‘In de aanbestedingen stond letterlijk niks over privacy’
- Onderwijsproject
In de zorg wordt steeds meer gebruik gemaakt van digitale toepassingen. Denk aan apps waarmee patiënten zelf hun bloedwaardes kunnen doorgeven. Maar worden in die toepassingen de persoonlijke gegevens van patiënten wel voldoende beschermd? Dat onderzocht vierdejaarsstudent HBO-Rechten Jorrit Feitsma.
‘Er zijn heel veel verschillende eHealth-toepassingen: van digitale patiëntendossiers tot zorgrobots. Maar wat ze allemaal gemeen hebben, is dat ze patiëntengegevens verwerken. Medische gegevens dus. Daarvan wil je niet dat ze in verkeerde handen terechtkomen. Daarom is het heel belangrijk dat er in eHealth-toepassingen aandacht is voor privacy. Dat vereist de Algemene verordening gegevensbescherming, beter bekend als de AVG, ook.’
‘In opdracht van het lectoraat Juridische aspecten van Ondernemerschap van de Hanzehogeschool Groningen heb ik onderzocht hoe ziekenhuizen bij eHealth-toepassingen de persoonsgegevens van patiënten beschermen. Via het aanbestedingsplatform TenderNed heb ik vijftien aanbestedingen van ziekenhuizen en andere medische centra voor eHealth-toepassingen opgezocht. Ik heb gecheckt wat ik in die aanbestedingen vond over privacy: letterlijk niks. Ja, dat verraste me wel. Ik had niet verwacht in elke aanbesteding iets te vinden, maar dat ik helemaal niets vond, was wel opmerkelijk.’
‘De AVG vereist dat in de aanbesteding en inkoop moet worden gevraagd naar “dataprotection-by-design”. Dat betekent dat al tijdens het ontwerpstadium wordt nagedacht over manieren om persoonsgegevens te beschermen. Maar uit gesprekken die ik had met inkopers bleek dat zij dachten dat ze standaardpakketten inkochten. Het designproces is dan al achter de rug. En inderdaad: dan hoef je er niet naar te vragen. Maar in de praktijk is het zo dat de standaardsoftware die ziekenhuizen inkopen, moet worden aangepast op hun specifieke organisatie. Dan is het geen standaardsoftware meer en is het dus wél verplicht om dataprotection-by-design mee te nemen in de aanbesteding.’
‘Mijn belangrijkste aanbeveling was daarom ook dat ziekenhuizen goed over de privacyregels moeten communiceren met ontwikkelaars van eHealth-toepassingen. Andersom moeten inkopers beter samenwerken met de ziekenhuismedewerkers die zich bezighouden met privacy. Ik heb iedereen die heeft meegewerkt aan mijn onderzoek, de scriptie toegestuurd. Of ze er daadwerkelijk iets mee zullen doen, weet ik niet. Maar ik denk wel dat ze zich bewuster zijn geworden van het probleem.’
Hoe tevreden ben jij met de informatie op deze pagina?