Afwijkende opvattingen over AVG door leverancier ZIS

vraagtekens

Recent, op 2 januari 2018, publiceerde ik op deze website een bijdrage over de Algemene Verordening Gegevensbescherming die op 25 mei 2018 ingaat. Ik beschreef de enorme hoeveelheid papierwerk die de kleinschalig werkenden zorgaanbieders boven het hoofd hangt, maar ook de onmogelijkheid om een reële juridisch volwaardige partij te zijn ten opzichte van grote ICT-leveranciers, bijvoorbeeld die van het HuisartsInformatieSysteem(HIS). Deze week werd mij op de website van Medisch Contact duidelijk dat exact hetzelfde probleem speelt bij minimaal één van de grote twee Ziekenhuis Informatie Systeem(ZIS) leveranciers, Chipsoft. In een artikel “Afspraken over veiligheid patiëntgegevens: niet voor ons?” van de hand van Mark van Houdenhoven, CEO van de Maartenskliniek en bijzonder hoogleraar Economische bedrijfsvoering in de gezondheidszorg aan de Faculteit der managementwetenschappen van de Radboud Universiteit in Nijmegen doet hij  een boekje open over het niet willen tekenen door Chipsoft van de bewerkersovereenkomst, nodig voor de AVG. Tussen de regels door wordt duidelijk dat de ZIS-leverancier een wel heel erg dominante positie inneemt.

Machtspositie

Het wordt niet direct door veel mensen uitgesproken maar er bestaat wel degelijk een evidente machtspositie van twee ZIS-leveranciers binnen de zorg. In de ziekenhuiswereld is er de laatste paar jaar een enorme shake-out geweest van ICT-systemen. Chipsoft is daarbij markleider met op de tweede plaats Epic. Beide systemen zijn afkomstig uit de Verenigde Staten. Voor bedrijven die programma’s aan ziekenhuizen leveren waarin data worden ver(be)werkt  geldt een bewerkersovereenkomst waarin vastgelegd is hoe de bewerker met de persoonsgegevens moet omgaan.  Voor dat doel heeft de Nederlandse Vereniging van Ziekenhuizen een standaardovereenkomst gemaakt. Chipsoft blijkt te weigeren om een bewerkingsovereenkomst te tekenen. Niet alleen nu, maar al vele jaren volgens Van Houdenhoven. Chipsoft weigert te tekenen omdat men stelt geen bewerker te zijn van de gegevens. Vermoedelijk denkt men zo niet mede- verantwoordelijk gesteld te kunnen  worden voor de gevolgen van het gebruik van de patiëntendata.

Wonderlijk

Het standpunt dat Chipsoft inneemt ten opzichte van de uitvloeisels van de AVG is wonderlijk. Men gaat in tegen nationale regelgeving(AVG), die weer het gevolgd is van Europese regelgeving, de General Data Protection Regulation (GDPR). Daarbij gaat het dus om een niet-EU- bedrijf dat weigert te voldoen aan regelgeving aan deze zijde van de Atlantische Oceaan. Ziekenhuizen bevinden zich in een afhankelijkheidsrelatie van hun ZIS-leverancier en zitten dus in een juridische spagaat. Tot nu toe is dit probleem alleen bekend over Chipsoft, maar het zou mij gezien de bedrijfsvoering van Epic niet vreemd lijken als daar op dezelfde wijze als bij Chipsoft over de AVG gedacht wordt.

Publiciteit

Meestal wordt in conflicten rond ZIS-sen niet direct naar een publiciteit gezocht, wat nu door de topman van de Maartenskliniek wel gebeurt. Publiciteit wordt meestal ingeperkt door non-disclosure-bepalingen in de contracten met ziekenhuisdirecties. Daarbij wordt bij contract meestal verboden om buiten de leiding van ziekenhuizen om met voor de leverancier schadelijk info naar buiten te komen. Er is ten aanzien van ziekenhuisinformatiesystemen eigenlijk sprake van een “vendor lock-in”. Men kan eigenlijk niet meer zonder de leverancier en vrijwel niet naar een andere. Van Houdenhoven doet een oproep om als ziekenhuizen gezamenlijk één lijn te trekken, maar realiseert zich ook dat meerdere ziekenhuizen net bezig zijn met een kwetsbaar implementatietraject en niets zullen durven doen . De roep richting overheid om van daar uit een verplichting op te leggen, lijkt het gezien de reactie van de overheid niet te worden.

Onder druk zetten

Van Houdenhoven doet nog een poging om druk op de ketel te krijgen door te vermelden dat nogal wat subsidiegeld in het kader van de VIPP-regeling, bedoeld om de informatieuitwisseling tussen patiënt en professional te bevorderen, wel zeer makkelijk aan Chipsoft ten deel valt omdat die al enige tijd een patiëntenportal heeft in haar software. Aanvullende subsidievoorwaarden  zouden volgens van Houdenhoven Chipsoft onder druk kunnen zetten. Ook hier lijkt de overheid zelf geen actie te willen ondernemen.

