Zorgverleners ontkomen er bijna niet meer aan. Door de digitalisering binnen de zorg is het werken in de cloud bijna onmisbaar geworden. Neem bijvoorbeeld het huisartseninformatiesysteem (hierna: “HIS”). Het HIS wordt onder andere ingezet voor het bijhouden van het patiëntendossier, het maken van afspraken en versturen van declaraties naar verzekeraars. Ook vanuit de softwareleveranciers is deze verschuiving niet onopgemerkt gebleven met als gevolg dat uit tal van applicaties gekozen kan worden. Zorgverleners moeten goed opletten bij het gebruik van clouddiensten, omdat zij werken met bijzondere persoonsgegevens. Wat zijn de belangrijkste punten waar een zorgverlener rekening mee moet houden?
Met clouddiensten worden via internet bereikbare diensten bedoeld. Nederlandse bedrijven maken steeds vaker gebruik van dergelijke diensten. De zorgsector loopt echter achter op het gebied van adoptie van cloudgebaseerde oplossingen. Er heerst angst bij de instellingen omdat de vrees bestaat dat clouddiensten minder betrouwbaar zijn dan fysieke oplossingen. Door het goed regelen van onderwerpen als beschikbaarheid, exit strategie, continuïteit, beveiliging en privacy kan die vrees worden weggenomen.
Beschikbaarheid van clouddiensten in de zorg is zeer belangrijk
In de eerste plaats is beschikbaarheid van belang. Voor een zorgverlener staat de beschikbaarheid van de dienst voorop, omdat zij te allen tijde over het dossier van de patiënt moeten kunnen beschikken. Daarom moeten er duidelijke afspraken gemaakt worden over beschikbaarheidspercentages en over de gevolgen als dergelijke percentages niet gehaald worden. Ook over het onderhoud van de dienst en de handelswijze bij storingen is het maken van afspraken aanbevolen. Deze afspraken kunnen worden vastgelegd in een Service Level Agreement.
Exit-strategie bij clouddiensten in de zorg
Naast afspraken over de beschikbaarheid van de dienst, is ook een goede exit-strategie belangrijk. Het kan immers voor komen dat er een eind komt aan de dienstverlening en dan is het van belang om te regelen hoe de data wordt teruggegeven. Zeker bij zorginstellingen is het noodzakelijk dat de patiëntgegevens worden teruggeleverd, omdat deze gegevens bijvoorbeeld belangrijk zijn voor inzicht in de medische geschiedenis van de patiënt. De zorgverlener heeft op grond van de wet zelfs een plicht om een dossier van de patiënt bij te houden.
Het is belangrijk om af te spreken hoe en in welke vorm de gegevens worden aangeleverd. Men kan bijvoorbeeld kiezen voor een open source format, zodat data makkelijk gemigreerd kan worden naar een nieuw systeem.
Continuïteit van clouddiensten in de zorg
Een nauw verwant risico is het faillissement van de cloudleverancier of het beëindigen van de dienst door de dienstverlener. De zorgverlener wilt bij een dergelijke situatie natuurlijk niet alle gegevens van zijn patiënten kwijt zijn. Om de continuïteit van de dienst te waarborgen moeten vooraf al duidelijke maatregelen zijn genomen.
In de eerste plaats moeten de essentiële onderdelen van de dienst in kaart te worden gebracht. Daarnaast moet er een partij zijn die de beschikking krijgt over deze essentiële onderdelen en de dienstverlening voortzet op het moment dat de leverancier van de dienst failliet gaat. Daarnaast moeten de rechten en plichten van alle betrokkenen worden vastgelegd in overeenkomsten.
Beveiliging en privacy in de zorgsector
Een ander belangrijk aspect is de beveiliging van de applicatie. Hierbij gaat het om het treffen van passende technische maatregelen om ongeautoriseerde verwerking van vertrouwelijke (persoons)gegevens te voorkomen. Voor zorgverleners geldt dat zij met gevoelige medische gegevens werken, wat een zwaarder regime met zich meebrengt. De NEN 7510 norm is ontwikkeld voor informatiebeveiliging in de zorgsector en bevat een lange reeks technische en organisatorische maatregelen.
Voor het verwerken van bepaalde gegevens, zoals het Burgerservicenummer en het BIG-nummer, is het hanteren van deze norm zelfs verplicht. Ten aanzien van andere medische gegevens wordt de norm gebruikt door de toezichthouder, de Inspectie voor de Gezondheidszorg, bij het uitvoeren van inspecties. Niet alleen de leveranciers van de dienst moeten dit in acht nemen, ook de zorgverlener zelf moet zich bewust zijn van de rollen en verantwoordelijkheden van andere partijen.
Door de snelle technologische ontwikkelingen is de Wet bescherming persoonsgegevens bewust ‘technologie-neutraal’ opgesteld, waardoor de wet vage begrippen bevat. De uitwerking van de wettelijke eisen aan de beveiliging wordt hier verder uitgelegd.
Bij het afnemen of leveren van clouddiensten is het belangrijk om rekening te houden met de privacyaspecten. Zeker zorgverleners zijn erbij gebaat dat de privacy van de patiënten gewaarborgd wordt, doordat zij werken met bijzondere persoonsgegevens. Maar ook voor de leverancier is het belangrijk de privacyrechtelijke aspecten goed te regelen. Afspraken over onder andere beveiligingsmaatregelen, doorgifte van persoonsgegevens, de meldplicht datalekken, het auditrecht en geheimhouding kunnen worden vastgelegd in een bewerkersovereenkomst.
Voldoen aan de privacywetgeving is belangrijk, aangezien de toezichthouder op het gebied van de privacywetgeving, de Autoriteit Persoonsgegevens, boetes tot EUR 820.000 op kan leggen. Met de komst van de Algemene Verordening gegevensbescherming op 25 mei 2018 wordt deze boetebevoegdheid verruimd, waardoor de boetes op kunnen lopen tot EUR 20 miljoen of, indien hoger, vier procent van de wereldwijze jaaromzet.
Bovenstaande uitleg geeft een kort overzicht van de belangrijkste voorwaarden voor het goed regelen van het gebruik van clouddiensten (in de zorg). Met de juiste voorbereiding kunt u dus met een gerust hart de cloud in stappen!
Training ICT en gezondheidsrecht
Werkt u bij een zorginstelling en vraagt u zich af hoe u dient te werken in de cloud en wat de regels zijn voor het uitwisselen van medische gegevens online? Deze en meer van dit soort vraagstukken worden behandeld tijdens deze training.
