Afwijkende opvattingen over AVG door leverancier ZIS

vraagtekens

Recent, op 2 januari 2018, publiceerde ik op deze website een bijdrage over de Algemene Verordening Gegevensbescherming die op 25 mei 2018 ingaat. Ik beschreef de enorme hoeveelheid papierwerk die de kleinschalig werkenden zorgaanbieders boven het hoofd hangt, maar ook de onmogelijkheid om een reële juridisch volwaardige partij te zijn ten opzichte van grote ICT-leveranciers, bijvoorbeeld die van het HuisartsInformatieSysteem(HIS). Deze week werd mij op de website van Medisch Contact duidelijk dat exact hetzelfde probleem speelt bij minimaal één van de grote twee Ziekenhuis Informatie Systeem(ZIS) leveranciers, Chipsoft. In een artikel “Afspraken over veiligheid patiëntgegevens: niet voor ons?” van de hand van Mark van Houdenhoven, CEO van de Maartenskliniek en bijzonder hoogleraar Economische bedrijfsvoering in de gezondheidszorg aan de Faculteit der managementwetenschappen van de Radboud Universiteit in Nijmegen doet hij  een boekje open over het niet willen tekenen door Chipsoft van de bewerkersovereenkomst, nodig voor de AVG. Tussen de regels door wordt duidelijk dat de ZIS-leverancier een wel heel erg dominante positie inneemt.

Machtspositie

Het wordt niet direct door veel mensen uitgesproken maar er bestaat wel degelijk een evidente machtspositie van twee ZIS-leveranciers binnen de zorg. In de ziekenhuiswereld is er de laatste paar jaar een enorme shake-out geweest van ICT-systemen. Chipsoft is daarbij markleider met op de tweede plaats Epic. Beide systemen zijn afkomstig uit de Verenigde Staten. Voor bedrijven die programma’s aan ziekenhuizen leveren waarin data worden ver(be)werkt  geldt een bewerkersovereenkomst waarin vastgelegd is hoe de bewerker met de persoonsgegevens moet omgaan.  Voor dat doel heeft de Nederlandse Vereniging van Ziekenhuizen een standaardovereenkomst gemaakt. Chipsoft blijkt te weigeren om een bewerkingsovereenkomst te tekenen. Niet alleen nu, maar al vele jaren volgens Van Houdenhoven. Chipsoft weigert te tekenen omdat men stelt geen bewerker te zijn van de gegevens. Vermoedelijk denkt men zo niet mede- verantwoordelijk gesteld te kunnen  worden voor de gevolgen van het gebruik van de patiëntendata.

Wonderlijk

Het standpunt dat Chipsoft inneemt ten opzichte van de uitvloeisels van de AVG is wonderlijk. Men gaat in tegen nationale regelgeving(AVG), die weer het gevolgd is van Europese regelgeving, de General Data Protection Regulation (GDPR). Daarbij gaat het dus om een niet-EU- bedrijf dat weigert te voldoen aan regelgeving aan deze zijde van de Atlantische Oceaan. Ziekenhuizen bevinden zich in een afhankelijkheidsrelatie van hun ZIS-leverancier en zitten dus in een juridische spagaat. Tot nu toe is dit probleem alleen bekend over Chipsoft, maar het zou mij gezien de bedrijfsvoering van Epic niet vreemd lijken als daar op dezelfde wijze als bij Chipsoft over de AVG gedacht wordt.

Publiciteit

Meestal wordt in conflicten rond ZIS-sen niet direct naar een publiciteit gezocht, wat nu door de topman van de Maartenskliniek wel gebeurt. Publiciteit wordt meestal ingeperkt door non-disclosure-bepalingen in de contracten met ziekenhuisdirecties. Daarbij wordt bij contract meestal verboden om buiten de leiding van ziekenhuizen om met voor de leverancier schadelijk info naar buiten te komen. Er is ten aanzien van ziekenhuisinformatiesystemen eigenlijk sprake van een “vendor lock-in”. Men kan eigenlijk niet meer zonder de leverancier en vrijwel niet naar een andere. Van Houdenhoven doet een oproep om als ziekenhuizen gezamenlijk één lijn te trekken, maar realiseert zich ook dat meerdere ziekenhuizen net bezig zijn met een kwetsbaar implementatietraject en niets zullen durven doen . De roep richting overheid om van daar uit een verplichting op te leggen, lijkt het gezien de reactie van de overheid niet te worden.

Onder druk zetten

Van Houdenhoven doet nog een poging om druk op de ketel te krijgen door te vermelden dat nogal wat subsidiegeld in het kader van de VIPP-regeling, bedoeld om de informatieuitwisseling tussen patiënt en professional te bevorderen, wel zeer makkelijk aan Chipsoft ten deel valt omdat die al enige tijd een patiëntenportal heeft in haar software. Aanvullende subsidievoorwaarden  zouden volgens van Houdenhoven Chipsoft onder druk kunnen zetten. Ook hier lijkt de overheid zelf geen actie te willen ondernemen.

Vreemde situatie

Het lijkt allemaal op een soort pokerspel waarbij er van de zijde van Chipsoft geen beweging lijkt te zitten om mee te werken aan landelijke en EU-regelgeving. Het is de vraag hoe de privacy-toezichthouder, de Autoriteit Persoonsgegevens(AP) met deze materie om zal gaan. De ZIS-afnemers valt niets te verwijten omdat die hun best doen om een contract getekend te krijgen. Het is de vraag of het er ooit van komt dat de AP middels een boete of andersoortige maatregel ZIS-leveranciers dwingt om mee te werken.

W.J. Jongejan