Smarthealth
  • nieuws
  • explore
    • all
    • artificial intelligence
    • beleid
    • blogs
    • cybersecurity
    • data
    • diagnostiek
    • digital therapeutics
    • femtech
    • financiering
    • fitness & wellness
    • mental health
    • onderzoek
    • preventie
    • privacy
    • reviews
    • smart homes
    • smart hospitals
    • startups
    • technologie
    • telehealth
    • venture capital
    • wearables
  • specials
    • slaap
    • voeding
  • events
    • The State of Digital Therapeutics 2022
  • blogs
  • partners
    • BeterDichtbij
    • Curavista
    • EEBIC
    • E-Health Venture
    • Helan
    • In4care
    • Wunderman Thompson Health
  • meer
    • nieuwsbrief
    • over ons
    • jobs
    • contact
  • Français
  • Zoek
  • Menu Menu
beleid, data

Epic fail met EPD in Nijmegen?

Jan Jacobs23 oktober 2014

Een groot ziekenhuis blaast de invoering van zijn elektronisch patiëntensysteem af omdat het van de leverancier onvoldoende garanties krijgt om te kunnen voldoen aan wet- en regelgeving rond de privacy van patiënten. Die invalshoek had het Canisius-Wilhemina Ziekenhuis (CWZ) volgens woordvoerster Patricia Van Hooff vorige week niet willen benadrukken als voornaamste reden voor het stoppen van de onderhandelingen met de Amerikaanse leverancier Epic. “We kwamen er op meerdere punten niet uit, maar die privacy is er nu uitgelicht in de berichtgeving.”

De invoering van een nieuw elektronisch patiëntensysteem in een ziekenhuis met ruim 4000 personeelsleden en meer dan 30.000 opnamen per jaar is een immense operatie met een lange voorbereidingstijd en een budget dat in de tientallen miljoenen euro’s loopt. Wanneer in zo’n lopend traject een streep wordt gezet door de gesprekken met de voorkeursleverancier is er echt iets aan de hand.

"Geen garantie om in de toekomst te kunnen voldoen aan Nederlandse wet- en regelgeving"

Er zijn veel redenen denkbaar voor de breuk. Wellicht werd de implementatie veel duurder dan begroot, en kon de leverancier geen garanties geven dat de kosten binnen de perken blijven. Een ander scenario: een ziekenhuis heeft opeens minder te besteden dan aanvankelijk was gepland. We weten het niet, maar we weten wel dat Epic volgens CWZ de garantie om in de toekomst te kunnen voldoen aan Nederlandse wet- en regelgeving contractueel niet kon bieden. Dat was volgens Van Hooff één van de redenen om de onderhandelingen te stoppen.

Epic: sterk in thuismarkt VS

Epic, de gewraakte leverancier, is de op één na grootste aanbieder van ziekenhuis software in de Verenigde Staten, met prestigieuze klanten als Kaiser Permanente en Johns Hopkins. Epic werd onlangs door Apple als samenwerkingspartner gekozen bij de introductie van het gezondheidsplatform HealthKit. Een nieuwe generatie gezondheidsapps kan door die samenwerking potentieel communiceren met de elektronische medische ziekenhuisdossiers van tientallen miljoenen Amerikaanse burgers - en met hun artsen.

Epic is kortom een Amerikaans succesverhaal. Zonder extern kapitaal of beursnotering en zonder noemenswaardige marketing groeide de onderneming in de afgelopen jaren naar een omzet van anderhalf miljard dollar. Het systeem is kostbaar, maar het werkt aantoonbaar, zeggen de voorstanders. Critici zeggen dat het systeem niet makkelijk koppelt met andere systemen

Het systeem is kostbaar, maar werkt aantoonbaar

en gebruiksvriendelijkheid mist. Maar Epic haalt steevast hoge waarderingen in de overzichten van marktanalisten als Gartner, en heeft een bewezen track record bij toonaangevende ziekenhuizen. En de samenwerking met Apple biedt een veelbelovende opstap naar communicatie met allerlei op consumenten gerichte apparatuur en apps, zoals bloeddrukmeters, activity trackers en sensoren.

Apple's nieuwe HealthKit platform kan communiceren met Epic

Apple's nieuwe HealthKit platform kan communiceren met Epic

In Nederland heeft Epic pas sinds kort echt voet aan de grond. De Nederlandse leverancier Chipsoft is hier de marktleider. Maar Epic scoorde vorig jaar jaar big time toen de twee Amsterdamse academische centra, het VUmc en het AMC, voor Epic kozen, met Chipsoft als de grote verliezer van de aanbesteding. Het Nijmeegse Radboudumc (waarmee het Canisius-Wilhemina Ziekenhuis overigens samenwerkt) had de weg al voorbereid, en was het eerste UMC dat voor Epic koos. Een contract met CWZ zou een verdere bevestiging van de positie van Epic betekenen, maar dat zit er dus niet meer in.

