Zorgdata in de cloud, wat moet je regelen?

Zorgdata in de cloud, wat moet je regelen?


20 april 2016

Veel zorginstellingen willen zich niet bezighouden met ICT maar met goede zorgverlening. Daarom is er bij zorginstellingen in toenemende mate een vorm van uitbesteding waar te nemen waarbij een externe partij het (technisch) beheer en het ontsluiten van applicaties op zich neemt.

Een bekende vorm van dit soort clouddienstverlening is Software-as-a-Service (SaaS). Je neemt hierbij als organisatie een applicatie als dienst af bij een leverancier. Het voordeel van SaaS is dat het schaalbaar is en vaak het model gehanteerd wordt dat je betaalt naar gebruik. Daarnaast hoef je je geen zorgen te maken over het uitbreiden of vervangen van de onderliggende hardware en het technisch beheer van de applicatie. Je wordt als organisatie volledig ontzorgd.

Ook kun je (delen van) je ICT als 'managed service' afnemen. Dan staat het niet noodzakelijk in de cloud, maar is alles ondergebracht in een aan te wijzen datacentrum van de leverancier. Maar waar heb je als zorginstelling allemaal mee te maken, zodra je gegevens buiten je eigen muren plaatst?

Relevante wet- en regelgeving

Als zorginstelling heb je al met diverse wet- en regelgeving te maken zodra je persoonsgegevens digitaal opslaat, denk aan de salarisadministratie van de eigen medewerkers. Je moet de Wet bescherming persoonsgegevens (Wbp) in acht nemen én per 1 januari 2016 ook de meldplicht datalekken. Zodra er ook medische gegevens worden verwerkt, zijn de NEN75xx-normen en het Medisch Beroepsgeheim relevant. Ook al staat de data buiten de eigen muren in de cloud, de zorginstelling blijft verantwoordelijk voor alles wat in de wetgeving is opgenomen. Maar wat zeggen deze wetten en normen over het plaatsen van data in de cloud?

Wet Bescherming Persoonsgegevens

Volgens de Autoriteit Persoonsgegevens (AP, het voormalig College Bescherming Persoonsgegevens, CBP) kan een SaaS-leverancier als 'bewerker' worden gekwalificeerd in de zin van artikel 1 sub e Wbp. Zodra dataverwerking niet meer door de 'verantwoordelijke' (de zorginstelling) maar door een derde wordt uitgevoerd, moet er een bewerkersovereenkomst worden opgesteld. De zorginstelling blijft verantwoordelijk voor het vertrouwelijk houden van de opgeslagen gegevens bij de 'bewerker'. In de overeenkomst wordt dan ook vastgelegd welke beveiligingsmaatregelen de leverancier treft, waar data wordt opgeslagen, een geheimhoudingsplicht, enzovoort. Ook wordt vastgelegd dat de leverancier datalekken direct meldt, zodat de instelling kan voldoen aan de 'meldplicht datalekken'. Door deze zaken regelmatig te controleren met een audit kan een zorginstelling de naleving van de Wbp borgen.

Medische geheimhoudingsplicht

De medische geheimhoudingsplicht (Artikel 7:457 BW) kent het onderscheid tussen 'verantwoordelijke' en 'bewerker' niet. Daarom mag een 'bewerker' alleen toegang krijgen tot data als iedere cliënt daartoe telkens weer toestemming geeft. Er geldt een uitzondering voor degenen die 'rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst, [...] voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden' (lid 2). Deze rechtstreeks betrokkenen zijn niet per se degenen die medische handelingen verrichten, maar het is ook niet vanzelfsprekend dat SaaS-leveranciers onder deze uitzondering vallen.

Het CBP zegt hierover dat er geen principiële bezwaren zijn tegen de uitbesteding van de verwerking van patiëntgegevens, zolang het medisch beroepsgeheim daarbij wordt gerespecteerd. Dit wordt met name geborgd door het in acht nemen van de relevante NEN-normen, namelijk de NEN7510, 7512, 7513 en 7521.

Patriot act en Safe Harbour

Tenslotte zijn er vaak zorgen over wetgeving zoals bijvoorbeeld de Patriot Act. Amerikaanse overheidsinstanties kunnen met deze wetgeving ongehinderd data opvragen indien er sprake is van mogelijke terroristische dreigingen. Ook in sommige Europese landen is er wetgeving die ondanks contractuele beperkingen overheidsinstanties toegang geeft tot mogelijk privacygevoelige informatie. In de Europese Unie is dat meer aan banden gelegd en is dat risico zeer beperkt. Daarom spelen deze vraagstukken niet bij een leverancier (exclusief) uit de Europese Unie die de data binnen de grenzen van de Europese Unie opslaat.

Daarnaast werken Amerikaanse bedrijven hard om een 'veilige haven' voor andere landen te creëren over de opslag van privacygevoelige data in de Verenigde Staten door Europese organisaties. Door het recent ongeldig verklaren van het 'Safe Harbor principe' is het feitelijk verboden vertrouwelijke data in de Verenigde Staten op te slaan. Zelfs als het 'privacy shield'(vervanging van het Safe Harbor-principe) geaccepteerd wordt door het Europees Hof, dan blijft inbreuk op data mogelijk vanuit andere wetgeving op het gebied van contraterrorisme. Je kunt de vraag stellen hoe groot de kans is dat er data wordt opgevraagd van een zorginstelling en hoe erg het is dat een buitenlandse overheidsinstantie deze gegevens (vertrouwelijk) inziet Wellicht komt dit nooit verder dan een hypothetische inbreuk op de medische geheimhoudingsplicht en privacy en leidt dit in de praktijk nooit tot uitvoering of ophef.

Ga voor jezelf na of het nodig en wenselijk is deze vraag te stellen of dat er voldoende goede alternatieven zijn op Europese bodem die deze controverse vermijden.

Aandachtspunten bij contractering

Uit het stuk hierboven blijkt dat er wettelijk gezien veel mogelijk is. De eis is vooral dat je de nodige voorzorgsmaatregelen treft bij het plaatsen van data buiten de eigen muren. Maar waar moet je zoal op letten bij de contractering van een leverancier om voldoende te borgen dat de leverancier de wet- en regelgeving naleeft? En hoe zorg je ervoor dat je nog bij je data kunt, zodra je over wilt stappen of de leverancier failliet gaat?

Hieronder volgen een aantal aandachtspunten om rekening mee te houden bij de contractering.

  • Allereerst is er bewustwording bij de zorginstelling nodig rondom privacy. Bij uitbesteding moeten risico’s rondom informatiebeveiliging in een bewerkersovereenkomst worden afgedekt.
  • Maak zorginstellingen bewust rondom privacy.
  • Laat medewerkers niet starten met projecten zonder de privacyvereisten te kennen.
  • Neem in het contract op dat de toepassing functioneert conform wettelijke eisen en normen, dit blijft doen en dit ook regelmatig audit.
  • Creëer een rapportageplicht over het presteren van de software en de leverancier.
  • Neem in het contract op dat gegevens jouw eigendom blijven.
  • Zorg voor een goede exitstrategie.
  • Zorg dat de certificeringen van de leverancier op het gebied van beveiliging en privacy past op de afgenomen dienst.
  • Zorg voor bewustwording rondom het gebruik van social media en het delen van informatie.

 



Bart Jan Schuit

Adviseur
bartjan.schuit@mxi.nl
06 10 58 46 09
Lees mijn publicaties