Een blog door Mareike Gehrmann en dr. Carolin Monsees, Fachanwältinnen voor ICT-recht en Salary Partners bij Wirtschaftskanzlei Taylor Wessing.
In een eerdere blogbijdrage op AHA24x7.com hebben we ons gebogen over de kwestie hoe in ziekenhuizen cloudgebaseerde digitaliseringsplannen conform de wet gegevensbescherming in Duitsland en Nederland geïmplementeerd kunnen worden. De conclusie m.b.t. de situatie in Duitsland luidde: er ontbreekt hiervoor een uniform juridisch kader, gezien naast de richtlijnen van de Datenschutz-Grundverordnung (DSGVO, de Duitse AVG) en de Bundesdatenschutz-wet (BDSG) ook de richtlijnen van de deelstaten voor ziekenhuizen in aanmerking moeten worden genomen. Terwijl er bijvoorbeeld in de deelstaat Berlijn geen desbetreffende specifieke richtlijnen bestaan, moet men in Saksen voor het indienstnemen van een externe cloud-dienstverlener om toestemming vragen bij de bevoegde instantie. En in Beieren mocht tot nu toe alleen een ander ziekenhuis als cloud-dienstverlener worden ingezet.
De wetgever in Beieren entameert deze problematiek. Met de wet op de openbare gezondheidszorg (GDG), die op 1 juni 2022 in werking is getreden, wil het Beierse deelstaatparlement onder meer ziekenhuizen in staat stellen patiëntengegevens extern te laten beheren (Beiers Staats Parlement, drukwerk 18/22430). Ziekenhuizen in handen van de overheid worden bovendien extra ontlast. Deze kunnen gebruikmaken van de op de website van de ICT-gelastigde van de Duitse bondsregering gepubliceerde modelovereenkomsten voor het aantrekken van cloud-prestaties (EVB-IT Cloud). Dit vereenvoudigt niet alleen contractonderhandelingen, maar leidt ongetwijfeld ook tot een uniforme standaard. De door de Bundesverband Informationswirtschaft, Telekommunikation und neuen Medien e.V. (Bitkom) vertegenwoordigde ICT-Branche heeft namelijk al aangekondigd om voortaan de modelovereenkomsten bij openbare aanbestedingen te aanvaarden (zie link).
Actuele rechtspositie voor ziekenhuizen in Beieren
Volgens de vroegere rechtspositie mochten patiëntengegevens in Beieren, die niet voor de administratieve afhandeling van de behandeling van patiënten noodzakelijk zijn, uitsluitend op het gebied van het betreffende ziekenhuis of door andere ziekenhuizen worden verwerkt. Bij de introductie van de cloudgebaseerde digitaliseringsplannen vormde dit voor ziekenhuisbeheerders een grote uitdaging, omdat dit de indienstname van externe dienstverleners uitsloot. Ziekenhuizen moesten tot nu toe een eigen ICT-infrastructuur met servers op het ziekenhuisareaal onderhouden.
Stapsgewijs richting digitalisering
Deze regeling, die de werkwijze van ziekenhuizen in hoge mate beperkte, werd per 1 juni 2022 geschorst. De Beierse regering maakte hierbij in haar wetsontwerp met nadruk duidelijk dat ziekenhuizen in Beieren in staat moeten worden gesteld om patiëntengegevens te laten verwerken en beheren door externe ICT-dienstverleners, die geen ziekenhuizen zijn (Beiers Staats Parlement, drukwerk 18/19685, pagina 3, 53). In de nieuwe versie van de wet wordt nu uitdrukkelijk verwezen naar de vereisten van de Duitse Algemene verordening gegevensbescherming inzake verwerking in opdracht (art. 28) en beveiliging van de verwerking (art. 32). Verder wordt benadrukt dat met name in ziekenhuizen discretie, integriteit en de beschikbaarheid van patiëntengegevens bijzondere aandacht verdienen. In zoverre wordt overeenkomstig de wens van de wetgever (Beiers Staats Parlement, drukwerk 18/19685, pagina 53) de opheffing van de bestaande beperking idealiter gecompenseerd door een unanieme, zelfverplichtende regelgeving, die overeenkomstig de Datenschutz-Grundverordnung de technische en organisatorische voorzieningen preciseert en naar een uniform hoog beschermingsniveau tilt. De wetgever in Beieren stelt voor dat zo’n regelgeving geconstitueerd wordt door de belangenvertegenwoordiging van de ziekenhuizen in Beieren en hun belangrijkste bonden, die dan ook, indien nodig, door de bevoegde gegevensbeschermingsinstanties worden ondersteund. Wanneer zo’n regelgeving daadwerkelijk ontstaat is af te wachten.
Wat betreft de praktijk zou deze herziening tot gevolg hebben dat ziekenhuizen in Beieren voortaan gebruik kunnen maken van externe ICT-dienstverleners, dus van buiten het ziekenhuisterrein, vanzelfsprekend onder naleving van de richtlijnen van de Datenschutz-Grundverordnung en door afspraken omtrent verdere veiligheidsmaatregelen. Dit laatste leidt dan helaas weer tot nieuwe onveiligheden, zo lang hiervoor geen regelgeving bestaat.
Nieuwe modelovereenkomsten inzake cloud-prestaties voor de overheid
Tegelijkertijd werden op 1 juni 2022 nieuwe modelovereenkomsten voor de overheid gepubliceerd m.b.t. de indienstname van cloud-prestaties, de zo genaamde EVB-IT Cloud overeenkomsten. Deze zijn het gevolg van een intensieve afstemmingsprocedure tussen overheid en ICT-branche, vertegenwoordigd door de Bitkom. Voor de eerste keer kunnen de overheid en hierdoor ook ziekenhuizen teruggrijpen op gestandaardiseerde inkoopvoorwaarden voor cloud-prestaties, die de strenge vereisten van de overheid m.b.t. kwaliteit, gegevens- en ICT-veiligheid alsmede controlebevoegdheden bij de indienstname van cloud-prestaties in aanmerking nemen.
De EVB-IT Cloud-overeenkomsten bevatten een modelcontract, Algemene Voorwaarden, een vaktechnische catalogus van criteria en een annex over de gedeeltelijke opname van de Algemene Voorwaarden van de dienstverlener. Daarenboven geven zij invulling aan de contractueel overeengekomen minimum standaarden van het Bundesamt für Sicherheit in der Informationstechnik en de basisvereisten van de Cloud Computing Compliance Criteria Catalogue. Een gebruiksaanwijzing helpt bij de uitvoering.
Conclusie
Die recentste ontwikkelingen op het gebied van het Duitse recht hebben ontlastingen tot gevolg en kunnen daarom als een juiste stap richting digitalisering worden beschouwd. Desalniettemin ondervinden de verantwoordelijke ziekenhuisinstanties in meer dan één Duitse deelstaat door de uiteenlopende regelgeving in iedere deelstaat en de hierdoor bepaalde onduidelijke rechtspositie nog steeds moeilijkheden bij het gebruik van cloud-prestaties.