Deel 8 Leveranciersmanagement: exit, continuïteit

Bij het selecteren van een leverancier voor een IT-dienst is een zorgaanbieder er over het algemeen op uit om een samenwerking voor de langere termijn aan te gaan. Het kan er dan op lijken dat er nogal op de feiten vooruit wordt gelopen indien bij de selectie alvast nagedacht wordt over een exit-strategie en de continuïteit van de dienstverlening. Een exit-strategie en continuïteitsregeling zijn echter van groot belang en spelen niet alleen bij een mogelijk faillissement van de leverancier, maar bijvoorbeeld ook indien het contract wordt beëindigd. Het is noodzakelijk hier vooraf goede afspraken over te maken om informatieveiligheid te waarborgen. Dit is nodig in het kader van goed leveranciersmanagement maar vaak ook om wettelijke plichten na te kunnen komen en goede zorg te kunnen blijven verlenen, ook als bijvoorbeeld de leverancier van het EPD failliet gaat.

Een goed begin...

Bij het inkopen van een nieuwe IT-dienst zijn partijen vaak van goede zin om een samenwerking te starten. Echter, zodra de service dusdanig verslechterd of de leverancier in zwaar weer terecht komt dan kan een afscheid nodig zijn. Uiteraard is dat bij de start niet altijd te voorzien. Gezien de risico’s die een (abrupt) einde van een IT-dienst met zich mee kunnen brengen voor de informatieveiligheid en gezien het feit dat het vaak om medische (persoons)gegevens gaat die onderdeel uitmaken van een dossier, is het goed en vaak verplicht om maatregelen te treffen. Denk hierbij aan het voorkomen van een datalek, het verlies van persoonsgegevens kan immers een datalek vormen. Maar denk hier ook aan de regels over het medisch dossier en bijkomende bewaarplicht van (meestal) 20 jaar.

Bij een goede exit-strategie en continuïteitsregeling is het in het kader van de informatieveiligheid essentieel dat de toegang tot en de overdracht van data worden veiliggesteld. Onderdeel hiervan is dat de leverancier, of, indien de leverancier niet meer bestaat, een derde (meestal een zogenaamde trusted third party) de klant helpt bij het overstappen naar een nieuwe dienstverlener. Bij een beeldbel-applicatie kan hier bijvoorbeeld gedacht worden aan de overdracht van opgeslagen gesprekken, adresboeken en logfiles en het helpen overstappen naar een alternatieve leverancier die dezelfde service en functionaliteit verleent.

Exit-strategie

Voor het overdragen van de data zijn verschillende opties beschikbaar. De meest simpele hiervan is om gebruik te maken van de exportfunctionaliteit en de benodigde data zelf veilig te stellen in een gebruikelijk bestandsformaat. Er moet ook gedacht worden aan eventuele koppelingen met andere systemen, welke het veiligstellen van de data kunnen beperken. Vaak is dergelijke export-functionaliteit niet toereikend om allen data (en metadata) uit IT-systeem te halen en te converteren naar een ander systeem.

Voor een verder uitgewerkte exit-strategie, dan moet onder andere gedacht worden aan de volgende aspecten:

  • Er mogen slechts heel beperkte (liefst geen) uitzonderingen zijn op de exit-regeling en de bepaling moet ingeroepen kunnen worden bij het einde van de overeenkomst.
  • De overeenkomst (en eventuele verwerkersovereenkomst) of continuïteitsregeling moet blijven voortduren totdat de overgang naar de nieuwe leverancier is afgerond.
  • De data en eventuele configuratiegegevens mogen niet verwijderd worden totdat de overgang naar de nieuwe leverancier is voltooid en op juistheid en volledigheid is gecontroleerd.
  • Wie de kosten draagt (vaak de klant).
  • Dat er voldoende personeel op korte termijn door de leverancier beschikbaar wordt gesteld om het proces in goede banen te leiden.

Lees hier  meer over een goede exit-strategie.

Continuïteitsregeling

Bij een continuïteitsregeling doelen we meestal op een regeling die doel treft bij een onverhoopt faillissement van de leverancier. In sommige gevallen wordt de regeling ook ingericht om de gevolgen van een overname, liquidatie van de onderneming of beëindiging van de IT-dienst te mitigeren. Vaak wordt de regeling vormgegeven met gebruik van een derde onafhankelijke entiteit, meestal in de vorm van een stichting. De Stichting zorgt er dan voor dat de dienst gemiddeld 6 maanden tot een jaar doordraait en dat een eventuele exit-regeling doorgang kan vinden, ook in geval van bijvoorbeeld een faillissement van de leverancier. Dan is er de tijd om de data veilig te stellen en over te stappen naar een alternatieve leverancier. Lees hier  meer over wat nodig is voor een goede continuïteitsregeling.

Mocht u nog vragen hebben over deze of eerdere blogs of over leveranciersmanagement in het algemeen, neemt u dan gerust contact met ons op!

Voor nu wensen wij u alvast een gelukkig Nieuwjaar en een prettig leveranciersmanagement!

Terug naar overzicht