In de blog Ehealth in 2025: ga goed voorbereid de cloud in! gaf ik aan dat er over de hieronder beschreven (1-4) onderwerpen afspraken gemaakt moeten worden. In deze blog ga ik in op de afspraken over het tweede en derde onderwerp.
1. security en privacy aspecten bij ontwikkeling van, verbinding met en gebruik van applicaties;
2. continuïteit van de applicatie bij faillissement van dienstverlener;
3. exit strategie t.b.v. data als partijen uit elkaar gaan;
4. verdeling van verantwoordelijkheden en daaraan gekoppelde (beperking van) aansprakelijkheid van de zorgverlener en/of ontwikkelaar van de applicatie.
De continuïteit van de dienst (punt 2) en de data (punt 3) kan in meer of mindere mate geregeld worden. Hoe ver je daarin gaat hangt samen met de antwoorden op de vragen:
Noodzakelijk is dat ingevoerde patiëntdata bij het einde van de dienstverlening (als je stopt met het gebruik van de applicatie) aan de zorginstelling en/of patiënt wordt geleverd. Voor data geldt: het is belangrijk om af te spreken hoe en in welk formaat (bijvoorbeeld een open source formaat) het wordt aangeleverd. Dat is noodzakelijk om de data te kunnen migreren naar een nieuw systeem.
Sommige eHealth applicaties zullen van zo’n groot belang zijn dat de continuïteit van de hele applicatie gewaarborgd moet worden. Denk bijvoorbeeld aan een EPD in de cloud. Als een dienstverlener failliet gaat, heeft de curator het recht de stekker uit de dienstverlening te trekken. Een zorginstelling zou dan geen toegang meer hebben tot het EPD: een curator hoeft namelijk bestaande overeenkomsten niet na te komen. Om de continuïteit van de dienst en/of de data te regelen bij faillissement is er dus meer nodig dan enkel een overeenkomst. Vaak moeten er juridische en organisatorische maatregelen worden getroffen die in stand blijven, óók als de dienstverlener failliet gaat (lees hier meer).
Het voorbeeld van het faillissement van Info Technology laat zien dat de curator bij de beslissing naast het belang van de schuldeisers ook het algemeen belang kan laten meewegen. Info Technology was een hosting service provider die met name EPDs op zijn servers had staan. In dit geval heeft de curator ervoor gezorgd dat de servers niet direct offline gingen. Dat dit echter eerder uitzondering is dan regel wordt ook door de politiek bevestigd. Als de curator geen middelen heeft – als er kortom niets meer in de boedel zit – dan zal hij eerder de stekker eruit trekken. Dat is ook de reden dat Minister Schippers zorgverleners aanbeveelt zelf afspraken te maken over continuïteit.
Volgende week zal ik ingaan op de afspraken over het vierde onderwerp.
Werkt u bij een zorginstelling en vraagt u zich af hoe u dient te werken in de cloud en wat de regels zijn voor het uitwisselen van medische gegevens online? Deze en meer van dit soort vraagstukken worden behandeld tijdens deze training.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.