Met het startschot voor de digitale transformatie - was het corona of het sluiten van het Integraal Zorgakkoord? - is ook de stroom aan nieuwe wet- en regelgeving op gang gekomen. In deze blog zet ik de nieuwe regels op een rij die van belang zijn voor jou, de inkoper in de zorg. Om precies te zijn 5 wetten, een wetsvoorstel en een Framework. Ook in mijn ogen belangrijke wet- en regelgeving die nog niet in werking is getreden of waarvoor een overgangsregeling geldt, heb ik meegenomen. Waarom? Omdat in de zorg nou eenmaal wordt ingekocht voor de lange termijn. Per regel geef ik aan welke acties er bij inkoop op kunnen worden genomen.
Innovaties en medische software (AI en MDR)
Gaat jouw organisatie aan de slag met medische software of andere innovaties? Ik doel hier op beslisondersteuning bij behandeling of diagnose, software waarmee een patiënt een behandeling volgt, een medicatiedispenser in de tuin of bijvoorbeeld een zorgrobot. Dan stap je de wondere wereld van de Medical Device Regulation (“MDR”) en mogelijk ook die van de AI Act binnen.
De MDR geldt sinds 26 mei 2021. Vanaf begin 2024 verwacht men dat ook de AI Act zal gaan gelden. Dit zijn verordeningen, deze hoeven dus niet eerst in de Nederlandse wet te worden geïmplementeerd. Wel gelden er overgangsregelingen. Het kost immers tijd om de nodige maatregelen te nemen zoals het implementeren van een kwaliteitsmanagementsysteem.
Voornoemde regelgeving heeft als doel om kwaliteit en veiligheid te bewerkstelligen. Meer weten over wat de AI Act of de MDR betekent of gaat betekenen? Lees hier en hier meer.
Indien de medische software niet in huis wordt ontwikkeld, maar wordt ingekocht, dan is het standaard inkoopcontract een uitgelezen kans om de verplichting bij de leverancier te leggen om aan wet- en regelgeving te voldoen. Wel is het de plicht van de zorgaanbieder om te controleren of de juiste conformiteitsbeoordeling heeft plaatsgevonden. EUDAMED, de Europese database voor medische hulpmiddelen, kan hierbij handig zijn.
Voor de inkoop van AI adviseren wij in ieder geval nu op te nemen in de standaard inkoopovereenkomst dat er gelogd moet worden, en dat die logging via een dashboard ingezien moet kunnen worden. Met het loggen is het de bedoeling dat achteraf opgezocht kan worden wat er precies is gebeurd. Verder moet de leverancier transparant zijn over hoe het systeem werkt, bij voorkeur moet ook de zorgmedewerker kunnen begrijpen hoe het werkt. Het is belangrijk dat afspraken hierover ook kosten van deze maatregelen inzichtelijk maken, zodat de zorgaanbieder niet voor verrassingen komt te staan. Meer weten over wat de AI Act voor de zorg betekent? Lees hier meer.
WDO
De Wet digitale overheid (“WDO”) geldt per 1 juli, ook voor de zorg. De eerste tranche van de regelgeving geldt voor zorgaanbieders wanneer zij patiënten digitaal toegang verlenen tot hun medische gegevens.
Het is de verantwoordelijkheid van de zorgaanbieder om dit mogelijk te maken. In de praktijk zullen ICT-leveranciers de mogelijkheid moeten implementeren. Daarbij kan gebruik gemaakt worden van het koppelvlak genaamd ToegangVerleningService (“TVS”) van de Overheid.
Ondanks dat er een (nog onbekende) overgangstermijn geldt, luidt het advies dit in de standaard inkoopcontracten te regelen. Er moet dan worden afgesproken dat de ICT-leverancier de toegankelijkheid middels veilige inlogmiddelen (niveau hoog) mogelijk maakt, al dan niet via TVS. Het enige inlogmiddel dat op dit moment voldoet is DigiD.
Databeschikbaarheid
Per 1 juli 2023 geldt de kaderwet “Wegiz”, Wet elektronische gegevensuitwisseling in de zorg, op grond waarvan een zorgaanbieder verplicht aan de slag moet met digitaal uitwisselen van patiëntgegevens. Download hier de infographic van de overheid over de Wegiz, voor een overzicht van de wet of lees onze blog.
Ook voor deze wet geldt dat het de zorgaanbieder is die hem moet afdwingen, en de ICT-leverancier die deze in de praktijk zal moeten brengen. Kort door de bocht: de ICT-dienstverlener moet certificeren; de zorgaanbieder moet controleren of de ICT-leverancier over de juiste certificaten beschikt en blijft beschikken.
