Vestiging Amsterdam

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Factsheets / ICT-leveranciers & Zorg

Levert u ICT-diensten aan een zorgorganisatie? Dan wilt u goede afspraken maken met  de zorgorganisatie.

Niet alleen over welke dienst u precies gaat leveren maar ook over de voorwaarden waaronder u die diensten levert en wie waarvoor verantwoordelijk is. Het kan zijn dat er een machtsverschil bestaat in uw relatie met de afnemer van uw dienst. Een groot ziekenhuis zal willen dat u met haar voorwaarden instemt. Dit kan betekenen dat u verantwoordelijkheden op u neemt die u niet wilt of kan dragen.

Hieronder vindt u ons praktisch advies ten aanzien van de juridische kant van het leveren van diensten aan organisaties in de zorg, waar u dan specifiek op moet letten en hoe u voorkomt dat u toezeggingen doet die u niet kan waarmaken.

> Download de factsheet ‘ICT-leveranciers & Zorg’

> Bekijk ICTRecht Academy cursus ICT & Gezondheidsrecht

Algemene voorwaarden

Voor u als leverancier zijn algemene voorwaarden van het grootste belang. Deze ‘kleine lettertjes’ regelen de randvoorwaarden die u voor al uw klanten wilt laten gelden. Ze zijn dan ook algemeen geformuleerd. Algemene voorwaarden kunnen bijvoorbeeld betrekking hebben op betaling, contractsduur, eigendomsvoorbehoud, leveringsvoorwaarden, levertijd en overmacht.

Een belangrijke beperking is dat algemene voorwaarden niet de kern van de prestatie (de essentie van de overeenkomst) mogen aangeven. Denk bij de ‘kern van de prestatie’ bijvoorbeeld aan de prijs of de omschrijving van het te leveren product. Dat kan geen algemene voorwaarde zijn. Deze zaken moeten dus expliciet in de offerte worden vermeld. Wel mag u in de algemene voorwaarden opnemen hoe u prijzen en dergelijke berekent of wijzigt.

Van toepassing verklaren

Om uw algemene voorwaarden een rechtsgeldig onderdeel van de overeenkomst te laten zijn, moet u deze expliciet van toepassing verklaren en ter hand stellen. Indien u de algemene voorwaarden op de verkeerde manier aanlevert, kan de wederpartij ze van tafel vegen bij een eventueel geschil. U stelt de algemene voorwaarden ter hand door ze mee te sturen of op papier te overhandigen. U kunt ze laten gelden door de algemene voorwaarden expliciet van toepassing te verklaren in uw offerte waarbij u verwijst naar de bijlage waar ze te lezen zijn.

Aandachtspunten voor uw algemene voorwaarden

Minstens zo belangrijk is dat uw algemene voorwaarden zijn toegesneden op de dienst die u levert. Omdat u zaken doet met zorginstellingen, moet u vooral letten op de volgende onderwerpen:

  • Aansprakelijkheid. U moet afspraken maken over in hoeverre u aansprakelijk bent voor het verlies van (persoons-)gegevens en voor down-time. U wilt natuurlijk uw aansprakelijkheid beperken. Uw klant zal juist het tegenovergestelde willen. Een fair compromis kan u hier veel discussie besparen.
  • Koppelingen met andere ICT-diensten. U moet afspraken maken over wie er verantwoordelijk is voor zulke koppelingen en waar wiens verantwoordelijkheid eindigt. Voornamelijk afspraken met betrekking tot persoonsgegevens en eventuele lekken van deze privacygevoelige gegevens, zijn van grote importantie.
  • Persoonsgegevens. Vaak zal uw ICT-dienst persoonsgegevens opslaan of versturen. Elektronische patiënten- en cliëntendossiers zijn hiervan een voorbeeld. De wet eist dat u een bewerkersovereenkomst heeft met de zorginstelling. Heeft u die ook? Indien uw dienst niet van doen heeft met persoonsgegevens, leg dan vast in de algemene voorwaarden dat u ook geen toegang heeft of krijgt tot deze gegevens. Natuurlijk moet u het een en ander dan technisch zo inrichten dat u ook daadwerkelijk geen toegang heeft.

