Blogs & columns
Blog

Afspraken over veiligheid patiëntengegevens: niet voor ons?

2 reacties

Ben ik in overtreding? Ik vrees van wel. Hoezo dan? De leverancier van ons elektronisch patiëntendossier weigert de zogeheten bewerkersovereenkomst te tekenen. Gelukkig verkeer ik in goed gezelschap, omdat de leverancier dit bij al zijn klanten weigert te doen. Daarom mijn oproep.

Waar dit over gaat? Iedereen die persoonsgegevens verwerkt moet voldoen aan een aantal eisen om te garanderen dat patiëntgegevens veilig zijn opgeslagen. Dat is bij wet zo geregeld. Dat wil zeggen: uw gegevens mogen niet toegankelijk zijn voor anderen dan wie ze nodig heeft om u zorg te verlenen. Voor medewerkers in de zorg is dit contractueel geregeld. Uitstekend, tenslotte kan iedereen ziek worden en dus gaat het hier om ons aller belang.

Wat is het punt? Voor bedrijven die programma’s leveren waarin data worden verwerkt geldt een bewerkersovereenkomst waarin is vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. Dataverwerkers zijn bijvoorbeeld websitebouwers, ontwikkelaars van laboratoriumsystemen, leveranciers van personeelsadministratiesystemen, PACS-leveranciers, maar ook leveranciers van elektronische patiënten dossiers zoals Chipsoft.

De Nederlandse Vereniging voor Ziekenhuizen heeft een standaardovereenkomst gemaakt die alle ziekenhuizen voor al hun leveranciers kunnen gebruiken. In deze overeenkomst worden belangrijke onderwerpen geregeld zoals beveiliging, verbod op verder verwerken van de gegevens, geheimhouding, rapportages datalekken, afspraken als een bedrijf een subbewerker inschakelt, rapportages over beveiliging, toegangsniveaus. In het belang van de bescherming van persoonsgegeven tekent elke leverancier, vaak na enig gedoe, deze overeenkomst. Op eentje na. Chipsoft weigert te tekenen. Al jaren. Ik betreur dat.

Deze bewerkersovereenkomst is ontstaan toen veel ziekenhuizen al gebruik maakten van de programma’s van Chipsoft. Chipsoft weigert de overeenkomst te ondertekenen omdat ze vinden dat ze geen bewerker zijn van de gegevens. Onbegrijpelijk; de wetgever is hier namelijk heel duidelijk over.

Tot nu toe knijp ik mijn ogen een beetje dicht. Ik had er immers op moeten toezien dat ze tekenen, of de stekker eruit moeten trekken. Maar stoppen met een EPD dat goed functioneert, alleen omdat een overeenkomst ontbreekt, is onmogelijk. De beruchte ‘vendor lock-in’, de afhankelijkheid van één leverancier, is hier bijna fysiek voelbaar. Chipsoft weet dit en het speelt met dit gegeven.

Mijn oproep komt erop neer dat we als ziekenhuizen één lijn moeten trekken om dit euvel aan te pakken. Ik weet dat het lastig is om Chipsoft te pareren. Sommige collega’s zijn net aan het onderhandelen over een aanvullende dienst, die doen even niet mee. Andere zijn bezig met de implementatie van een nieuw onderdeel. Ook zij haken af. Sommigen hebben het einde van hun contractduur bereikt en willen een nieuw contract afsluiten. Anderen willen graag. Maar ook dan is de tijd is veelal in het voordeel van Chipsoft. Daarvan wordt handig gebruik gemaakt. In de volksmond heet dit verdeel en heers.

Alle ziekenhuizen op één lijn krijgen lijkt een onmogelijke opgave. Daarom hebben we hulp nodig van het ministerie van VWS. Ik druk me misschien kras uit, maar wat mij betreft mag een dataleverancier pas in de zorg werkzaam zijn als die de bewerkersovereenkomst heeft getekend. Helaas geeft het ministerie tot op heden aan dat het daar niets in ziet. Het is onze verantwoordelijkheid, is de reactie uit Den Haag.

Ik vind dat jammer. Temeer omdat onlangs de VIPP-subsidie in het leven is geroepen die erop is gericht dat de elektronische communicatie met de patiënt beter wordt georganiseerd. VIPP is de afkorting van het Versnellingsprogramma Informatie-uitwisseling Patiënt en Professional: de patiënt moet meer inzicht krijgen in de eigen zorg. Dat kan het beste middels efficiënt werkende patiëntenportals.

Wat blijkt? Het grootste deel van deze subsidie gaat linea recta naar Chipsoft. Want deze leverancier heeft allang zo’n patiëntenportal beschikbaar. In feite komt meer dat een zeer groot deel van de VIPP-subsidie bij Chipsoft terecht. Dus waarom stelt het ministerie niet als voorwaarde dat elke leverancier daadwerkelijk de bewerkersovereenkomst tekent? In mijn optiek kan dit worden vastgelegd in een aanvullende subsidievoorwaarde. Fluitje van een cent. Niet dan?

Per 25 mei 2018 treedt de Algemene verordening gegevensbescherming in werking. Een zeer belangrijk moment. In plaats van slechts enkele wettelijke eisen in de Wet Bescherming Persoonsgegevens gelden er straks allerlei duidelijke wettelijke eisen − in het belang van ons allemaal. Maar hoe zit het precies met duidelijke en zeer strenge, terechte boetebepalingen?

Ik ben ervoor dat beleidsmakers voor ziekenhuizen, bedrijven en de samenleving de nieuwe wet aangrijpen om het beleid op dit punt te verbeteren. Laat Chipsoft zijn verantwoordelijkheid nemen en eindelijk de bewerkersovereenkomst tekenen.

EPD privacy ICT Chipsoft
  • Mark van Houdenhoven

    Mark van Houdenhoven is CEO van de Maartenskliniek en bijzonder hoogleraar Economische bedrijfsvoering in de gezondheidszorg aan de Faculteit der Managementwetenschappen van de Radboud Universiteit.  

Op dit artikel reageren inloggen
Reacties
  • Joost Holslag

    Coassistent , Groningen

    Fijn dat iemand zich hier druk over maakt. Succes met de strijd!

  • Jan van der Beek

    Algemeen directeur CarePoint Nederland B.V., Ede

    Prof. Van Houdenhoven levert een scherpe analyse. Chapeau. Van meerdere CEO's van ziekenhuizen hoor ik dezelfde kritische kanttekeningen. Hij durft het te verwoorden. Hoe kan dat toch dat zoveel CEO's toch die zelfde leverancier kiezen? Hoe kan het t...och dat consultants hen daarin steunen. Hebben we inderdaad te maken met een oligopolie? Die kosten heel veel geld. Waar ik Van Houdenhoven graag aanvul is zijn opmerking dat meer inzicht krijgen in de eigen zorg het beste middels efficiënt werkende patiëntenportals kan. Ziekenhuisportals zijn inmiddels al achterhaald. Ze handhaven de vermaledijde verkokering. De patiënt is gebaat bij inzicht in de dossiers van al zijn/haar zorgverleners. Dat bieden alleen de PGO's. Jammer daarom dat de € 105 miljoen van de VIPP niet iets meer gefocust is op het "grotere' patiënten belang.

 

Cookies op Medisch Contact

Medisch Contact vraagt u om cookies te accepteren voor optimale werking van de site, kwaliteitsverbetering door geanonimiseerde analyse van het gebruik van de site en het tonen van relevante advertenties, video’s en andere multimediale inhoud. Meer informatie vindt u in onze privacy- en cookieverklaring.