuur.
3. Spook-accounts en verouderde rechten
Wanneer een medewerker promoveert of naar een andere afdeling verhuist, wordt dit in het organogram aangepast, maar in de IT-systemen worden vaak alleen de nieuwe rechten toegevoegd, zonder de oude rechten te verwijderen. Dit fenomeen heet ‘permission creep’. Na vijf jaar heeft een verpleegkundige die op drie afdelingen heeft gewerkt, toegang tot de helft van de patiëntendossiers in het ziekenhuis. Strikte RBAC-handhaving via Entra ID Identity Governance is hier in 2026 de enige oplossing voor.
Veelgestelde vragen
Wat is het verschil tussen een Raad van Bestuur en een Raad van Toezicht?
De Raad van Bestuur (RvB) heeft de dagelijkse leiding over de zorginstelling en neemt de operationele en strategische beslissingen. De Raad van Toezicht (RvT) voert zelf geen beleid uit, maar controleert of de RvB haar werk goed doet, toetst de financiën en fungeert als werkgever voor de RvB.
Is een organogram verplicht voor een Wtza-vergunning?
Ja, indirect. De Wet toetreding zorgaanbieders (Wtza) eist dat de bestuursstructuur en de inrichting van het interne toezicht transparant en controleerbaar zijn. Een actueel en kloppend organogram is het standaard bewijsmiddel dat tijdens een IGJ-inspectie of vergunningsaanvraag wordt opgevraagd om deze structuur aan te tonen.
Hoe koppel je een organogram aan IT-rechten in 2026?
Dit doe je door Role-Based Access Control (RBAC) toe te passen. Het HR-systeem fungeert als bron. Via een SCIM-koppeling worden functiewijzigingen in het organogram direct doorgegeven aan Microsoft Entra ID. Entra ID plaatst de gebruiker in de juiste Security Groups, wat automatisch de juiste rechten in het netwerk en het EPD toekent.
Wat is een matrixorganisatie in een ziekenhuis?
In een matrixorganisatie heeft een medewerker twee sturingslijnen. Een verpleegkundige valt bijvoorbeeld hiërarchisch onder een afdelingsmanager (voor HR-zaken en planning), en functioneel onder een medisch specialist (voor medische protocollen en patiëntenzorg). Dit model bevordert samenwerking maar vereist een complexe inrichting van IT-rechten.
Welke software is het beste voor het maken van een zorg-organogram?
Voor grote instellingen is het aan te raden het organogram direct vanuit het HR-systeem te genereren. Voor visuele weergaves en IT-architectuur is Microsoft Visio (Plan 2) of Lucidchart de standaard in 2026, omdat deze tools direct kunnen synchroniseren met de gebruikersdata uit Microsoft Entra ID.