In de wolken met de cloud?

woensdag 23 september 2015
timer 6 min
Dropbox, gmail: iedereen doet wel eens wat in de cloud. Ook zakelijk wordt cloud computing steeds normaler, maar juridisch zitten er nog wel wat haken en ogen aan. Waar moet u op letten bij het afsluiten van een contract?

Als uw data of software in de cloud staan, betekent dat dat ze op een server staan die niet in uw eigen organisatie staat maar ergens anders ter wereld. Via internet kan de gebruiker die server benaderen. Een website bekijken werkt op dezelfde manier, die staat ook ergens ter wereld op een server. ‘In de cloud’ betekent eigenlijk dus gewoon ‘op internet’.

 

De cloud bestaat al jaren en privé maken de meeste mensen er al lang gebruik van: foto’s uitwisselen via Dropbox, mail versturen via Gmail, berichten uitwisselen met Whatsapp. Uw aanbieders van praktijksoftware bieden ook steeds vaker de mogelijkheid om uw software en data in de cloud te zetten en Microsoft biedt kantoorsoftware in de cloud: Office365.

 

Voordelen

Waarom zou u overgaan tot cloud computing? De voordelen op een rij:

  • Lagere opstartkosten. U hoeft niet zelf te investeren in software en minder in hardware. Meestal neemt u een abonnement af. Of u op de lange termijn goedkoper uit bent, is wel even een rekensommetje waard natuurlijk.
  • U kunt overal werken: ook vanuit huis of de camping in Frankrijk. Een goede internetverbinding is wel een voorwaarde.
  • U heeft geen omkijken meer naar het onderhoud van de software. Nieuwe softwareversies worden automatisch geïnstalleerd. Als er een technisch probleem is, kan de leverancier dat meteen op afstand oplossen. Zeker voor kleine organisaties zonder eigen IT’er in dienst is dit een pre.
  • Als uw pand afbrandt, zijn uw data niet verloren. Maar wat dan als de server afbrandt waar uw server draait? Die kans is niet heel groot want de datacentra worden heel goed beveiligd. Ook worden uw data feitelijk 2 of 3 keer opgeslagen. 

Inspectie

Er is echter één groot punt van zorg: de veiligheid van de data. Op het gebied van beveiliging van data is heel veel mogelijk, maar software die niet te hacken is, bestaat niet. Belangrijk om te weten is dat u als praktijkhouder altijd juridisch verantwoordelijk blijft voor uw patiëntgegevens. De inspectie staat bij u op de stoep en niet bij de cloudaanbieder als iemand schade ondervindt doordat zijn medische gegevens in verkeerde handen zijn geraakt. 

 

Wetgeving

Waar moet u op letten als u toch met een cloudaanbieder in zee gaat? “In Nederland zijn er wetten die regelen hoe medici moeten omgaan met de gegevens van patiënten”, vertelt Jos Swinkels, advocaat bij Versteeg Wigman Sprey Advocaten in Amsterdam. Zo is er de Wet Bescherming Persoonsgegevens die voorschrijft onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Voor gegevens betreffende iemands gezondheid zijn er extra eisen; deze gegevens mogen niet worden verwerkt tenzij het verwerken ervan noodzakelijk is voor de medische behandeling of als de patiënt uitdrukkelijk toestemming geeft. “De wetgever heeft nooit bedacht dat er zoiets zou bestaan als de cloud en dat medici patiëntinformatie zouden gaan uitwisselen via Whatsapp. Is dat noodzakelijk voor de medische behandeling?”, vraagt Swinkels zich af. Dan is er ook de Wet op de Geneeskundige Behandelovereenkomst (WGBO) die regelt onder andere de dossierplicht, het beroepsgeheim en de geheimhouding van het dossier.

 

Als behandelaar mag u het verwerken van gegevens uitbesteden, maar dan moet er wel een overeenkomst zijn, een zogenaamde bewerkersovereenkomst. Er moet in ieder geval in staan welke beveiligingsmaatregelen de bewerker zal nemen en wat hij met de data mag doen. Ook moet de bewerker geheimhouding beloven en toezeggen de data niet voor andere doeleinden te gebruiken. Maar: u blijft verantwoordelijk voor wat er met de patiëntgegevens gebeurt!

 

Locatie

Verder is het heel belangrijk om harde afspraken te maken over waar de data staan. Sommige Nederlandse bedrijven kiezen voor de grote cloudaanbieders als Microsoft of Amazon omdat ze dan heel snel meer capaciteit kunnen inkopen als dat nodig is. Maar dat betekent wel dat de data overal ter wereld kunnen staan. Andere bedrijven kiezen een Nederlandse cloud of hebben een eigen ‘dedicated’ server in een datacentrum staan. Swinkels: “Gegevens in Amerika onderbrengen mag alleen als de cloudleverancier op de Safe Harbour lijst staat, omdat die bedrijven aan de Europese eisen voldoen. Voor andere bedrijven, en landen buiten Europa, moet u toestemming vragen aan het Ministerie van Justitie. Europese landen vormen geen probleem omdat de privacywetgeving in Europa op een Europese Richtlijn is gebaseerd”.

