Een groot ziekenhuis blaast de invoering van zijn elektronisch patiëntensysteem af omdat het van de leverancier onvoldoende garanties krijgt om te kunnen voldoen aan wet- en regelgeving rond de privacy van patiënten. Die invalshoek had het Canisius-Wilhemina Ziekenhuis (CWZ) volgens woordvoerster Patricia Van Hooff vorige week niet willen benadrukken als voornaamste reden voor het stoppen van de onderhandelingen met de Amerikaanse leverancier Epic. “We kwamen er op meerdere punten niet uit, maar die privacy is er nu uitgelicht in de berichtgeving.”
De invoering van een nieuw elektronisch patiëntensysteem in een ziekenhuis met ruim 4000 personeelsleden en meer dan 30.000 opnamen per jaar is een immense operatie met een lange voorbereidingstijd en een budget dat in de tientallen miljoenen euro’s loopt. Wanneer in zo’n lopend traject een streep wordt gezet door de gesprekken met de voorkeursleverancier is er echt iets aan de hand.
"Geen garantie om in de toekomst te kunnen voldoen aan Nederlandse wet- en regelgeving"
Er zijn veel redenen denkbaar voor de breuk. Wellicht werd de implementatie veel duurder dan begroot, en kon de leverancier geen garanties geven dat de kosten binnen de perken blijven. Een ander scenario: een ziekenhuis heeft opeens minder te besteden dan aanvankelijk was gepland. We weten het niet, maar we weten wel dat Epic volgens CWZ de garantie om in de toekomst te kunnen voldoen aan Nederlandse wet- en regelgeving contractueel niet kon bieden. Dat was volgens Van Hooff één van de redenen om de onderhandelingen te stoppen.
Epic: sterk in thuismarkt VS
Epic, de gewraakte leverancier, is de op één na grootste aanbieder van ziekenhuis software in de Verenigde Staten, met prestigieuze klanten als Kaiser Permanente en Johns Hopkins. Epic werd onlangs door Apple als samenwerkingspartner gekozen bij de introductie van het gezondheidsplatform HealthKit. Een nieuwe generatie gezondheidsapps kan door die samenwerking potentieel communiceren met de elektronische medische ziekenhuisdossiers van tientallen miljoenen Amerikaanse burgers - en met hun artsen.
Epic is kortom een Amerikaans succesverhaal. Zonder extern kapitaal of beursnotering en zonder noemenswaardige marketing groeide de onderneming in de afgelopen jaren naar een omzet van anderhalf miljard dollar. Het systeem is kostbaar, maar het werkt aantoonbaar, zeggen de voorstanders. Critici zeggen dat het systeem niet makkelijk koppelt met andere systemen
Het systeem is kostbaar, maar werkt aantoonbaar
en gebruiksvriendelijkheid mist. Maar Epic haalt steevast hoge waarderingen in de overzichten van marktanalisten als Gartner, en heeft een bewezen track record bij toonaangevende ziekenhuizen. En de samenwerking met Apple biedt een veelbelovende opstap naar communicatie met allerlei op consumenten gerichte apparatuur en apps, zoals bloeddrukmeters, activity trackers en sensoren.
In Nederland heeft Epic pas sinds kort echt voet aan de grond. De Nederlandse leverancier Chipsoft is hier de marktleider. Maar Epic scoorde vorig jaar jaar big time toen de twee Amsterdamse academische centra, het VUmc en het AMC, voor Epic kozen, met Chipsoft als de grote verliezer van de aanbesteding. Het Nijmeegse Radboudumc (waarmee het Canisius-Wilhemina Ziekenhuis overigens samenwerkt) had de weg al voorbereid, en was het eerste UMC dat voor Epic koos. Een contract met CWZ zou een verdere bevestiging van de positie van Epic betekenen, maar dat zit er dus niet meer in.
Medische dossiers bij Amerikaanse bedrijven
Wat de vermeende privacy-bezwaren rond Epic een extra dimensie geeft is het feit dat het een Amerikaans bedrijf is, dat daardoor te maken heeft met de Patriot Act. Die geeft Amerikaanse inlichtingendiensten veel uitgebreider toegang tot (medische) gegevens in systemen van Amerikaanse bedrijven dan Europese landen wenselijk vinden.
De Patriot Act leidt tot veel uitgebreidere toegang dan Europese landen wenselijk vinden
Europa en de VS proberen al sinds 2002 door middel van het zogeheten Safe Harbour overleg vast te leggen dat Amerikaanse bedrijven die in Europa actief zijn garanties geven dat zij in ieder geval voldoen aan de privacy-wetten van de Europese lidstaten. Door de Safe Harbour uitgangspunten te onderschrijven kunnen Amerikaanse ondernemingen tegemoet komen aan Europese privacy-wensen. Dit overleg tussen Amerika en Europa staat hoog op de agenda in Brussel, en de onthullingen van Edward Snowden zorgden voor nieuwe urgentie.