Voor inkoop geldt dat duidelijk moet zijn welke certificaten er nodig zijn voor de specifieke online dienst, je kunt hiervoor terecht bij de jurist in huis of anders bij ons. Dan moet gecontroleerd worden of die geldig zijn bij inkoop, en daarna is het aan de contractmanager om te monitoren of deze geldig blijven. Uiteraard is het handig hier nog het een en ander over op te nemen in de standaard inkoopcontracten.
Veilig persoonsgegevens naar de VS
Sinds 12 juli mogen er weer persoonsgegevens naar de VS gestuurd worden. Voorwaarde is wel dat de Amerikaanse leverancier waar je de gegevens naartoe stuurt, is aangesloten bij het Data Privacy Framework, dat kan hier gecontroleerd worden.
Heeft jouw organisatie in het verleden reeds afspraken gemaakt met zo een Amerikaanse Leverancier, dan zijn nieuwe afspraken waarschijnlijk niet nodig. Met nieuwe Amerikaanse leveranciers moet dan een verwerkersovereenkomst worden gesloten. Lees hier meer.
Zal dit Data Privacy Framework een eeuwig leven zijn beschoren? Als het aan Max Schrems ligt niet. Voor nu geldt desalniettemin dat gegevens mogen worden doorgegeven naar de VS. En dat er dus kan worden ingekocht bij ICT-leveranciers uit de VS.
Als het om de doorgifte van (bijzondere) persoonsgegevens gaat, is het goed om in overleg met de functionaris gegevensbescherming aanvullende maatregelen te treffen, bijvoorbeeld wanneer je onder de overeenkomst uit moet kunnen. Leg deze vast in de standaard inkoopcontracten, waaronder ik voor het gemak ook even de verwerkersovereenkomst reken.
Wabvpz en een wetsvoorstel: opt-in of opt-out uitwisselingssysteem
In de Wet aanvullende bepalingen voor verwerking van persoonsgegevens in de zorg (“Wabvpz”) en het Besluit elektronisch gegevensverwerking door Zorgaanbieders (het “Besluit”) worden eisen gesteld aan de leveranciers van elektronische uitwisselingssystemen. Om patiëntgegevens op te mogen nemen in het systeem, moet er vooraf toestemming worden gegeven door de patiënt (opt-in).
Ten tijde van corona is de belangrijkste huisartsinformatie op basis van opt-out beschikbaar geweest op de spoedeisende hulp en bij de huisartsenpost. Nu ligt er een wetsvoorstel ter consultatie om dit te bestendigen, de gegevens mogen dan ingezien worden bij de SEH en de HAP tenzij een patiënt bezwaar maakt. Om welke specifieke gegevens dit zal gaan kan dan worden vastgelegd in AmvB, dit maat een en ander wat meer flexibel.
Partijen zoals de Nederlandse Vereniging van Ziekenhuizen en de Patiëntenfederatie maken zich nu hard voor standaard toepassen van de opt-out, dus in alle gevallen niet alleen als er haast is geboden.
Wat maakt dat uit voor inkoop? Opt-in of opt-out maakt zeker uit, het heeft invloed op het uitwisselingssysteem, en wat het moet kunnen. Een inkoper doet er daarom goed aan te (laten) beoordelen om wat voor systeem het hier gaat, en naar aanleiding daarvan de nodige maatregelen te nemen. Op dit moment zou ik een systeem kiezen wat zowel opt-out als opt-in kan faciliteren. Uiteraard kun je een en ander vastleggen in de afspraken met de leverancier, in het inkoopcontract.
Wetsvoorstel veilige identificatie en authenticatie voor de zorg
Dit wetsvoorstel moet zorgen voor veilige en interoperabele inlogmiddelen voor zorgmedewerkers, zorgverzekeraars en indicatieorganen. Eenzelfde soort regeling als de WDO, alleen dan voor de zorgmedewerker. Het is de bedoeling dat middelen zoals beschreven in Wet Diaz de UZI-pas gaan vervangen. Dit moet bijdragen aan de elektronische gegevensuitwisseling.
Hoe je het wendt of keert, dit heeft impact op de manier van werken van de zorgmedewerkers. Nu kan er input geleverd worden, hier. Maar wat moet een inkoper hiermee? Nu nog niet veel behalve via de standaard inkoopcontracten afdwingen dat de relevante leveranciers hier in de toekomst aan voldoen binnen de termijn die de wetgever er dan voor geeft.
Plan van aanpak, concrete handvatten
Biedt dit jou als inkoper voldoende concrete handvatten? Als je toch vragen hebt, neem dan vooral contact op. Wij denken graag mee.
Ben jij dagelijks bezig met AI, risico’s en compliance?
Volg dan de Opleiding tot AI Compliance Officer (CAICO) van ICTRecht Academy.