 

Service

Contractueel moet u niet alleen de bescherming van patiëntgegevens goed vastleggen, maar ook de service die u verwacht. Als arts wil u graag 24 uur per dag bij uw gegevens kunnen terwijl in de meeste cloudovereenkomsten een minimumbeschikbaarheid staat, bijvoorbeeld in verband met serveronderhoud. Ook is het belangrijk om de beschikbaarheid van de helpdesk in de gaten te houden En wat als de cloudleverancier failliet gaat? Of als u zelf van leverancier wilt wisselen? Krijgt u uw gegevens dan terug? Hoe? En in welke vorm? Dat moet allemaal van tevoren worden vastgelegd.

 

Keurmerk?

“Op het gebied van e-mailmarketing bijvoorbeeld zijn er keurmerken: bedrijven die op de juiste manier met persoonsgegevens omgaan, kunnen een keurmerk krijgen”, vertelt Swinkels. In de medische wereld bestaat dat nog niet, terwijl het om gevoelige informatie gaat. “Mij lijkt het voor een praktijkhouder heel moeilijk, zo niet onmogelijk, om te beoordelen of een overeenkomst goed is. Je moet aandacht besteden aan de privacywetgeving en de service die je verwacht. Je krijgt gebruiksvoorwaarden, een serviceovereenkomst, een bewerkersovereenkomst, al snel tientallen pagina’s, vaak in het Engels, en die moet je ook nog eens van verschillende aanbieders vergelijken. Ik zie hier een rol weggelegd voor de brancheverenigingen om een keurmerk te ontwikkelen. Dat zou de praktijkhouders in de eerste lijn veel tijd en onzekerheid schelen.”


Maaike Heijltjes, met hulp van Rob van Pomeren, eigenaar van softwarebedrijf Dazzleware   

Reactie toevoegen

Beperkte HTML

  • Toegelaten HTML-tags: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Regels en alinea's worden automatisch gesplitst.
  • Web- en e-mailadressen worden automatisch naar links omgezet.
  • Lazy-loading is enabled for both <img> and <iframe> tags. If you want certain elements skip lazy-loading, add no-b-lazy class name.

Meer artikelen met dit thema

mic_external_onInterview

Sule Karagan bij Fysiopraktijk Anno Nu: ‘Arbeidsvoorwaarden moeten transparanter en voorspelbaarder’

3 nov 2022 timer5 min
De nieuwe Wet transparante en voorspelbare arbeidsvoorwaarden brengt veel nieuwe verplichtingen voor…
Lees verder »

Power BI laat al uw data in plaatjes zien

1 nov 2022 timer3 min
Als u visueel bent ingesteld dan zijn gegevens weggestopt in Excel-sheets moeilijk te lezen, maar sowieso is…
Lees verder »
mic_external_onInterview

Joke Luitwieler bij Mondzorgpraktijk Anno Nu over klachten voorkomen: ‘Maak de behandeling zo makkelijk mogelijk en leg elke stap uit’

27 okt 2022 timer5 min
Hoe kunnen klachten tegen tandartsen worden voorkomen en welke impact heeft een officiële klacht op de praktijk?…
Lees verder »

Patrick Vollenbroek: ‘DentalRules helpt om het maximale uit de dagelijkse werkzaamheden te halen’

27 okt 2022 timer5 min
Van papier naar digitaal: het is de passie van Patrick Vollenbroek om software te ontwikkelen die échte…
Lees verder »

Geautomatiseerd en structureel reviews ontvangen voor jouw tandartspraktijk op o.a. Google en ZorgkaartNederland

24 okt 2022 timer3 min
Beetr is een onafhankelijk onderzoeks- en marketingbureau dat streeft naar transparantie over de kwaliteit van…
Lees verder »

Digitale veiligheid moet in elke praktijk op nummer 1 staan

13 okt 2022 timer4 min
Voor digitale veiligheid zorgen lijkt op het hebben van goede voornemens. Je hebt een verandering van mindset…
Lees verder »

Wat heeft u als zorgverlener aan Google Mijn Bedrijf?

22 sep 2022 timer4 min
Waarschijnlijk ben je het al eens tegengekomen in de zoekresultaten van Google: een kaartje met daarop bedrijven,…
Lees verder »

Informatieveiligheid vraagt aandacht en actie: Malware? Phishing? Ransomware?

22 sep 2022 timer5 min
‘Ik heb een mail geopend en toen was het te laat, ik ben gehackt!’ Malware, phishingmail en ransomware kunnen de…
Lees verder »