Medische dossiers bij Amerikaanse bedrijven

Wat de vermeende privacy-bezwaren rond Epic een extra dimensie geeft is het feit dat het een Amerikaans bedrijf is, dat daardoor te maken heeft met de Patriot Act. Die geeft Amerikaanse inlichtingendiensten veel uitgebreider toegang tot (medische) gegevens in systemen van Amerikaanse bedrijven dan Europese landen wenselijk vinden.

De Patriot Act leidt tot veel uitgebreidere toegang dan Europese landen wenselijk vinden

Europa en de VS proberen al sinds 2002 door middel van het zogeheten Safe Harbour overleg vast te leggen dat Amerikaanse bedrijven die in Europa actief zijn garanties geven dat zij in ieder geval voldoen aan de privacy-wetten van de Europese lidstaten. Door de Safe Harbour uitgangspunten te onderschrijven kunnen Amerikaanse ondernemingen tegemoet komen aan Europese privacy-wensen. Dit overleg tussen Amerika en Europa staat hoog op de agenda in Brussel, en de onthullingen van Edward Snowden zorgden voor nieuwe urgentie.

Nederlandse waakhond: Safe Harbour niet voldoende

Het Nederlandse College Bescherming Persoonsgegevens nam in 2012 het standpunt in dat het voldoen aan de Safe Harbour uitgangspunten door Amerikaanse bedrijven niet voldoende garanties biedt dat de Nederlandse wetgeving wordt nageleefd. Daarvoor zijn volgens het CBP aanvullende garanties nodig in de contracten die Europese ondernemingen, in dit geval ziekenhuizen, sluiten met Amerikaanse aanbieders van software of clouddiensten.

Dat is ook de mening van prof. Lokke Moerel. Zij is als partner bij advocatenkantoor De Brauw Blackstone Westbroek verantwoordelijk voor de ICT portefeuille voor de internationale praktijk, en ze is tevens hoogleraar Global ICT Law aan het Tilburg Institute for Law, Technology and Society (TILT), onderdeel van Tilburg University.

Prof. Lokke Moerel (Foto Vincent van Leest)

Prof. Lokke Moerel (foto: Vincent van Leest)

"Om aan de huidige en toekomstige Europese wetgeving voor privacy te kunnen voldoen volstaat het niet dat Amerikaanse bedrijven hun data opslaan op servers die in Europa staan. De Amerikaanse moeder heeft namelijk nog steeds toegang tot de data op deze servers. Vereist is dat het ziekenhuis met de Amerikaanse moeder - ook als die bij Safe Harbour is aangesloten - een zogenaamd Model Contract sluit en verder aanvullende cloud-specifieke beveiligingsvoorwaarden overeenkomt."

"Het werkelijk gevecht wordt in Brussel gestreden"

"Het is echter complexe technische en juridische materie, en het is voor een ziekenhuis lastig om dit te overzien en af te dwingen. Overigens wordt het werkelijk gevecht in Brussel gestreden. Individuele ziekenhuizen kunnen beveiligingsmaatregelen overeenkomen, maar de essentie is natuurlijk dat de Patriot Act de Amerikaanse overheidsinstanties te veel bevoegdheden tot aftappen geeft. Het is aan Brussel om druk uit te oefenen op de Amerikaanse overheid om deze bevoegdheden in te perken."

Probleem breder dan zorg

De Patriot Act is een probleem dat overigens niet alleen in de zorg speelt, stelde ook Minister Schippers vast in het debat over nieuwe wetgeving rond de opslag van patiëntgegevens. Sommige kamerleden vinden namelijk dat medische gegevens van Nederlandse burgers vanwege de Patriot Act helemaal niet in systemen van Amerikaanse leveranciers mogen worden opgeslagen.

In de zorgsector zijn diverse Amerikaanse leveranciers actief

Schippers zei namens het kabinet dat ze het zeer onwenselijk vindt dat een andere mogendheid gegevens kan opvragen. "Dat geldt voor bankgegevens, voor telecomgegevens, voor het gebruik van mobiele apparatuur en ook voor gegevens in de zorg. Bij de uitwisseling van al deze gegevens kunnen Amerikaanse bedrijven betrokken zijn. Dit speelt dus niet alleen in de zorg of ten aanzien van gegevens in de zorg, maar het is iets wat breed in de samenleving aandacht behoeft.”