Inkoopvoorwaarden

Een zorginstelling zal vaak uw voorwaarden afwijzen en haar eigen inkoopvoorwaarden van toepassing verklaren. De inhoud van inkoopvoorwaarden is helaas vaak een sprekend voorbeeld van de machtsverhouding tussen grotere en kleinere partijen. Door de standaard-inkoopvoorwaarden van uw wederpartij dan maar gewoon te accepteren, zult u bij een conflict vaak aan het kortste eind trekken.

Om zaken te kunnen doen met een zorginstelling is het meestal onvermijdelijk om hun voorwaarden als uitgangspunt te nemen. U hoeft echter niet zonder meer met alle voorwaarden in te stemmen. U kunt bepaalde bepalingen uit de inkoopvoorwaarden van de zorginstelling niet van toepassing verklaren of enkele van uw eigen bepalingen juist wel van toepassing verklaren. Doe dit als bijlage bij de offerte (of bij de te sluiten overeenkomst) en merk in de offerte expliciet op dat ze afwijken van de inkoopvoorwaarden. Doordat de inkoopvoorwaarden dan (in beperkte vorm) van toepassing zijn, zal het voor uw wederpartij makkelijker zijn om met een dergelijke constructie akkoord te gaan.

De volgende bepalingen moet u altijd goed doornemen en zo nodig beperken of buiten toepassing verklaren:

  • Bepalingen omtrent uw aansprakelijkheid. Uw aansprakelijkheid, zoals beschreven in deze bepalingen, kan vaak beperkt worden tot een bepaald bedrag. Daarbij kan bijvoorbeeld aangesloten worden bij het bedrag waarvoor u verzekerd bent.
  • Een bepaling omtrent de overdracht van intellectuele eigendomsrechten.  Dit is vaak een onwenselijke bepaling die u kunt uitsluiten. Desgewenst kunt u een uitzondering maken ten behoeve van het intellectueel eigendom op maatwerk dat geproduceerd wordt voor de desbetreffende zorginstelling.
  • Een bepaling omtrent een onbeperkte licentie op het gebruik van uw dienst. Met name in gevallen waarbij u software-as-a-service levert, kan het onvoordelig zijn om een dergelijke onbeperkte licentie te verstrekken. Zo’n licentie kan dan niet worden opgezegd als de klant niet betaalt! Of men kan de licentie misbruiken om een geheel andere dienst af te nemen dan u voor ogen had.
  • Bepalingen omtrent garanties. Er kunnen vérgaande eisen worden gesteld aan bijvoorbeeld het beveiligingsniveau of bepaalde specificaties. Als u denkt dat u de gevraagde garanties niet kunt geven, verdient het de aanbeveling om de bepaling(en) waar deze worden geformuleerd uit te sluiten. De prijs verhogen omdat men toch wel zeer uitzonderlijke dingen eist, kan natuurlijk ook. Lees de garanties dus in detail door. Als het fout gaat zal men niet aarzelen u verantwoordelijk te houden.
  • Bepalingen omtrent de omvang en duur van de onderhoudsplicht. Men kan bepalen dat uw onderhoudsplicht ook blijft bestaan nadat het end-of-life-punt van uw software is bereikt of dat de zorginstelling in dat geval het gebruiksrecht op uw eventuele nieuwe software verkrijgt. Dat is natuurlijk niet de bedoeling. U kunt in plaats van deze bepalingen specifieke afspraken maken over de duur van de onderhoudsplicht en wat daar tegenover staat.

Informatiebeveiliging in de zorg

Welke maatregelen u moet treffen ter beveiliging van informatie in de zorg staat in verschillende normen. Deze normen zijn specifiek voor de zorg opgesteld en geven u concrete handvatten hoe u de beveiliging moet aanpakken. De informatie kan bestaan uit persoonsgegevens maar ook uit andere gegevens.