Nederlandse waakhond: Safe Harbour niet voldoende
Het Nederlandse College Bescherming Persoonsgegevens nam in 2012 het standpunt in dat het voldoen aan de Safe Harbour uitgangspunten door Amerikaanse bedrijven niet voldoende garanties biedt dat de Nederlandse wetgeving wordt nageleefd. Daarvoor zijn volgens het CBP aanvullende garanties nodig in de contracten die Europese ondernemingen, in dit geval ziekenhuizen, sluiten met Amerikaanse aanbieders van software of clouddiensten.
Dat is ook de mening van prof. Lokke Moerel. Zij is als partner bij advocatenkantoor De Brauw Blackstone Westbroek verantwoordelijk voor de ICT portefeuille voor de internationale praktijk, en ze is tevens hoogleraar Global ICT Law aan het Tilburg Institute for Law, Technology and Society (TILT), onderdeel van Tilburg University.
"Om aan de huidige en toekomstige Europese wetgeving voor privacy te kunnen voldoen volstaat het niet dat Amerikaanse bedrijven hun data opslaan op servers die in Europa staan. De Amerikaanse moeder heeft namelijk nog steeds toegang tot de data op deze servers. Vereist is dat het ziekenhuis met de Amerikaanse moeder - ook als die bij Safe Harbour is aangesloten - een zogenaamd Model Contract sluit en verder aanvullende cloud-specifieke beveiligingsvoorwaarden overeenkomt."
"Het werkelijk gevecht wordt in Brussel gestreden"
"Het is echter complexe technische en juridische materie, en het is voor een ziekenhuis lastig om dit te overzien en af te dwingen. Overigens wordt het werkelijk gevecht in Brussel gestreden. Individuele ziekenhuizen kunnen beveiligingsmaatregelen overeenkomen, maar de essentie is natuurlijk dat de Patriot Act de Amerikaanse overheidsinstanties te veel bevoegdheden tot aftappen geeft. Het is aan Brussel om druk uit te oefenen op de Amerikaanse overheid om deze bevoegdheden in te perken."
Probleem breder dan zorg
De Patriot Act is een probleem dat overigens niet alleen in de zorg speelt, stelde ook Minister Schippers vast in het debat over nieuwe wetgeving rond de opslag van patiëntgegevens. Sommige kamerleden vinden namelijk dat medische gegevens van Nederlandse burgers vanwege de Patriot Act helemaal niet in systemen van Amerikaanse leveranciers mogen worden opgeslagen.
In de zorgsector zijn diverse Amerikaanse leveranciers actief
Schippers zei namens het kabinet dat ze het zeer onwenselijk vindt dat een andere mogendheid gegevens kan opvragen. "Dat geldt voor bankgegevens, voor telecomgegevens, voor het gebruik van mobiele apparatuur en ook voor gegevens in de zorg. Bij de uitwisseling van al deze gegevens kunnen Amerikaanse bedrijven betrokken zijn. Dit speelt dus niet alleen in de zorg of ten aanzien van gegevens in de zorg, maar het is iets wat breed in de samenleving aandacht behoeft.”
In de zorgsector zijn volgens Schippers diverse Amerikaanse leveranciers actief. "Dat zijn onder andere CSC, Epic, McKesson en Microsoft. Maar ook Philips en Siemens hebben vestigingen in de Verenigde Staten en vallen dus onder de Patriot Act. Vandaag kan een Nederlands bedrijf overgenomen worden door een Amerikaans bedrijf en andersom. Het is dus niet statisch. Ik kan niet specifiek voor de zorg een verbod instellen. Dat is ook niet wenselijk omdat de informatie-uitwisseling belangrijk is voor de zorg. De Patriot Act vraagt een gezamenlijke Europese aanpak. Het kabinet zet daar ook op in."
Uitsluiten Amerikaanse ondernemingen niet realistisch
Schippers gaf ook aan dat Nederlandse organisaties, zoals VZVZ die het landelijke schakelpunt (LSP) voor de uitwisseling van medische gegevens tussen huisartsen exploiteert, in hun contracten met Amerikaanse bedrijven de naleving van de Nederlandse privacy-wetgeving moeten borgen, en dat volgens haar ook gedaan hebben. Impliciet erkende ze tevens de economische realiteit dat het buitensluiten van Amerikaanse technologiebedrijven in Europa niet haalbaar is in een globale economie.
Patricia Van Hooff van het Canisius-Wilhemina Ziekenhuis wil niet ingaan op de vraag welke specifieke privacy-garanties
Volgens Canisius-Wilhemina Ziekenhuis bood het conceptcontract onvoldoende garanties
niet konden worden geboden door Epic, en of die te maken hadden met de Patriot Act en de Europese wet- en regelgeving. Ze zegt niet dat het softwaresysteem op zich de privacy niet kan waarborgen, maar dat het conceptcontract onvoldoende garanties bood om in de toekomst te voldoen aan Nederlandse wet- en regelgeving.
Ze wil ook niets kwijt op de vraag of andere ziekenhuizen die met Epic werken de privacy-aspecten wel goed hebben geregeld. “Ik weet niet hoe die contracten eruit zien.” Epic wil niet ingaan op individuele contractonderhandelingen. Maar het lijkt niet waarschijnlijk dat de juridisch adviseurs van de grote academische ziekenhuizen die Epic gebruiken hier over één nacht ijs zijn gegaan.
