Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465

Factsheets / Gezondheidsrecht

De wet- en regelgeving rond ICT in de zorg is complex en onduidelijk. Waar moet u rekening mee houden bij ICT-dienstverlening voor de zorg?

> Download de Factsheet
Gezondheidsrecht

> Bekijk ICTRecht Academy cursus ICT & Gezondheidsrecht

Als zorgaanbieder maakt u gebruik van een veelheid aan ICT-toepassingen. Sommige intern en sommige “in the cloud”. De voorwaarden van die toepassingen kunnen de nodige verrassingen voor u bevatten. Voor zorgaanbieders geldt dat u duidelijk voor ogen moet hebben wat u wilt en dat moet overeenkomen met wat u afspreekt.

Voorgaande betekent niet dat u ellenlange SLA’s (Service Level Agreements) nodig heeft, maar wel dat u zich bewust bent van wat u afspreekt, welke gevolgen dit in de praktijk heeft en of de daarbij gebruikte technische middelen voldoende zijn om de afspraken na te komen. Hierbij moet u in ieder geval een zekere continuïteit veilig stellen en waarborgen dat Nederlandse wet- en regelgeving op het gebied van privacy wordt nageleefd.

Inkoopvoorwaarden

Ongetwijfeld heeft u inkoopvoorwaarden, maar zijn die wel afgestemd op de inkoop van ICT-oplossingen? Een clouddienst of softwarepakket afnemen is wezenlijk anders dan inkoop van fysieke producten en adviesdiensten.

Een voorbeeld: mocht u gebruikmaken van SaaS (Software-as-a-Service), dan heeft u via het internet toegang tot uw ICT-dienst. Niet u, maar de SaaS-dienstverlener heeft de server en de daarop draaiende software en database in beheer. Voorgaande betekent dat er voorwaarden moeten worden opgenomen over wat er gebeurt na beëindiging van de clouddienst. Voor een zorgpartij is continuïteit immers van zeer groot belang. Denk hierbij aan afspraken omtrent de migratie van uw data en in welk format deze moeten worden aangeleverd.

Daarnaast moeten er afspraken gemaakt worden over de omvang en duur van de onderhoudsplicht en over het beëindigen van het contract. Dit laatste moet natuurlijk mogelijk zijn als het contract op zijn einde loopt maar ook indien de ICT-dienstverlener zijn verplichtingen niet nakomt. Denk hier bijvoorbeeld aan het niet nakomen van zijn onderhoudsverplichtingen.

Ter hand stellen

Ook is het van belang dat de inkoopvoorwaarden een rechtsgeldig onderdeel van de overeenkomst zijn. Daartoe moet u de voorwaarden expliciet van toepassing verklaren en ter hand stellen voor of op het moment dat de overeenkomst tot stand komt. Indien u dit nalaat, kan de wederpartij ze van tafel vegen bij een eventueel geschil.

U stelt de inkoopvoorwaarden ter hand door ze mee te sturen als bijlage bij de offertemail of op papier te overhandigen. U kunt ze laten gelden door de inkoopvoorwaarden expliciet van toepassing te verklaren in uw offerte waarbij u verwijst naar de bijlage waar ze te lezen zijn.

Compromis

Wees erop bedacht dat de ICT-leverancier uw voorwaarden (gedeeltelijk) van de hand wijst en haar eigen voorwaarden van toepassing wil verklaren. Dat kan uw positie ernstig verzwakken. In dat geval is het essentieel een compromis te zoeken waarbij u een middenweg zoekt tussen u beider voorwaarden. Vaak is het bijvoorbeeld mogelijk om een bijlage te maken bij het contract en enige artikelen uit uw inkoopvoorwaarden te vervangen of niet van toepassing te verklaren.

Continuïteit

Garanderen de gemaakte afspraken de door u gewenste continuïteit? Voor u is het van belang dat u toegang heeft en behoudt tot de door u ingevoerde gegevens. Denk hier aan een elektronisch patiëntendossier (“EPD”), maar ook aan digitaal opgeslagen röntgenfoto’s. Software en digitale gegevens kunnen zomaar ontoegankelijk worden of kwijtraken omdat de technologie niet meer wordt ondersteund of een leverancier failliet gaat. Het is dan ook van groot belang dat u vooraf duidelijke afspraken maakt over de door u ingevoerde gegevens. Op het moment dat u of de leverancier het contract beëindigt, wilt u de informatie zo aangeleverd krijgen dat u de gegevens naar een nieuw systeem kunt migreren.De voorkeur gaat uit naar een formaat dat gebaseerd is op een open standaard.

