Een volle zaal getuigde van de interesse in de SmartHealth app clinic dit jaar tijdens het Mobile Healthcare congres op 6 oktober. Waar de vragen tijdens de vorige app clinic nog veel gericht waren op het ontwerp- en bouwproces van gezondheidapps, bleek tijdens de clinic dit jaar dat twee onderwerpen op de agenda staan: beveiliging en data-uitwisseling met patiënten.
Deelnemers aan de app clinic waren studenten, ondernemers met startende bedrijven, en zorgaanbieders, ICT-managers of innovatiemedewerkers die plannen hebben om voor hun instelling een of meerdere zorg apps te (laten) ontwikkelen. Het idee van de app clinic: in plaats van één spreker die een praatje houdt, stellen deelnemers hun vragen aan een panel van experts. Dit jaar konden de deelnemers hun vragen afvuren op Pieter Krop (CEO bij Brightfish), Sofie van der Meulen (advocaat bij Axon Advocaten), Itte Overing (juridisch adviseur bij ICTRecht) en Andries Smit (app-developer bij Flock of Birds).
Recht tot data
“Van wie zijn dat data in patiëntportalen en apps? Als je er vanuit gaat dat iedereen een eigen dossier heeft, van wie zijn die gegevens dan?”, luidt de eerste vraag uit de zaal. De panelleden en de zaal herkennen de vraag: ‘van wie zijn medische data?’ wordt tegenwoordig op vrijwel ieder congres gevraagd. Het simpele antwoord volgens Itte Overing: “Data kent geen eigendom. Er zijn wel rechten en plichten aan verbonden. Zo geldt er een dossierplicht voor arts om een medisch dossier adequaat bij te houden. En patiënten hebben onder andere inzagerecht in hun dossier, wat sinds kort ook wettelijk is vastgelegd voor digitale dossierinzage.” Sofie van der Meulen vult aan: “Deze vraag wordt mij ook regelmatig gesteld. Een patiënt heeft recht tot zijn of haar data.”
"Een patiënt heeft recht tot zijn of haar data"
Steeds meer ziekenhuizen en app-ontwikkelaars bieden toegang tot (delen van) het medisch dossier. Hoe zorg je ervoor dat het recht op inzage in en correctie van het dossier kan blijven bestaan naast de dossierplicht die artsen hebben? Een oplossing kan zijn om een autorisatie-laag of -systeem te bouwen waarbij een arts eerst de aanvullingen van patiënten moet goedkeuren voordat die informatie in het dossier komt, aldus Pieter Krop. Overing vult aan: “Er bestaat niet zoiets als een absoluut recht om het dossier aan te passen. Zorgverleners moeten altijd een afweging maken tussen het kunnen verlenen van goede zorg en inzage- en correctierecht.”
Bij Brightfish bouwt Krop aan mobiele applicaties voor ziekenhuizen en zorgorganisaties, die vaak met data uit elektronische patiëntendossiers of ziekenhuissystemen werken. Hij legt uit: “Data staat niet op één plek, maar op verschillende plekken. Patiënten moet je vooraf duidelijk informeren over waar hun data voor gebruikt wordt. De patiënt geeft toestemming om data voor een bepaald doel te gebruiken, bijvoorbeeld voor onderzoek. Met die toestemming kun je vervolgens die data niet voor andere doeleinden gebruiken.”
Onaangekondigde controle
Net als vorig jaar zijn er ook vragen over de certificering van software als medisch hulpmiddel. Hoe strikt is de regelgeving, en kun je zelf een toets doen van je software of app?
De Inspectie voor de Gezondheidszorg (IGZ) heeft in 2014 nogmaals duidelijk gemaakt dat apps CE-markering nodig hebben, zegt Van der Meulen. “Apps die in een laag risico-categorie vallen moeten door de maker zelf gecontroleerd en gecertificeerd worden. Medische apps met een hoog risico worden gecontroleerd door een zogeheten aangemelde instantie, bijvoorbeeld TÜV Rheinland.”
Wat kost zo’n controle door een aangemelde instantie? Van der Meulen: “Wanneer je als app-ontwikkelaar ervaring hebt met het opstellen van een technisch dossier en voorwerk kan doen, komt dat neer op zo’n 20.000 tot 30.000 euro.”
"De documentatie die vereist is, kan dan in één dag worden geregeld"
Krop: “De meeste medische apps die op de markt zijn vallen in een laag risico-categorie en kunnen door de ontwikkelaar of opdrachtgever gecontroleerd en gedocumenteerd worden. Als de software of het algoritme geen wezenlijke impact heeft op de diagnostische besluitvorming of therapie, dan is er vrijwel altijd sprake van een laag risico. De documentatie die vereist is, kan dan in een dag worden gerealiseerd, indien de leverancier tenminste ook NEN7510 gecertificeerd is. Dan heb je bijna alle documentatie al." Daarna is het aan de app-ontwikkelaar of opdrachtgever om te laten zien dat er maatregelen worden genomen zodat bijvoorbeeld verkeerd gebruik voorkomen wordt en er geëvalueerd wordt met gebruikers
Andere positie startups?
“Wat wordt verwacht van een startup om medische gegevens te beschermen?”, luidt een vraag uit de zaal. Van der Meulen is duidelijk: “Van startups wordt precies hetzelfde verwacht als van alle andere bedrijven. Je dient je aan de in de gezondheidszorg geldende wet- en regelgeving te houden, en de Europese privacy verordening.”
De vraag komt van een startende ondernemer, die zich afvraagt of het realistisch is om 15.000 euro startkapitaal opzij te zetten om de juridische randvoorwaarden en privacyreglementen in orde te maken. Maar volgens Overing kan het juist een voordeel zijn om als startende ondernemer met een security- en privacy by design en privacy by default aanpak te werken. “Dat geeft je de kans om privacy- en securitymaatregelen vanaf het begin te implementeren. De boetes zijn hoog voor bedrijven die dit nog moeten gaan implementeren.”
De ICT-toepassing die de startende ondernemer voor zich ziet is gericht op afspraken en logistiek voor de thuiszorg. Maar Overing en Van der Meulen benadrukken: als met die ICT-toepassing medische persoonsgegevens worden verwerkt, moet je rekening houden met wetgeving voor bijzondere persoonsgegevens.
Andries Smit herkent het sentiment dat security vaak in de weg staat van het doel. “Het doel is om een app te ontwikkelen om een werkproces gemakkelijker, veiliger of efficiënter te maken.” Simpliceren is volgens de app-developer wel een weg, door jezelf af te vragen: wat is juridisch toegestaan, wat is ethisch als arts?
Plaats een Reactie
Meepraten?Draag gerust bij!