Schippers:

Schippers: zeer onwenselijk dat gegevens kunnen worden opgevraagd

In de zorgsector zijn volgens Schippers diverse Amerikaanse leveranciers actief. "Dat zijn onder andere CSC, Epic, McKesson en Microsoft. Maar ook Philips en Siemens hebben vestigingen in de Verenigde Staten en vallen dus onder de Patriot Act. Vandaag kan een Nederlands bedrijf overgenomen worden door een Amerikaans bedrijf en andersom. Het is dus niet statisch. Ik kan niet specifiek voor de zorg een verbod instellen. Dat is ook niet wenselijk omdat de informatie-uitwisseling belangrijk is voor de zorg. De Patriot Act vraagt een gezamenlijke Europese aanpak. Het kabinet zet daar ook op in."

Uitsluiten Amerikaanse ondernemingen niet realistisch

Schippers gaf ook aan dat Nederlandse organisaties, zoals VZVZ die het landelijke schakelpunt (LSP) voor de uitwisseling van medische gegevens tussen huisartsen exploiteert, in hun contracten met Amerikaanse bedrijven de naleving van de Nederlandse privacy-wetgeving moeten borgen, en dat volgens haar ook gedaan hebben. Impliciet erkende ze tevens de economische realiteit dat het buitensluiten van Amerikaanse technologiebedrijven in Europa niet haalbaar is in een globale economie.

Patricia Van Hooff van het Canisius-Wilhemina Ziekenhuis wil niet ingaan op de vraag welke specifieke privacy-garanties

Volgens Canisius-Wilhemina Ziekenhuis bood het conceptcontract onvoldoende garanties

niet konden worden geboden door Epic, en of die te maken hadden met de Patriot Act en de Europese wet- en regelgeving. Ze zegt niet dat het softwaresysteem op zich de privacy niet kan waarborgen, maar dat het conceptcontract onvoldoende garanties bood om in de toekomst te voldoen aan Nederlandse wet- en regelgeving.

Ze wil ook niets kwijt op de vraag of andere ziekenhuizen die met Epic werken de privacy-aspecten wel goed hebben geregeld. “Ik weet niet hoe die contracten eruit zien.” Epic wil niet ingaan op individuele contractonderhandelingen. Maar het lijkt niet waarschijnlijk dat de juridisch adviseurs van de grote academische ziekenhuizen die Epic gebruiken hier over één nacht ijs zijn gegaan.

Safe Harbour Framework

Google over Safe Harbour Framework

Te complex voor individueel ziekenhuis?

Het wordt voor een individueel ziekenhuis steeds ingewikkelder om door de complexe internationale privacy wetgeving te laveren. Maar bestuurders hebben de verantwoordelijkheid voor de ICT die ze implementeren, en hebben te voldoen aan alle relevante wetten. Het soms gehoorde verweer dat een (te) groot gedeelte van het ziekenhuisbudget opgaat aan

"Bestuurders van ziekenhuizen hebben de verantwoordelijkheid voor de ICT die ze implementeren"

het optuigen van waterdichte contracten en passende beveiligingsmaatregelen vindt Lokke Moerel niet relevant. “Zorgaanbieders hebben vanouds de neiging om te denken dat hun instelling uniek is. Ze doen allemaal hun eigen dingetje. Voor een doelmatige en betaalbare aanpak van dit soort vraagstukken kun je niet anders dan samen optrekken. Het is voor een individuele organisatie domweg te arbeidsintensief en te duur om alles zelf uit te vinden.”

Het CWZ gaat in ieder geval op zoek naar een ander systeem. Het huidige EPD is verouderd. In de wandelgangen hoor je hier en daar dat het excuus van de privacy-garanties goed uitkwam om bij nader inzien onder de hoge investeringen in Epic uit te kunnen komen. Andere aanbieders zouden inmiddels toch met betere aanbiedingen zijn gekomen, hoor je ook zeggen. De spin doctors en sales-managers van de aanbieders van EPD’s draaien in ieder geval overuren.

[accordion]
[acc title="Foto credits"]Ted Eytan via Flickr: www.flickr.com/photos/taedc/ & Vincent van Leest (foto Lokke Moerel)[/acc]
[/accordion]

Tweet
Share
Share5
Tweet
Share
Share5
2 antwoorden
  1. Winfried Tilanus zegt:
    23 oktober 2014 op 15:20

    Nog twee kleine aanvulingen:

    De Safe Harbour regeling gaat over omgaan met persoonsgegevens door bedrijven in de VS, zoals het doorgeven aan derde partijen, bewaartermijnen en koppelen aan andere bestanden. De Safe Harbour regeling heeft geen invloed op de bevoegdheden die voortkomen uit de Patriot Act (die het opvragen van gegevens door opsporingsdiensten regelt). Die twee zijn dus losstaande zaken, ook als een bedrijf voldoet aan de Safe Harbour, kan de Patriot Act nog een probleem zijn.