Het niet langer ondersteunen van uw softwareoplossing door de leverancier kan ook een bedreiging vormen voor uw continuïteit. Wat doet u bij een faillissement of als de leverancier simpelweg de stekker eruit trekt? U kunt afspraken maken en maatregelen nemen om deze bedreiging af te wenden. U kunt eisen dat de dienstverlener de software voor een bepaalde tijd blijft ondersteunen en onderhouden en dat de dienstverlener daarna de opgeslagen gegevens aanlevert in een formaat gebaseerd op een open standaard zodat u in staat bent een nieuw systeem te implementeren. In het geval dat de dienstverlener failliet gaat, kunt u de continuïteit veilig stellen door een derde partij te contracteren die daarvoor zorgt.Het liefst heeft u dan een partij die uw continuïteit naadloos verzorgt. Dat betekent dat de derde partij zowel de toegang tot de software en uw data moet garanderen. Mocht een ander dan uw ICT-leverancier uw EPD hosten, dan moet u daar met deze derde partij dus ook afspraken over maken.

Op een kleinere schaal kan het automatisch verwijderen van patiëntendossiers na het verstrijken van de bewaartermijn  een probleem vormen. De keuze om iets wel of niet te verwijderen kan het beste bij de zorgverlener liggen. Veel wettelijke bewaartermijnen bevatten namelijk de regel dat er langer bewaard moet worden indien nodig geacht voor een goede zorg. Dit kan het geval zijn bij langdurige chronische ziektes.

Privacy

Garanderen de gemaakte afspraken voldoende bescherming van de privacy van uw cliënten en/of patiënten? Op grond  van de Wet geneeskundige behandelingsovereenkomst (“WGBO”) en de Algemene Verordening Gegevensbescherming (“AVG”) bent u verantwoordelijk voor een adequate beveiliging van de verwerkte gegevens. Dit geldt ook voor de gebruikte cloudoplossingen.

Bijvoorbeeld, u maakt gebruik van een EPD dat draait op servers buitenshuis en de door u ingevoerde gegevens worden extern opgeslagen. Dan is het van belang dat de informatiebeveiliging door uw leverancier aan de wettelijke vereisten voldoet en blijft voldoen.

Onder andere om het voorgaande te regelen moet u een verwerkersovereenkomst sluiten met de leverancier. In deze overeenkomst staan tenminste de verantwoordelijkheden ten aanzien van de persoonsgegevens beschreven, wordt vastgelegd dat de leverancier (de verwerker) uitsluitend in uw opdracht de persoonsgegevens mag verwerken en wordt geregeld hoe en op wiens kosten u de informatiebeveiliging mag controleren.

Zijn het systeem en de praktijk ook zo ingericht dat de toegankelijkheid en indeling van de informatie voldoet aan de wet- en regelgeving? Het systeem, maar ook het reilen en zeilen van de zorgpartij moet de juiste informatiebeveiliging waarborgen. De toegang moet technisch zo geregeld zijn dat er identificatie en authenticatie aan vooraf gaat met als gevolg dat de geïdentificeerde alleen toegang heeft tot waartoe hij is geautoriseerd. Om dat te kunnen controleren is het wettelijk vastgesteld dat het raadplegen van de medische dossiers gelogd moet worden. De resultaten van de logging dienen ook weer gecontroleerd te worden, waarbij de controle zo is ingericht dat deze gericht is op het opsporen van verdachte situaties.

Verder moet het systeem zo worden ingericht dat het mogelijk is om de patiënt inzage te geven in zijn of haar dossier. Desgewenst heeft hij recht op een afschrift van het dossier. Tevens moet het mogelijk zijn om correcties uit te voeren op verzoek van de cliënt/patiënt en moeten gegevens vernietigd worden (uitzonderingen daargelaten) als er door de cliënt/
patiënt om gevraagd wordt.

