De zorg zit met de de cloud in zijn maag. Om preciezer te zijn: de zorgbestuurders die vanaf 2016 persoonlijk aansprakelijk gesteld kunnen worden voor datalekken. Maar ook de security officers die apps en patiëntgegevens moeten beveiligen tegen cybercriminelen en onachtzaamheid van eigen personeel.
Cloud platformen als Google, Amazon AWS en Microsoft Office 365 of Azure bieden grote voordelen om met lagere kosten snel nieuwe IT-toepassingen te kunnen bouwen. De hele infrastructuur kan 'uit de kraan' worden gekocht. Betalen doe je afhankelijk van het gebruik. Over het succes van deze nieuwe platformen kun je moeilijk twisten. Amazons cloud-business groeit explosief, omdat het bedrijfsleven en startups massaal overstappen naar cloud computing. Maar ook de Amerikaanse overheid bracht belangrijke delen van zijn Obamacare website bijvoorbeeld naar Amazon AWS, omdat de 'oude' IT-technologie die eerst werd gebruikt (en waaraan honderden consultants hadden gewerkt) niet bleek te werken. Overigens maken veel diensten ook gebruik van AWS zonder dat de gebruiker dat expliciet weet, zoals bijvoorbeeld WeTransfer
Servers in Europa?
Er is echter veel onduidelijkheid over de ruimte die wetgeving biedt om nieuwe technologie te kunnen gebruiken in de zorg. Die onduidelijkheid is sinds begin deze maand alleen nog maar toegenomen. Toen oordeelde het Het Europees Hof van Justitie dat de Verenigde Staten onvoldoende bescherming bieden voor doorgegeven persoonsgegevens van EU-burgers. De zogeheten Safe Harbour-beschikking tussen de EU en de VS is daarom ongeldig, wat grote gevolgen kan hebben voor internetbedrijven als Apple, Google, Facebook en Microsoft. En daarbij lijkt het niet uit te maken of de servers van die ondernemingen in rekencentra op Europees grondgebied staan. Het impact van de beslissing is nog niet duidelijk. Is dit nu een staaltje academisch redeneren voor gevorderden, zonder enige praktische consequenties in de mondiale verhoudingen? We hebben in Europa immers geen echte alternatieven voor een groot deel van het Amerikaanse technologieaanbod. Maar toch: Duitse regionale privacywaakhonden hebben al laten vanaf begin volgend jaar actief te gaan toezien op schendingen.
Bewijslast bij zorgaanbieders
Zorgaanbieders hebben ook nu al de wettelijke plicht om de vertrouwelijke gegevens waarvoor ze verantwoordelijk te zijn zo goed als ze kunnen te beschermen. Maar vanaf 1 januari moeten ze een inbreuk op die beveiliging gaan melden. De meldplicht houdt in dat organisaties, zowel bedrijven als overheden, direct een melding moeten doen bij de het College Bescherming Persoonsgegevens (CBP). En in bepaalde gevallen moeten zij het datalek ook melden aan de betrokkenen. Dat zijn de mensen van wie de persoonsgegevens zijn gelekt, bijvoorbeeld patiënten of werknemers.
Vanaf 1 januari ligt de bewijslast niet langer bij het CBP, maar bij de organisatie zelf
Dat is niet de enige grote verandering. Vanaf 1 januari ligt de bewijslast niet langer bij het CBP, maar bij de organisatie zelf. Die moet te allen tijde kunnen aantonen dat alle noodzakelijke technische en organisatorische maatregelen genomen zijn. Sterker nog: dat bewijs moet je eigenlijk direct kunnen overleggen als het CBP op de stoep staat. De sancties zijn niet misselijk. De privacy-waakhond mag met de vanuit Brussel afkomstige wetgeving boetes opleggen tot maximaal € 810.000 of, als dat hoger is, 10% van de omzet van een organisatie. In zorgland draaien ICT-verantwoordelijken dit najaar overuren om te bekijken wat de consequenties zijn en of bestaande overeenkomsten de risico's afdekken.
