In de wolken met de cloud?

woensdag 23 september 2015

timer 6 min

Dropbox, gmail: iedereen doet wel eens wat in de cloud. Ook zakelijk wordt cloud computing steeds normaler, maar juridisch zitten er nog wel wat haken en ogen aan. Waar moet u op letten bij het afsluiten van een contract?

Als uw data of software in de cloud staan, betekent dat dat ze op een server staan die niet in uw eigen organisatie staat maar ergens anders ter wereld. Via internet kan de gebruiker die server benaderen. Een website bekijken werkt op dezelfde manier, die staat ook ergens ter wereld op een server. ‘In de cloud’ betekent eigenlijk dus gewoon ‘op internet’.

De cloud bestaat al jaren en privé maken de meeste mensen er al lang gebruik van: foto’s uitwisselen via Dropbox, mail versturen via Gmail, berichten uitwisselen met Whatsapp. Uw aanbieders van praktijksoftware bieden ook steeds vaker de mogelijkheid om uw software en data in de cloud te zetten en Microsoft biedt kantoorsoftware in de cloud: Office365.

Voordelen

Waarom zou u overgaan tot cloud computing? De voordelen op een rij:

Lagere opstartkosten. U hoeft niet zelf te investeren in software en minder in hardware. Meestal neemt u een abonnement af. Of u op de lange termijn goedkoper uit bent, is wel even een rekensommetje waard natuurlijk.
U kunt overal werken: ook vanuit huis of de camping in Frankrijk. Een goede internetverbinding is wel een voorwaarde.
U heeft geen omkijken meer naar het onderhoud van de software. Nieuwe softwareversies worden automatisch geïnstalleerd. Als er een technisch probleem is, kan de leverancier dat meteen op afstand oplossen. Zeker voor kleine organisaties zonder eigen IT’er in dienst is dit een pre.
Als uw pand afbrandt, zijn uw data niet verloren. Maar wat dan als de server afbrandt waar uw server draait? Die kans is niet heel groot want de datacentra worden heel goed beveiligd. Ook worden uw data feitelijk 2 of 3 keer opgeslagen.

Inspectie

Er is echter één groot punt van zorg: de veiligheid van de data. Op het gebied van beveiliging van data is heel veel mogelijk, maar software die niet te hacken is, bestaat niet. Belangrijk om te weten is dat u als praktijkhouder altijd juridisch verantwoordelijk blijft voor uw patiëntgegevens. De inspectie staat bij u op de stoep en niet bij de cloudaanbieder als iemand schade ondervindt doordat zijn medische gegevens in verkeerde handen zijn geraakt.

Wetgeving

Waar moet u op letten als u toch met een cloudaanbieder in zee gaat? “In Nederland zijn er wetten die regelen hoe medici moeten omgaan met de gegevens van patiënten”, vertelt Jos Swinkels, advocaat bij Versteeg Wigman Sprey Advocaten in Amsterdam. Zo is er de Wet Bescherming Persoonsgegevens die voorschrijft onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Voor gegevens betreffende iemands gezondheid zijn er extra eisen; deze gegevens mogen niet worden verwerkt tenzij het verwerken ervan noodzakelijk is voor de medische behandeling of als de patiënt uitdrukkelijk toestemming geeft. “De wetgever heeft nooit bedacht dat er zoiets zou bestaan als de cloud en dat medici patiëntinformatie zouden gaan uitwisselen via Whatsapp. Is dat noodzakelijk voor de medische behandeling?”, vraagt Swinkels zich af. Dan is er ook de Wet op de Geneeskundige Behandelovereenkomst (WGBO) die regelt onder andere de dossierplicht, het beroepsgeheim en de geheimhouding van het dossier.

Als behandelaar mag u het verwerken van gegevens uitbesteden, maar dan moet er wel een overeenkomst zijn, een zogenaamde bewerkersovereenkomst. Er moet in ieder geval in staan welke beveiligingsmaatregelen de bewerker zal nemen en wat hij met de data mag doen. Ook moet de bewerker geheimhouding beloven en toezeggen de data niet voor andere doeleinden te gebruiken. Maar: u blijft verantwoordelijk voor wat er met de patiëntgegevens gebeurt!

Locatie

Verder is het heel belangrijk om harde afspraken te maken over waar de data staan. Sommige Nederlandse bedrijven kiezen voor de grote cloudaanbieders als Microsoft of Amazon omdat ze dan heel snel meer capaciteit kunnen inkopen als dat nodig is. Maar dat betekent wel dat de data overal ter wereld kunnen staan. Andere bedrijven kiezen een Nederlandse cloud of hebben een eigen ‘dedicated’ server in een datacentrum staan. Swinkels: “Gegevens in Amerika onderbrengen mag alleen als de cloudleverancier op de Safe Harbour lijst staat, omdat die bedrijven aan de Europese eisen voldoen. Voor andere bedrijven, en landen buiten Europa, moet u toestemming vragen aan het Ministerie van Justitie. Europese landen vormen geen probleem omdat de privacywetgeving in Europa op een Europese Richtlijn is gebaseerd”.

Service

Contractueel moet u niet alleen de bescherming van patiëntgegevens goed vastleggen, maar ook de service die u verwacht. Als arts wil u graag 24 uur per dag bij uw gegevens kunnen terwijl in de meeste cloudovereenkomsten een minimumbeschikbaarheid staat, bijvoorbeeld in verband met serveronderhoud. Ook is het belangrijk om de beschikbaarheid van de helpdesk in de gaten te houden En wat als de cloudleverancier failliet gaat? Of als u zelf van leverancier wilt wisselen? Krijgt u uw gegevens dan terug? Hoe? En in welke vorm? Dat moet allemaal van tevoren worden vastgelegd.

Keurmerk?

“Op het gebied van e-mailmarketing bijvoorbeeld zijn er keurmerken: bedrijven die op de juiste manier met persoonsgegevens omgaan, kunnen een keurmerk krijgen”, vertelt Swinkels. In de medische wereld bestaat dat nog niet, terwijl het om gevoelige informatie gaat. “Mij lijkt het voor een praktijkhouder heel moeilijk, zo niet onmogelijk, om te beoordelen of een overeenkomst goed is. Je moet aandacht besteden aan de privacywetgeving en de service die je verwacht. Je krijgt gebruiksvoorwaarden, een serviceovereenkomst, een bewerkersovereenkomst, al snel tientallen pagina’s, vaak in het Engels, en die moet je ook nog eens van verschillende aanbieders vergelijken. Ik zie hier een rol weggelegd voor de brancheverenigingen om een keurmerk te ontwikkelen. Dat zou de praktijkhouders in de eerste lijn veel tijd en onzekerheid schelen.”

Maaike Heijltjes, met hulp van Rob van Pomeren, eigenaar van softwarebedrijf Dazzleware