Als alle technische maatregelen zijn genomen, is het van belang dat een ieder die toegang heeft ook in de praktijk zorgvuldig handelt. Voorbeelden van onzorgvuldig handelen zijn het uitlenen van wachtwoorden of toegangspassen en het plakken van post-its met daarop de toegangscodes.

Zijn het systeem en de praktijk ook zo ingericht dat de toegankelijkheid en indeling van de informatie voldoet aan de wet- en regelgeving? Het systeem, maar ook het reilen en zeilen van de zorgpartij moet de juiste informatiebeveiliging waarborgen. De toegang moet technisch zo geregeld zijn dat er identificatie en authenticatie aan vooraf gaat met als gevolg dat de geïdentificeerde alleen toegang heeft tot waartoe hij is geautoriseerd. Om dat te kunnen controleren is het wettelijk vastgesteld dat het raadplegen van de medische dossiers gelogd moet worden. De resultaten van de logging dienen ook weer gecontroleerd te worden, waarbij de controle zo is ingericht dat deze gericht is op het opsporen van verdachte situaties.

Verder moet het systeem zo worden ingericht dat het mogelijk is om de patiënt inzage te geven in zijn of haar dossier. Desgewenst heeft hij recht op een afschrift van het dossier. Tevens moet het mogelijk zijn om correcties uit te voeren op verzoek van de cliënt/patiënt en moeten gegevens vernietigd worden (uitzonderingen daargelaten) als er door de cliënt/
patiënt om gevraagd wordt.

Als alle technische maatregelen zijn genomen, is het van belang dat een ieder die toegang heeft ook in de praktijk zorgvuldig handelt. Voorbeelden van onzorgvuldig handelen zijn het uitlenen van wachtwoorden of toegangspassen en het plakken van post-its met daarop de toegangscodes.

Beveiligingsnormen in de zorg

Er zijn een aantal normen opgesteld over hoe u kunt voldoen aan de wettelijk vereiste beveiliging. Let op! OP grond van bepaalde wet- en regelgeving (zoals het Besluit elektronische gegevensverwerking door zorgaanbieders) kunt u verplicht zijn om aan bepaalde NEN-normen te voldoen. Daarnaast bieden de normen goede handvaten.

  • NEN 7510: de algemene norm over informatiebeveiliging binnen de zorg.
  • NEN 7511: deze aanvulling op de 7510-norm bestaat uit drie delen. De norm geeft toetsbare voorschriften op het gebied van informatiebeveiliging in de zorg voor complexe organisaties (deel I) zoals ziekenhuizen, samenwerkende organisaties (deel II)
    zoals de thuiszorg en solopraktijken (deel III) zoals de huisartspraktijk.
  • NEN 7512: deze aanvullende norm regelt de vertrouwensbasis voor gegevensuitwisseling. De norm stelt minimumeisen aan de bron van de informatie, het transportkanaal en de ontvanger van de gegevens.
  • NEN 7513: deze toevoeging gaat over het (verplichte) stelselmatig registreren van acties op elektronische patiëntendossiers (“logging”).

ECD/EPD bewaartermijnen

Wordt er in uw zorginstelling gebruikgemaakt van een digitaal systeem voor het opslaan van de medische gegevens van uw patiënten of cliënten? Dan mag u deze gegevens niet zomaar weggooien, want de wet bepaalt verplichte bewaartermijnen voor patiënt- en cliëntgegevens.

De verschillende wetten zoals de Wet op de geneeskundige behandelingsovereenkomst en de Zorgverzekeringswet, kennen verschillende bewaartermijnen voor patiënt- dan wel cliëntgegevens. Er bestaat echter overlap wat betreft de toepasselijkheid van de wetten. Dit maakt een en ander minder inzichtelijk. Wij bieden u daarom een praktisch overzicht van de geldende termijnen.