De verschillende normen zijn:

  • NEN 7510: de algemene norm over informatiebeveiliging binnen de zorg.
  • NEN 7511: deze aanvulling op de 7510-norm bestaat uit drie delen. De norm geeft toetsbare voorschriften op het gebied van informatiebeveiliging in de zorg voor complexe organisaties (deel I) zoals ziekenhuizen, samenwerkende organisaties (deel II) zoals de thuiszorg en solopraktijken (deel III) zoals de huisartspraktijk.
  • NEN 7512: deze aanvullende norm regelt de vertrouwensbasis voor gegevensuitwisseling. De norm stelt minimumeisen aan de bron van de informatie, het transportkanaal en de ontvanger van de gegevens.
  • NEN 7513: deze recente toevoeging gaat over het stelselmatig registreren van acties op elektronische patiëntendossiers (“logging”).

Bewerkersovereenkomst

Als uw dienst op enig moment bestaat uit het opslaan, doorgeven of structureren van persoonsgegevens, moet u op grond van de Wet bescherming persoonsgegevens een bewerkersovereenkomst afsluiten met de zorginstelling.

In zo’n overeenkomst worden in ieder geval drie dingen geregeld:

  1. Allereerst wordt er vastgelegd dat u de ‘bewerker’ bent die uitsluitend in opdracht van de zorginstelling (de verwerker) de persoonsgegevens mag verwerken. Dit betekent bijvoorbeeld dat u uw dienst of een deel van uw dienst niet mag uitbesteden.
  2. Ten tweede wordt in de overeenkomst vastgelegd dat u bepaalde beveiligingsmaatregelen moet treffen. Dit zijn dezelfde maatregelen als die de zorginstelling moet treffen op grond van wet en regelgeving.
  3. Ten derde wordt in de overeenkomst geregeld hoe de zorginstelling kan controleren of u de juiste beveiligingsmaatregelen hanteert en wie deze controle bekostigt.

Continuïteit

Een zorginstelling heeft veel belang bij continuïteit. Benadruk dus naar uw klant hoezeer u in staat bent die te leveren en houd een apart Service Level Agreement paraat waarin u concreet vastlegt wat u gaat doen.

U kunt afspraken maken met de zorginstelling over wat er gebeurt met de informatie die zij in uw systeem invoeren na het beëindigen van de overeenkomst. U kunt bijvoorbeeld aanbieden dat u de informatie na beëindiging zo aanlevert, dat het gemigreerd kan worden naar een nieuw systeem of dat u gegevens opslaat in een open en gedocumenteerd formaat.

Daarnaast kunt u een goed back-up systeem aanbieden waardoor het risico op verlies van gegevens wordt beperkt. Let dan wel op dat u niet ‘misbruikt’ wordt voor een bestandje dat de klant delete en even gratis van u terug wil hebben.

Ook zal een zorginstelling veel belang hechten aan zo min mogelijk down-time. U kunt daarop inspelen door een hoog percentage up-time te bieden, in combinatie met een boete als u deze niet haalt. U moet deze up-time-garantie wel waar kunnen maken, anders kan het een dure aangelegenheid worden. Maak dus óók harde afspraken met uw eigen
leveranciers.

Andere factsheets

  • Over ICTRecht

    Heeft u uw juridische zaken goed geregeld? Zeker op het gebied van ICT is dit geen eenvoudige zaak. Voorkom juridische ICT-problemen en laat ICTRecht u deskundig en praktisch adviseren. Dat hoeft helemaal niet duur te zijn: naast maatwerk leveren wij standaardproducten en juridische generatoren om zelf documenten op maat te kunnen maken.

  • Regels commerciële communicatie

    Maar weinig mensen zitten erop te wachten: reclamefolders, telefoontjes onder etenstijd en een e-mailbox vol met schreeuwende titels. Vandaar dat de Nederlandse wetgeving rond ‘spam’ oftewel ongevraagde commerciële communicatie erg streng is. In deze factsheet leest u hoe u binnen de grenzen van de wet kunt blijven.