Te complex voor individueel ziekenhuis?
Het wordt voor een individueel ziekenhuis steeds ingewikkelder om door de complexe internationale privacy wetgeving te laveren. Maar bestuurders hebben de verantwoordelijkheid voor de ICT die ze implementeren, en hebben te voldoen aan alle relevante wetten. Het soms gehoorde verweer dat een (te) groot gedeelte van het ziekenhuisbudget opgaat aan
"Bestuurders van ziekenhuizen hebben de verantwoordelijkheid voor de ICT die ze implementeren"
het optuigen van waterdichte contracten en passende beveiligingsmaatregelen vindt Lokke Moerel niet relevant. “Zorgaanbieders hebben vanouds de neiging om te denken dat hun instelling uniek is. Ze doen allemaal hun eigen dingetje. Voor een doelmatige en betaalbare aanpak van dit soort vraagstukken kun je niet anders dan samen optrekken. Het is voor een individuele organisatie domweg te arbeidsintensief en te duur om alles zelf uit te vinden.”
Het CWZ gaat in ieder geval op zoek naar een ander systeem. Het huidige EPD is verouderd. In de wandelgangen hoor je hier en daar dat het excuus van de privacy-garanties goed uitkwam om bij nader inzien onder de hoge investeringen in Epic uit te kunnen komen. Andere aanbieders zouden inmiddels toch met betere aanbiedingen zijn gekomen, hoor je ook zeggen. De spin doctors en sales-managers van de aanbieders van EPD’s draaien in ieder geval overuren.
[accordion]
[acc title="Foto credits"]Ted Eytan via Flickr: www.flickr.com/photos/taedc/ & Vincent van Leest (foto Lokke Moerel)[/acc]
[/accordion]
Nog twee kleine aanvulingen:
De Safe Harbour regeling gaat over omgaan met persoonsgegevens door bedrijven in de VS, zoals het doorgeven aan derde partijen, bewaartermijnen en koppelen aan andere bestanden. De Safe Harbour regeling heeft geen invloed op de bevoegdheden die voortkomen uit de Patriot Act (die het opvragen van gegevens door opsporingsdiensten regelt). Die twee zijn dus losstaande zaken, ook als een bedrijf voldoet aan de Safe Harbour, kan de Patriot Act nog een probleem zijn.
Voor 'normale' data geldt de Wet Bescherming Persoonsgegevens (WBP). Het is discutabel of de Safe Harbour voldoende is om aan de WBP te voldoen. Bedrijven die onder de Patriot Act vallen (en dat zijn er veel) voldoen zeker niet aan de WBP. Medische gegevens vallen echter onder het medisch beroepsgeheim (wat volgt uit de WGBO en Europese richtlijnen). Dat is strenger (en anders) dan de WBP. Het medische beroepsgeheim conflicteert zowieso met de Safe Harbour en de Patriot Act. In de praktijk betekent dit dat medische gegevens alleen opgeslagen mogen worden binnen de EU en bij een organisatie die geen vestiging heeft in de VS. Epic mag dus alleen als leverancier optreden als het geen controle heeft over de data van het CWZ.
Bekende casus. Epic ziet zichzelf volgens mij puur als leverancier en wil niet de rol van dienstverlener op zich nemen. Hierdoor kan Epic relatief veel zaken met standaardoplossingen afhandelen, zo ook de contractering.
Net zoals de inrichting van het pakket volledig de verantwoordelijkheid van het ziekenhuis is (natuurlijk met alle hulp van de community), zo is het ziekenhuis ook verantwoordelijk voor de privacywaarborging. Dat Epic hier geen garanties op zou geven, is dan ook geheel in lijn met hun beleid. Ik heb mezelf de vraag al vaker gesteld in hoeverre Epic een toekomst heeft in Nederland. Gezien de flexibiliteit van het pakket en het (veronderstelde) gebruikersgemak, zou het zonde zijn als de toekomst van Epic in Nederland beperkt wordt puur door de eeuwigdurende privacy-discussie.
Als we het echt zo belangrijk vinden dat onze medische gegevens 100% veilig zijn, moeten we dan misschien weer terug naar papieren dossiers?
We zouden er verstandiger aan doen om bij de selectie van een leverancier een deskundige impactanalyse te maken per oplossing. Bestuurders kunnen dan een afgewogen beslissing nemen welke privacyrisico's ze aanvaarden en welke ze niet accepteren. 100% privacy bestaat niet in de digitale wereld, maar op basis van impact en waarschijnlijkheid van optreden kunnen maatregelen genomen worden. Het treffen van die maatregelen kan worden uitgedrukt in geld of een andere waarde.
Naast het deskundige oordeel van het CBP zouden ook patiënten kunnen worden geconsulteerd met de vraag wat zij op willen geven voor privacy: wegen de voordelen van een pakket op tegen een bepaalde kans dat hun medische gegevens door vreemden worden geraadpleegd?
Ik hoop van harte dat de discussie zwart-wit discussie rondom privacy snel ruimte maakt voor verschillende grijstinten. Dan kunnen we in de zorg echt revolutionair gaan innoveren!