Onduidelijkheid over de cloud
Dat juist het gebruik van de cloud tot vragen over de interpretatie van bestaande en nieuwe wetgeving leidt is geen nieuw gegeven. Al in 2012 publiceerde het CBP een zogeheten zienswijze over privacy-kwesties bij het gebruik van de cloud, vooral wanneer je cloudleveranciers uit Amerika gebruikt. Dat document is sindsdien echter niet meer geactualiseerd. En zelfs gespecialiseerde juristen van toonaangevende kantoren steggelen over de vraag wat wel en niet kan. Neem het recente voorbeeld van het nationale EPD-systeem dat de Zweedse overheid gaat bouwen op basis van de cloudtechnologie van Microsoft. Daarbij werd expliciet aangegeven dat men in de contractonderhandeling met Microsoft voldoende zekerheden had verkregen dat de bescherming aan Europese regelgeving zal voldoen, bijvoorbeeld omdat de servers op EU-grondgebied staan.
Ook het Nederlandse LSP maakt gebruik van Amerikaanse technologiebedrijven, en ook hier meldde minister Schippers de Tweede Kamer desgevraagd dat in de contracten voldoende zekerheden waren ingebouwd. Maar wanneer overheden met gespecialiseerde advocaten al worstelen met deze vragen, dan is het duidelijk dat een individueel ziekenhuis of GGZ-instelling zonder externe adviseurs de risico's bijna niet kan inschatten. Kortom: een goudmijn voor auditors, juristen en security-experts.
Zijn er alternatieven?
Maar zijn er alternatieven? Zouden zorgaanbieders samen moeten optrekken om duidelijkheid te krijgen over de reikwijdte van de regels? Moet de overheid een veel actievere rol gaan spelen bij het vaststellen van praktische standaarden en normen voor verantwoord cloudgebruik in de zorg? Over die vraag organiseerden ICT-specialist Vancis en HeidemanBoot Advocaten vorige maand een rondetafelgesprek met zorgaanbieders, ICT-verantwoordelijken van ziekenhuizen en zorginstellingen en andere direct betrokkenen. Vancis is de commerciële afsplitsing van SURF, de ICT-samenwerkingsorganisatie van het Nederlandse hoger onderwijs.
Zoals een jurist betaamt formuleerde Anton Ekker van HeidemanBoot de vraag wat puntiger: “Hoe kunnen wij in Nederland komen tot een werkbaar en juridisch houdbaar model voor de veilige opslag, verwerking en uitwisseling van medische gegevens in de cloud?”
Volgens Ekker wordt die vraag alleen maar relevanter, omdat de wet- en regelgeving zo complex is geworden dat patiënten, zorgaanbieders en ICT-leveranciers er goed aan doen om samen op te trekken om een werkbaar model voor compliance te bedenken. Compliance betekent in dit geval dat je aan de wetten en regels voldoet. Polderen dus, want volgens Ekker zit er waarschijnlijk niets anders op. Volgens hem heb je kunnen alleen gezamenlijk gedragen bestuursmodellen, gedragscodes en toezichtsvormen duidelijkheid scheppen.
Sneller, beter, goedkoper
In de discussie die op Ekkers presentatie volgde werd snel duidelijk dat een schijnbaar heldere vraagstelling toch minder eenduidig is. Om maar iets te noemen: wat is de cloud precies? Kevin Feenstra was een jonge IT-hond toen hij in 2012 de beroerd functionerende automatisering van gehandicaptenzorginstelling Humanitas DMH from scratch moest opbouwen. Interim-bestuurder (inmiddels bestuurder) Frank Wolterink had het zo druk met de overige problemen dat hij Feenstra bewust meer ruimte en vertrouwen bood dan de IT-afdeling normaal gesproken zou hebben.