Vreemde situatie

Het lijkt allemaal op een soort pokerspel waarbij er van de zijde van Chipsoft geen beweging lijkt te zitten om mee te werken aan landelijke en EU-regelgeving. Het is de vraag hoe de privacy-toezichthouder, de Autoriteit Persoonsgegevens(AP) met deze materie om zal gaan. De ZIS-afnemers valt niets te verwijten omdat die hun best doen om een contract getekend te krijgen. Het is de vraag of het er ooit van komt dat de AP middels een boete of andersoortige maatregel ZIS-leveranciers dwingt om mee te werken.

W.J. Jongejan

8 antwoorden
  1. wjjongejan
    wjjongejan zegt:

    Beste Irene, je stelt de gang van zaken nogal symplistisch voor. De software van een XIS(zorginformatiesysteem) ordent data, presenteert overzichten en maakt die data geschikt voor administratieve verwerking. In de ogen van de toezichthouders(EU-breed) is dat iets waarvoor een bewerkersovereenkomst nodig is. Of Chipsoft nu wel of niet de data zelf host op eigen servers doet daartoe niet toe of af. Consultants en technici die met patientendata van doen hebben hebben altijd een afgeleide geheimhoudingsplicht. Dat maakt nooit de verantwoordelijkheid voor het be-/verwerken van patiëntendata van de firma zelf kleiner.

    • Ad van Loon | Qiy Foundation
      Ad van Loon | Qiy Foundation zegt:

      De definitie van ‘verwerking’ in de AVG is heel erg breed en het is duidelijk dat ten aanzien van bepaalde verwerkingsactiviteiten het doel en de middelen worden vastgesteld door Chipsoft.
      Als de info in de comment van @wjjongejan klopt dan is Chipsoft wat mij betreft een verwerkingsverantwoordelijke (en dus niet ‘slechts’ een verwerker). Alszodanig zijn Chipsoft en de gebruikers dan gezamenlijk verantwoordelijk en dientengevolge ieder hoofdelijk aansprakelijk voor het geheel.
      Er moet dus geen verwerkingsovereenkomst komen, maar een overeenkomst tussen 2 gezamenlijk verwerkingsverantwoordelijken!

  2. Irene
    Irene zegt:

    Ik heb verder geen banden met Chipsoft maar ik weet wel dat ze zo Hollands zijn als het maar kan en dat het niks met de VS te maken heeft :)

    • wjjongejan
      wjjongejan zegt:

      Chipsoft Nederland is een onderdeel van een supranationaal opererend bedrijf met roots in de VS.

      • Jan Jacobs
        Jan Jacobs zegt:

        Supranationaal opererend bedrijf met roots in de VS?

        Toch benieuwd waar dat Amerikaanse hoofdkantoor van Chipsoft dan ooit stond.

        Ik lees dit op de website:

        Het team van ChipSoft bestaat uit meer dan 650 mannen en vrouwen, die dagelijks met veel plezier naar Amsterdam, Heerenveen, Hoogeveen en Niel (België) komen om zich in te zetten voor betere zorg-ICT. Kenmerkend is hun hoge opleidingsniveau en kwaliteit om oplossingsgericht te denken. Meer dan 85 procent van de medewerkers is universitair geschoold of heeft een HBO-diploma in de richting zorg en/of

        • wjjongejan
          wjjongejan zegt:

          Het zou best wel kunnen zijn dat ik me vergis, maar er bestaat wel degelijk een Amerikaans bedrijf genaamd Chipsoft Inc. (https://www.bloomberg.com/profiles/companies/2999330Q:US-chipsoft-inc). Dat bedrijf is alleen niet in de medische sector werkzaam. Als Chipsoft Nederland BV volledig Nederlands is en geen enkele relatie met een Amerikaans bedrijf heeft is het toch wel vreemd te noemen dat het bedrijf zich niet compliant opstelt tegenover de gerechtvaardige vraag van een grote afnemer om conform de Nederlandse en Europese wetgeving een bewerkingsovereenkomst af te sluiten. Een Nederlands bedrijf is volgens genoemde regelgeving verplicht mee te werken aan zoiets.

  3. Irene
    Irene zegt:

    Ik ben er nog niet direct van overtuigd dat Chipsoft verwerker is. In mijn ogen is de situatie als volgt:

    – Chipsoft levert software waarin de ziekenhuizen hun patientgegevens verwerken
    – Patientgegevens worden lokaal gehost, daar komen geen servers van Chipsoft bij kijken
    – Chipsoft slaat patientgegevens dus niet op en heeft er ook geen inzicht in. Dus eigenlijk levert chipsoft alleen het raamwerk en verwerken ze de patientgegevens dus niet zelf.
    – Consultants die de software implementeren tekenen een geheimhoudingsverklaring voor wanneer zij toch in aanraking komen met persoonsgegevens. Wat me een passende oplossing lijkt.

    Mocht ik dit verkeerd zien dan hoor ik het graag.

Reacties zijn gesloten.