Dankzij de digitalisering wordt zorg efficiënter, effectiever én hopelijk weer betaalbaar. De hulp en inzet van het individu, maar bijvoorbeeld ook van familie en mogelijk zelfs buren of buurtgenoten zijn in de (nabije) toekomst absoluut nodig om aan de stijgende zorgvraag te blijven voldoen. Technologie biedt hiervoor veel mogelijkheden, maar ook uitdagingen. Omdat bij veel digitale toepassingen (bijzondere) persoonsgegevens worden verwerkt, is het cruciaal dat privacy-, security- en compliance-maatregelen hoog op de ontwikkelagenda staan. Anders komen er problemen bij opschaling van digitale toepassingen. Wat moet je niet vergeten, maar belangrijker nog, wat kan er allemaal?
Burgers verzamelen steeds meer data over hun eigen gezondheid – via apps, wearables en het hebben van toegang tot hun eigen dossier. Wie heeft er tegenwoordig geen wearable om stappen, hartslag of andere (vitale) functies te meten? Ziekenhuizen gaan in die trend mee. Zij testen bijvoorbeeld de diverse soorten pleisters met sensoren die op de markt zijn en die helpen bij het onder controle houden van chronische ziekten. Ook op landelijk niveau worden nieuwe toepassingen ontwikkeld en gebruikt. Denk aan HartWacht, waarmee patiënten vanuit huis metingen als bloeddruk, gewicht en hartslag naar hun cardioloog kunnen sturen. Of de Patient Journey App, waarmee zorginstellingen hun patiënten en naasten op een efficiënte wijze voorlichten over de behandeling. Vormen van e-health die steeds succesvoller in de praktijk worden toegepast – en een trend die snel doorzet. Digitale zorgplatformen Niet alleen het verzamelen, maar ook het uitwisselen van medische persoonsgegevens wordt steeds belangrijker binnen de zorg. In veel andere sectoren zien we de opkomst van digitale platformen – zoals Uber of Catawiki - waarop data kunnen worden opgeslagen en uitgewisseld. Binnen de zorg zijn soortgelijke platformen in opkomst en ook steeds meer in gebruik. In een survey van Deloitte in 2017 onder alle partijen binnen de zorg bleek dat een meerderheid van de respondenten verwacht dat deze platformen binnen drie jaar de belangrijkste verbinders van zorgvraag en -aanbod zijn. Kijk over de grenzen van wetgeving Ontwikkelaars en dataverantwoordelijken van bovengenoemde datatoepassingen onderschatten nog wel eens de complexiteit van wet- en regelgeving. Zorgtoepassingen ontwikkelen is echt iets anders dan het ontwikkelen van games voor smartphones en tablets. Vanwege de verwerking van (bijzondere) persoonsgegevens in de zorgsector zijn deze applicaties aan veel regels gebonden. Niet alleen algemene privacywetgeving is van toepassing, ook (zorg)sectorspecifieke wetgeving is relevant. Zoals de Wet op de geneeskundige behandelingsovereenkomst waarin het medisch beroepsgeheim is neergelegd, of de onlangs gewijzigde Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg, (niet alleen gericht op zorgaanbieders, maar ook op IT-leveranciers). Wie niet precies weet om welke regels het gaat en daardoor niet de juiste aspecten meeneemt in de ontwikkeling, kan te maken krijgen met kosten die veel hoger uitvallen en onnodige vertraging opleveren.Transparantie is cruciaal, doe wat je zegt en zeg wat je doet!Nieuwe, strakke regelgeving: nieuwe kansen De vraag is natuurlijk: wat mag (niet) en wat moet op dit gebied? Het antwoord daarop is redelijk eenvoudig: hanteer een ‘Compliance by design’ methodiek en bijna alles is mogelijk. Patiëntgegevens zijn kwetsbaar en vertegenwoordigen een waarde. De wetgever en toezichthouders erkennen dit en patiënten/gebruikers zijn steeds terughoudender ten aanzien van hun privacy. Nieuwe regelgeving zoals de Algemene Verordening Gegevensverwerking (AVG), de update van de NEN 7510 en de nieuwe Verordening betreffende Medische Hulpmiddelen zijn voorbeelden om rekening mee te houden tijdens het ontwikkelen van een platform of zorgoplossing. Denk daarnaast aan de securitystandaarden en best practices zoals OWASP en NIST en dan is het begrijpelijk dat veel partijen de regelgeving als een belemmering zien. Wij zijn ervan overtuigd dat nieuwe wet- en regelgeving juist de kans biedt op een sterke marktpositie en nieuwe businessmogelijkheden. Een juiste interpretatie en toepassing, gecombineerd met de inzet van nieuwe technologieën en concepten (blockchain, big data en cognitive computing) garanderen een unieke positie op de markt. Denk daarom al in een vroeg stadium goed na over strategie en bijvoorbeeld ‘beoogd doel’ van een oplossing. Pas daarop de juiste maatregelen vanuit wet- en regelgeving by design toe. Dat is een prima basis voor een adequaat platform of zorgoplossing. Doe wat je zegt en zeg wat je doet Daarnaast zijn er regels waaraan een app, wearable of systeem moet voldoen. Op het gebied van cybersecurity betekent dit dat de connectie en opslag natuurlijk goed beveiligd moeten zijn en dat er goed werkende inlogsystemen moeten worden gebruikt. Maar denk ook aan logging (bijhouden van gegevens in logbestanden, red.). Logging draagt bij aan transparantie voor informatiebeveiliging, privacy en productveiligheid. Op privacy-gebied is het belangrijk om transparant te zijn over de (voorgenomen) verwerking van persoonsgegevens. Benoem welke persoonsgegevens je verwerkt, op basis van welke grondslag, met welk doel en welke rechten de betrokkene heeft. Communiceer dit naar patiënten en zorgprofessionals. Verzamel alleen data(categorieën) die worden genoemd in de privacy-mededeling en gebruik gegevens alleen voor doeleinden die kenbaar zijn gemaakt. In het kader van productveiligheid legt de Verordening betreffende medische hulpmiddelen – standalone software kan worden gekwalificeerd als een medisch hulpmiddel – ook vereisten op waarin het principe van transparantie centraal staat. Zo gelden specifieke etiketteringsvereisten, moeten medische hulpmiddelen een CE-markering hebben en moeten fabrikanten de kwalificatie van het product als medisch hulpmiddel onderbouwen in de technische documentatie. Deze vereisten versterken de positie van (potentiële) gebruikers door bepaalde informatievoorziening verplicht te stellen. De algemene tendens is dus dat transparantie cruciaal is binnen het bedrijfsproces - doe wat je zegt en zeg wat je doet. Compliant blijven is de uitdaging Tot slot: het voldoen aan wet-en-regelgeving gaat altijd door. Iedere aanpassing aan een digitale toepassing moet worden geëvalueerd op basis van wet- en regelgeving waaraan moet worden voldaan. Leidt de aanpassing tot toepassing van (andere) wet- en regelgeving, bijvoorbeeld op het gebied van security, privacy, productveiligheid of andere (zorg)sectorspecifieke regelgeving? De inrichting van een proces voor adequate evaluatie draagt bij aan het compliant worden en – heel belangrijk - compliant blijven van de bedrijfsvoering.
