In de wolken met de cloud?

Er is echter één groot punt van zorg: de veiligheid van de data. Op het gebied van beveiliging van data is heel veel mogelijk, maar software die niet te hacken is, bestaat niet. Belangrijk om te weten is dat u als praktijkhouder altijd juridisch verantwoordelijk blijft voor uw patiëntgegevens. De inspectie staat bij u op de stoep en niet bij de cloudaanbieder als iemand schade ondervindt doordat zijn medische gegevens in verkeerde handen zijn geraakt. 

Wetgeving

Waar moet u op letten als u toch met een cloudaanbieder in zee gaat? “In Nederland zijn er wetten die regelen hoe medici moeten omgaan met de gegevens van patiënten”, vertelt Jos Swinkels, advocaat bij Versteeg Wigman Sprey Advocaten in Amsterdam. Zo is er de Wet Bescherming Persoonsgegevens die voorschrijft onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Voor gegevens betreffende iemands gezondheid zijn er extra eisen; deze gegevens mogen niet worden verwerkt tenzij het verwerken ervan noodzakelijk is voor de medische behandeling of als de patiënt uitdrukkelijk toestemming geeft. “De wetgever heeft nooit bedacht dat er zoiets zou bestaan als de cloud en dat medici patiëntinformatie zouden gaan uitwisselen via Whatsapp. Is dat noodzakelijk voor de medische behandeling?”, vraagt Swinkels zich af. Dan is er ook de Wet op de Geneeskundige Behandelovereenkomst (WGBO) die regelt onder andere de dossierplicht, het beroepsgeheim en de geheimhouding van het dossier.

Als behandelaar mag u het verwerken van gegevens uitbesteden, maar dan moet er wel een overeenkomst zijn, een zogenaamde bewerkersovereenkomst. Er moet in ieder geval in staan welke beveiligingsmaatregelen de bewerker zal nemen en wat hij met de data mag doen. Ook moet de bewerker geheimhouding beloven en toezeggen de data niet voor andere doeleinden te gebruiken. Maar: u blijft verantwoordelijk voor wat er met de patiëntgegevens gebeurt!

Locatie

Verder is het heel belangrijk om harde afspraken te maken over waar de data staan. Sommige Nederlandse bedrijven kiezen voor de grote cloudaanbieders als Microsoft of Amazon omdat ze dan heel snel meer capaciteit kunnen inkopen als dat nodig is. Maar dat betekent wel dat de data overal ter wereld kunnen staan. Andere bedrijven kiezen een Nederlandse cloud of hebben een eigen ‘dedicated’ server in een datacentrum staan. Swinkels: “Gegevens in Amerika onderbrengen mag alleen als de cloudleverancier op de Safe Harbour lijst staat, omdat die bedrijven aan de Europese eisen voldoen. Voor andere bedrijven, en landen buiten Europa, moet u toestemming vragen aan het Ministerie van Justitie. Europese landen vormen geen probleem omdat de privacywetgeving in Europa op een Europese Richtlijn is gebaseerd”.

Service

Contractueel moet u niet alleen de bescherming van patiëntgegevens goed vastleggen, maar ook de service die u verwacht. Als arts wil u graag 24 uur per dag bij uw gegevens kunnen terwijl in de meeste cloudovereenkomsten een minimumbeschikbaarheid staat, bijvoorbeeld in verband met serveronderhoud. Ook is het belangrijk om de beschikbaarheid van de helpdesk in de gaten te houden En wat als de cloudleverancier failliet gaat? Of als u zelf van leverancier wilt wisselen? Krijgt u uw gegevens dan terug? Hoe? En in welke vorm? Dat moet allemaal van tevoren worden vastgelegd.

Keurmerk?

“Op het gebied van e-mailmarketing bijvoorbeeld zijn er keurmerken: bedrijven die op de juiste manier met persoonsgegevens omgaan, kunnen een keurmerk krijgen”, vertelt Swinkels. In de medische wereld bestaat dat nog niet, terwijl het om gevoelige informatie gaat. “Mij lijkt het voor een praktijkhouder heel moeilijk, zo niet onmogelijk, om te beoordelen of een overeenkomst goed is. Je moet aandacht besteden aan de privacywetgeving en de service die je verwacht. Je krijgt gebruiksvoorwaarden, een serviceovereenkomst, een bewerkersovereenkomst, al snel tientallen pagina’s, vaak in het Engels, en die moet je ook nog eens van verschillende aanbieders vergelijken. Ik zie hier een rol weggelegd voor de brancheverenigingen om een keurmerk te ontwikkelen. Dat zou de praktijkhouders in de eerste lijn veel tijd en onzekerheid schelen.”

Maaike Heijltjes, met hulp van Rob van Pomeren, eigenaar van softwarebedrijf Dazzleware