    Voor 'normale' data geldt de Wet Bescherming Persoonsgegevens (WBP). Het is discutabel of de Safe Harbour voldoende is om aan de WBP te voldoen. Bedrijven die onder de Patriot Act vallen (en dat zijn er veel) voldoen zeker niet aan de WBP. Medische gegevens vallen echter onder het medisch beroepsgeheim (wat volgt uit de WGBO en Europese richtlijnen). Dat is strenger (en anders) dan de WBP. Het medische beroepsgeheim conflicteert zowieso met de Safe Harbour en de Patriot Act. In de praktijk betekent dit dat medische gegevens alleen opgeslagen mogen worden binnen de EU en bij een organisatie die geen vestiging heeft in de VS. Epic mag dus alleen als leverancier optreden als het geen controle heeft over de data van het CWZ.

    Beantwoorden
  2. Leon Chevalking zegt:
    23 oktober 2014 op 18:59

    Bekende casus. Epic ziet zichzelf volgens mij puur als leverancier en wil niet de rol van dienstverlener op zich nemen. Hierdoor kan Epic relatief veel zaken met standaardoplossingen afhandelen, zo ook de contractering.

    Net zoals de inrichting van het pakket volledig de verantwoordelijkheid van het ziekenhuis is (natuurlijk met alle hulp van de community), zo is het ziekenhuis ook verantwoordelijk voor de privacywaarborging. Dat Epic hier geen garanties op zou geven, is dan ook geheel in lijn met hun beleid. Ik heb mezelf de vraag al vaker gesteld in hoeverre Epic een toekomst heeft in Nederland. Gezien de flexibiliteit van het pakket en het (veronderstelde) gebruikersgemak, zou het zonde zijn als de toekomst van Epic in Nederland beperkt wordt puur door de eeuwigdurende privacy-discussie.

    Als we het echt zo belangrijk vinden dat onze medische gegevens 100% veilig zijn, moeten we dan misschien weer terug naar papieren dossiers?
    We zouden er verstandiger aan doen om bij de selectie van een leverancier een deskundige impactanalyse te maken per oplossing. Bestuurders kunnen dan een afgewogen beslissing nemen welke privacyrisico's ze aanvaarden en welke ze niet accepteren. 100% privacy bestaat niet in de digitale wereld, maar op basis van impact en waarschijnlijkheid van optreden kunnen maatregelen genomen worden. Het treffen van die maatregelen kan worden uitgedrukt in geld of een andere waarde.

    Naast het deskundige oordeel van het CBP zouden ook patiënten kunnen worden geconsulteerd met de vraag wat zij op willen geven voor privacy: wegen de voordelen van een pakket op tegen een bepaalde kans dat hun medische gegevens door vreemden worden geraadpleegd?

    Ik hoop van harte dat de discussie zwart-wit discussie rondom privacy snel ruimte maakt voor verschillende grijstinten. Dan kunnen we in de zorg echt revolutionair gaan innoveren!

    Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een antwoord Reactie annuleren

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

wellicht ook interessant

beleid    trending   

eHealth week krijgt vervolg: 20 t/m 26 januari 2018

27 juli 2017
apps-sites    persoonlijke-data    technologie-smarthealth    trending   

HIMSS 2018: new health tech

4 juni 2018
Sven Gatz visit EHV
beleid    nieuws    venture-capital   

Minister Sven Gatz (Brussel & Financiën) bezoekt E-Health Valley

20 februari 2022
Tweet
Share
Share5
  • nieuws
  • academy
  • events
  • partners
  • over ons
  • jobs
  • contact
  • privacy policy

Volg ons:

  • LinkedIn

  • Twitter

  • Facebook

  • YouTube

Nieuwsbrief:

aanmelden

© SmartHealth 2022, All rights reserved.
Blog: notificatie Fiets wordt lab
Scroll naar bovenzijde

GDPR Consent

Deze website gebruikt cookies om het gedrag van gebruikers in kaart te brengen, te analyseren, de gebruikerservaring te verbeteren en om ervoor te zorgen dat relevante informatie en advertenties kunnen worden getoond. Klik op 'voorkeuren aanpassen' om uw toestemmingen voor deze website te bekijken en in te stellen.

Privacy verklaring | Sluiten
Voorkeuren aanpassen