In de blog Ehealth in 2025: ga goed voorbereid de cloud in! gaf ik aan dat er over de hieronder beschreven (1-4) onderwerpen afspraken gemaakt moeten worden. In deze blog ga ik in op de afspraken over het vierde onderwerp.
1. security en privacy aspecten bij ontwikkeling van, verbinding met en gebruik van applicaties;
2. continuïteit van de applicatie bij faillissement van dienstverlener;
3. exit strategie t.b.v. data als partijen uit elkaar gaan;
4. verdeling van verantwoordelijkheden en daaraan gekoppelde (beperking van) aansprakelijkheid van de zorgverlener en/of ontwikkelaar van de applicatie.
De verdeling van verantwoordelijkheden en de daaraan verbonden aansprakelijkheid wordt vastgelegd op papier. Denk aan een algemene beperking van aansprakelijkheid in de algemene voorwaarden van de dienstverlener, of in de inkoopvoorwaarden van de zorginstelling. Een meer specifieke omschrijving kan in een overeenkomst en/of service level agreement en bewerkersovereenkomst. Deze laatste is verplicht als een ander (de bewerker) in jouw opdracht persoonsgegevens gaat verwerken. Hierin leg je de verantwoordelijkheden ten aanzien van de beveiligingsmaatregelen vast.
Bij punt 4 is enig praktisch inzicht in de online applicatie vereist. Een online applicatie draait vaak in de cloud. Dit houdt in dat de server bij een datacenter in een groot rek (“rack”) staat. Op de server draait de applicatie en de databases waarin de ingevoerde informatie wordt verwerkt: via een internetverbinding kun je inloggen en gebruik maken van de applicatie. Het datacenter, het beheer van de server, de internetverbinding en de applicatie worden vaak door verschillende dienstverleners geleverd. Om te weten welke risico’s er zijn en hoe de verantwoordelijkheden verdeeld moeten worden, is het dus goed om hier inzicht in te hebben.
Deze blog en voorafgaande drie delen geven een overzicht van voorwaarden en aanbevelingen voor het leveren en inkopen van Ehealth. Mijn ervaring is dat deze afspraken de innovatie niet in de weg hoeven te staan. Transparantie tussen clouddienstverlener en zorginstelling, én enige technische kennis (aan beide zeiden), zijn wel vereist.
Training ICT en gezondheidsrecht
Werkt u bij een zorginstelling en vraagt u zich af hoe u dient te werken in de cloud en wat de regels zijn voor het uitwisselen van medische gegevens online? Deze en meer van dit soort vraagstukken worden behandeld tijdens deze training.