  • Bij een geneeskundige behandelingsovereenkomst: 15 jaar, gerekend vanaf het einde van de geneeskundige behandelingsovereenkomst. De gegevens moeten langer bewaard worden indien dit “uit de zorg van een goed hulpverlener voortvloeit”. Bijvoorbeeld indien de patiënt een erfelijke ziekte heeft, dan kan het voor zijn nabestaanden van zeer groot belang zijn om kennis te kunnen nemen van de  gegevens.
  • Bij langdurige zorg: 7 jaar. Let op! Mocht er ook een verpleegtehuisarts zijn, dan geldt voor de door hem opgeslagen patiëntgegevens weer de bij het vorige bullitpoint genoemde termijn van 15 jaar.
  • In de Jeugdzorg: 15 jaar, in zoverre dat de gegevens in ieder geval bewaard worden tot het jongste kind van het gezin ook meerderjarig is.
  • Bij verplichte opname in een psychiatrisch ziekenhuis: (maximaal) 5 jaar na het verlaten van het ziekenhuis.
  • Bij een medische keuring: zolang noodzakelijk voor het doel van de keuring, in (bijna) elk geval minder dan 15 jaar.
  • Een academisch ziekenhuis: 115 jaar. Dit wordt gerekend vanaf de geboortedatum van de patiënt. De bewaartermijn geldt voor de ontslagbrief, het operatieverslag, het anesthesieverslag, het PA-verslag, het verslag van spoedeisende hulp en bescheiden die gegevens over calamiteiten bevatten.

Het Cbp & clouddiensten

Het College bescherming persoonsgegevens, tegenwoordig de Autoriteit Persoonsgegevens (AP) genoemd, heeft zich uitgesproken over het gebruik van ASP (Application Service Provider) of SaaS oplossingen voor een zorginformatiesysteem. Het College heeft het niet afgekeurd maar wel haar bezorgdheid uitgesproken. Buiten de noodzaak van de genoemde beveiligingsmaatregelen wijst zij op het gevaar van verminking of verlies van gegevens. U kunt (en moet in veel gevallen) het gevaar beperken door de gegevens te koppelen aan het burgerservicenummer van de betreffende patiënt.

Elektronisch medische gegevens uitwisselen

Landelijk of regionaal opgezet, dit blijft zowel juridisch als maatschappelijk een lastige kwestie. Per 1 juli 2017 is een deel van de Wet cliëntenrechten bij elektronische verwerking van gegevens en per 1 januari 2018 het Besluit elektronische gegevensverwerking door zorgaanbieders in werking getreden. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De wet en het besluit zien op de uitwisseling van patiëntgegevens door zorgaanbieders via een elektronisch uitwisselingssysteem. De wet legt uit wat er wordt verstaan onder een elektronisch uitwisselingssysteem en welke plichten de zorgaanbieders hebben bij het gebruik ervan. Daarnaast worden de rechten van de patiënten (“cliënten”) beschreven. Voor opname in een dergelijk systeem is bijvoorbeeld uitdrukkelijke toestemming van de patiënt vereist. In het besluit wordt uitgelegd welke eisen er zijn voor de beveiliging van een elektronisch uitwisselingssysteem en zorginformatiesysteem. Lees hierover meer in onze blog via deze link.

Natuurlijk zijn er eindeloos veel meer juridische vraagstukken bij de implementatie van ICT in de zorg. Niet in het minst vanwege de snelle ontwikkelingen op dat vlak. Stel dan ook gerust uw vraag, wij denken graag met u mee over een juridisch correcte maar ook in de praktijk toepasbare oplossing. Het eerste oriënterende gesprek is gratis.

 

Andere factsheets

  • Gamerecht

    Een game tot een succes maken vereist samenwerking tussen diverse partijen en het nemen van de nodige risico’s. Om dat allemaal in goede banen te leiden, is duidelijkheid met betrekking tot uw juridische positie van groot belang. In deze factsheet benoemen we de belangrijkste punten wat betreft de bescherming van intellectueel eigendom, het aangaan van overeenkomsten met partners, het opstellen van licentie- en gebruiksvoorwaarden en het aanbieden van (promotionele) kansspelen.

  • Het registreren van datalekken

    Heeft u al een datalek gehad? Sinds januari 2016 is het verplicht dit te melden, als het een relatief groot datalek was. Maar vanaf 25 mei 2018 moet u intern documenteren welke datalekken er zijn geweest, ook als het gaat om kleine kwesties.