De grote invloed van ICT-recht in de zorg

ICT begint in de zorg een steeds grotere rol te spelen. Er wordt steeds meer gebruik gemaakt van een elektronisch patiëntendossier en ook medische app’s zijn niet meer weg te denken. Bij deze ICT-toepassingen worden geregeld ook persoonsgegevens ingevoerd, maar daarbij wordt wel eens vergeten dat de wetgeving eisen stelt aan deze ‘verwerking van persoonsgegevens’. Sinds 1 januari 2016 is de Wet bescherming persoonsgegevens aangescherpt met de meldplicht voor datalekken, een goed moment om te controleren of u zich wel aan de wet en regelgeving houdt. ICT-recht gaat echter verder dan datalekken, het is verstandig om ook aandacht te besteden aan onderwerpen als de elektronische handtekening, bewerkersovereenkomst, intellectuele eigendomsrechten en de Cloud. Op deze onderwerpen zal hieronder worden ingegaan.

 

Persoonsgegevens

Om te weten of de wet- en regelgeving voor de verwerking van persoonsgegevens ook op u van toepassing is, moet eerst duidelijk worden gemaakt wat nou precies persoonsgegevens zijn. Dit zijn de gegevens die naar één persoon leiden, bijvoorbeeld de naw gegevens, een rekeningnummer, een e-mailadres of een IP-adres. Dit zijn privacygevoelige gegevens en moeten daarom geheim worden gehouden voor derden. Wanneer u deze persoonsgegevens bijvoorbeeld verwerkt in een elektronische patiëntendossier, dan bent u ervoor verantwoordelijk dat deze verwerking in overeenstemming is met de Wet bescherming persoonsgegevens.

 

Meldplicht datalekken

Sinds 1 januari 2016 bent u als zorgaanbieder verplicht om eventuele datalekken onverwijld te melden bij de Autoriteit Persoonsgegevens. Een datalek gaat niet alleen om het lekken van gegevens, maar ook om de onrechtmatige verwerking van gegevens. Voorbeelden van datalekken zijn een gestolen laptop, een kwijtgeraakte USB-stick of een inbraak in een databestand door een hacker. De Autoriteit Persoonsgegevens kan zeer hoge boetes opleggen als het datalek niet of te laat wordt gemeld of als blijkt dat u nalatig bent geweest in het nemen van de vereiste beveiligingsmaatregelen. Onder bepaalde omstandigheden kan deze boete zelfs 10% van de jaaromzet van de zorginstelling bedragen. Een boete dus die u graag wilt voorkomen.

 

Bewerkersovereenkomst

Nauw verbonden met de Meldplicht datalekken is de bewerkersovereenkomst. In de bewerkersovereenkomst wordt o.a. het volgende vastgelegd:

- hoe met de persoonsgegevens wordt omgegaan;
- dat er een geheimhoudingsplicht bestaat;
- hoe moet worden omgegaan met beveiligingsincidenten;
- hoe de aansprakelijkheid wordt verdeeld;
- hoe met geschillen wordt omgegaan;
- en ook de mogelijkheid van onderaanneming en audits wordt vaak in de bewerkersovereenkomst geregeld.

Bij een bewerkersovereenkomst is altijd sprake van een verantwoordelijke en een bewerker. Vooral over de vraag wie verantwoordelijke is en wie bewerker bestaat in de praktijk veel verwarring. De verantwoordelijke is degene die beslist of, en zo ja, welke soort gegevens worden verwerkt, met welk doel, op welke wijze, met welke middelen en hoe lang. De bewerker is degene die voor de verantwoordelijke persoonsgegevens verwerkt, zonder dat hij rechtstreeks gezag heeft over deze gegevens, zoals een Cloudaanbieder. Voor de beoordeling of iemand bewerker of verantwoordelijke is, wordt gekeken naar de werkelijke situatie. Het verschil is van belang, omdat beide partijen een eigen aansprakelijkheid hebben, die zij verder kunnen regelen in de bewerkersovereenkomst. Het is verstandig om in de bewerkersovereenkomst een dergelijke regeling over de aansprakelijkheid op te nemen, zodat geschillen achteraf kunnen worden voorkomen. Een voorbeeld: aansprakelijkheid van de bewerker voor fouten die door hem zijn gemaakt, kan in de bewerkersovereenkomst worden uitgesloten. Om te voorkomen dat u als verantwoordelijke aansprakelijk wordt gesteld voor schade die het gevolg is van een fout van de bewerker, is het van belang om een juridisch dekkende bewerkersovereenkomst op te stellen, waarin u opneemt dat de bewerker verantwoordelijk is voor zijn eigen handelen. Hiermee voorkomt u dat u aansprakelijk wordt gesteld voor het nalaten van de bewerker om te zorgen voor bijvoorbeeld een passend beveiligingssysteem.