Feenstra besloot letterlijk alle ‘ouwe troep’ in het eigen datacentrum om zeep te helpen en - op basis van de dienstverlening van Vancis en producten van Microsoft - alle processen vanuit de cloud en met standaard software als Office 365 van Microsoft in te richten. In zijn situatie betekende de cloud in
Het opstellen van een goede bewerkers- overeenkomst is voer voor juristen
eerste instantie dat zijn servers en software niet meer op zijn eigen locatie stonden, maar in het beveiligde datacentrum van Vancis. Hier komt de eerste juridische voetangel al om de hoek. Humanitas DMH blijft verantwoordelijk voor de beveiliging van de data, maar Vancis is als zogeheten bewerker opeens ook een partij geworden. Nu is Vancis een Nederlandse partij met een rekencentrum dat in Nederland staat. Maar zelfs dan blijkt het opstellen van een goede bewerkersovereenkomst voer voor juristen, en die klus wordt in Nederland op tientallen, misschien wel honderden plekken uitgevoerd.
Maar Feenstra wilde meer. Hij is onder de indruk van Azure, de dienst van Microsoft waarmee je snel onder andere infrastructuur en mobiele applicaties kunt ontwikkelen en in productie kunt nemen. Bijvoorbeeld om medewerkers vanaf elke locatie toegang tot het cliëntdossier te kunnen geven. “Het ontwikkelen met diensten als Azure is letterlijk vele malen efficiënter en goedkoper dan alles zelf te bouwen, wat nog bij veel zorginstellingen gebeurt”, vindt Feenstra. “En dan heb je ook nog eens een mobiele toepassing die helemaal aansluit bij wat gebruikers in 2015 verwachten.”
Glad ijs
Maar bij diensten als Azure, AWS van Amazon of Google (of communicatiediensten als Whatsapp of Dropbox) heb je geen eigen server ergens in de cloud staan. Je deelt een IT-infrastructuur met alle andere klanten en die gegevens kunnen in Ierland, Zweden, New York of Colorado staan. Daarmee wordt de vraag of je, als zorgverlener die deze diensten afneemt, kunt voldoen aan de Nederlandse of Europese wetgeving opeens weer ingewikkelder. Neem als voorbeeld weer de beslissing dat de Safe Harbour data-overeenkomst tussen de EU en de VS onvoldoende waarborgen voor Europese burgers biedt. Dat betekent dat ondernemingen zelf privacy-afspraken moeten maken met Amerikaanse leveranciers. Nu kan Philips nog wel een tafel vol met specialisten van 600 euro per uur betalen om een deal met Amazon te maken voor de centrale opslag van echografische beelden, maar dat is geen haalbaar scenario voor een zorggroep in Deventer of Amsterdam.
Marco Zoetekouw (M&I Partners) meende dat de wetgeving per definitie altijd achterloopt op de beschikbare technologie. Dat is een gegeven, dus je kunt je strategie daar maar beter op aanpassen, meent hij. Toch hoeft het allemaal niet zo moeilijk te zijn als we denken, zei Zoetekouw. “Neem nu zo’n bewerkers-overeenkomst. De overheid zou best actief kunnen meehelpen aan de ontwikkeling van een goede standaard-overeenkomst die in negen van de tien gevallen toereikend is. Dat scheelt veel tijd en geld, en zorgt er bovendien voor dat zorgbestuurders zich met andere belangrijke zaken kunnen bezighouden in plaats van het wiel opnieuw te moeten uitvinden.”
De rol van de overheid
Daarmee komt de vraag deels weer terug bij de overheid. Is een veilige cloudopslag voor zorgdata eigenlijk niet net zo’n voorziening als wegen of dijken? Dat regelen we toch ook op een centraal niveau? Sommige aanwezigen vonden het op zich een aantrekkelijke gedachte dat de BV Nederland dit goed gaat regelen. Maar je hoorde ook scepsis: “Wanneer de overheid niet eens begrijpelijke en uitvoerbare wetten kan maken, moet je je afvragen of het daar wel in goede handen is.”