 

Elektronische handtekening

ICT-recht speelt ook op andere terreinen binnen uw zorginstelling een rol. Onlangs kregen wij bijvoorbeeld meerdere vragen over het gebruik van elektronische handtekeningen. Een ingescande handtekening is voor wat betreft de bewijslast niet gelijk aan een normale handtekening, want deze kan gemakkelijk vanuit een ander document zijn gekopieerd. Toch zijn er wel mogelijkheden waardoor de elektronische handtekening voor wat betreft de bewijslast als gelijk wordt gezien aan de normale handtekening. Het gaat dan om de gekwalificeerde, elektronische handtekening. Deze moet onder meer zijn vervaardigd met een certificaat van een bij de Autoriteit Consument & Markt (ACM) ingeschreven Certificatiedienstverlener (ook wel de Trusted Third Party) en deze wordt gegenereerd door een veilig middel, zoals een USB-token of een smartcard. Het is dus mogelijk om een elektronische handtekening in uw zorginstelling te gebruiken, maar het is wel van belang dat u een elektronische handtekening gebruikt die voor wat betreft de bewijskracht gelijk is aan een gewone, natte handtekening.

 

Intellectuele eigendomsrechten

Wanneer u zelf internettoepassingen, zoals app’s, wilt ontwikkelen voor uw zorginstelling, maar deze ontwikkeling uitbesteed aan bijvoorbeeld een ICT-bedrijf, dan is het van belang om goed op uw algemene voorwaarden en het contract met dit ICT-bedrijf te letten. In de praktijk blijkt dat veel zorgaanbieders dit niet doen. Met als gevolg dat pas nadat de app is ontwikkeld en in gebruik is genomen achter komen dat de intellectuele eigendomsrechten voor deze app niet bij de zorgaanbieder, maar bij het ICT-bedrijf liggen. Voor elke wijziging of toevoeging aan deze app zult u dan toestemming moeten vragen aan het ICT-bedrijf, welke bijvoorbeeld mag eisen dat alle wijzigingen door hun bedrijf gedaan moeten worden. Dit ICT-bedrijf kan hiervoor vervolgens een hogere prijs vragen dan zijn concurrenten, maar doordat zij het intellectueel eigendomsrecht hebben kunt u als zorgaanbieder niet meer om dit bedrijf heen. Daarom is het van belang om vooraf goede algemene voorwaarden te hebben en de overeenkomst met een dergelijk ICT-bedrijf kritisch te beoordelen.

 

Cloud

Ook van de Cloud wordt in de zorg steeds meer gebruik gemaakt. In de Cloud worden bijvoorbeeld gegevens opgeslagen en kan software worden gebruikt, zoals een online boekhoudpakket. Waar vaak geen rekening mee wordt gehouden, is het beveiligingsniveau van de gegevens die in de Cloud worden opgeslagen. Voldoet u hiermee wel aan de Wet meldplicht datalekken? In verband met de eerder genoemde hoge boetes is dit uiteraard wel een punt om kritisch naar te kijken. Ook krijgen wij veel vragen over wat er met de gegevens en de software gebeurd als het Cloud-bedrijf failliet gaat of met de dienstverlening stopt. De wet biedt voor deze situatie geen specifieke oplossing. Om toegang tot de data te behouden, zal de clouddienstverlener mee moeten werken. Daarom is het van belang om vooraf over oplossingen voor dergelijke situaties na te denken, bijvoorbeeld in de vorm van een SLA of een Cloud Escrow.

 

Als gezegd speelt ICT een steeds grotere rol in de zorg, het aantal vragen dat wij krijgen over ICT-recht is dan ook de laatste tijd sterk toegenomen. Wij helpen u graag door advies te geven, overeenkomsten op te stellen dan wel te beoordelen en oplossingen aan te dragen voor geschillen en andere juridische problemen. Voor al uw vragen over ICT-recht kunt u vrijblijvend contact met ons opnemen.

     053 - 43 45 490

     info@zorgzakengroep.nl

Comments are closed.