"De overheid zou best actief kunnen meehelpen aan de ontwikkeling van een goede standaard-overeenkomst"
Nick Guldemond (UMC Utrecht) is op veel gebieden betrokken bij internationale technologische samenwerking tussen zorgonderzoekers onderling en met het bedrijfsleven. Hij gaf aan dat de overheid c.q. wetgever het zichzelf ook moeilijk maakt. “Je hebt in Europa bijvoorbeeld grote trajecten op het gebied van privacy enerzijds en het stimuleren van eHealth anderzijds, maar ik heb niet die indruk dat die twee kampen erg goed met elkaar communiceren.” Hij gaf ook het voorbeeld van de noodzaak van een landelijke of zelfs Europese aanpak, terwijl er juist in de zorg ook weer een tendens is om zorg regionaal te gaan organiseren.
Simplisme
Harry Pijl, ICT-programmamanager bij het UMC Utrecht, gaf aan dat de vraag wie nu uiteindelijk verantwoordelijk is voor patiëntdata niet alleen speelt in contracten met commerciële cloudaanbieders. Academische (maar ook kleinere) ziekenhuizen gebruiken in toenemende mate big data over patiënten in samenwerkingsverbanden met andere wetenschappers, farmaceuten, ICT-bedrijven en kwaliteitsorganisaties. “Hier zie je ook dat de hete aardappel wordt doorgeschoven, en dat de vraag wie juridisch verantwoordelijk is bij een datalek steeds vaker wordt gesteld.” Hij rekende tegelijk ook af met het simplisme waarmee in de media soms over patiëntdata wordt gesproken. "Het gaat niet om wat getallen over het aantal stappen dat je zet of je bloeddruk. Ik voorzie dat wij over enkele jaren vele terabytes per patiënt aan data bijhouden, dat is nu al twaalf tot twintig MB per dag. Daar moet je wel een veilige plek voor hebben.”
Patiënt moet regie terug
Over de rol van de patiënt (of de zorgconsument) waren de aanwezigen het opvallend eens: die is namelijk onmisbaar, welke oplossing je ook verzint. “De privacy-discussie is onnodig ingewikkeld geworden omdat we over de data van de patiënt praten zonder dat we die er zelf bij betrekken”, zei Evert-Jan Hoijtink, CEO van Portavita. Net als Jacqueline Baardman van GGD Hart voor Brabant vindt hij dat de discussie over het hoofd van de zorgconsument wordt gevoerd, en dat die zelf steeds beter kan aangeven wat hij of zij wil delen. Baardman: “Patiënten krijgen die regie uiteindelijk toch wel, daar kunnen overheid en zorgaanbieders beter nu al rekening mee gaan houden in hun beleid."
Frank Wolterink, de bestuurder van Humanitas DMH , had voor alle aanwezigen aan het slot van de bijeenkomst in ieder geval een goede raad. “Je kunt leiding geven vanuit angst en de behoefte aan controle, of je kunt denken in kansen, verlangen, perspectief. Daarbij horen risico’s. Je moet soms de grens opzoeken wanneer je denkt dat je daarmee betere zorg voor minder geld kunt bieden. Zolang je maar bereid bent om tegelijk – desnoods voor een rechter – uit te kunnen leggen welke afwegingen je hebt gemaakt bij je ICT-keuzen.”
[accordion]
[acc title="Foto credits:"]NEC via Flickr: https://flic.kr/p/qL9FNe[/acc]
[/accordion]
Wij als Nederlandse Cloudaanbieder zijn bekend met deze zorgen. Daarom houden wij al onze services in Nederland. Wij hebben hier al meerdere artikelen over geschreven, zie: https://vboxxcloud.nl/echte-privacy/