Bij Saas (Software as a Service) gaat het om het op afstand ter beschikking stellen van bepaalde functionaliteit. In de laatste nieuwsbrief van het Cbp vraagt het Cbp zich af of de privacy bij het gebruik van SaaS in de zorg voldoende gewaarborgd is.
Artikel 7:457 BW gaat over het beroepsgeheim van de arts. Hierin is bepaald dat de arts geen inlichtingen mag geven over een patiënt aan een ander. Hier zijn een aantal uitzonderingen op namelijk: degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst, als de patiënt daar toestemming voor heeft gegeven of als iemand belast is met het feitelijke beheer van het patiëntdossier. Het Cbp wil deze onduidelijkheid oplossen door nieuwe regels op te leggen aan de zorgsector.
SaaS kan het op afstand ter beschikking stellen van patiëntengegevens inhouden. Hierbij kan het voorkomen dat de SaaS-leverancier in de gegevens kijkt van de patiënt. Het is maar de vraag in hoeverre dit valt onder het belast zijn met het feitelijke beheer van het patiëntdossier. Bij SaaS gaat het niet uitsluitend om de beveiliging van persoonsgegevens, maar ook over het te allen tijden ter beschikking stellen van de persoonsgegevens aan de arts en het beroepsgeheim van de arts.
Het Cbp is van mening dat de onduidelijkheid rondom het beroepsgeheim en het gebruik van SaaS opgelost moet worden door nieuwe regelgeving of zelfregulering. De veilige en discrete verwerking van de persoonsgegevens door de SaaS-leverancier kan door middel van waarborgen in het contract worden opgelost. Anders dan het Cbp ben ik van mening dat nog verdere juridisering van de zorg niet de oplossing is. Daarnaast moeten artsen niet onnodig bang gemaakt worden voor het gebruik van ICT-diensten als SaaS. Deze diensten kunnen leiden tot het efficiënter werken van de huisarts en tot kostenbesparingen. De beveiliging van de gegevens en het te alle tijden kunnen inzien van de gegevens evenals de geheimhouding kan door middel van een aantal artikelen in de overeenkomst worden opgelost, waaronder de garantie dat de SaaS-leverancier NEN 7510/7511 of 7512 gecertificeerd blijft.
Mocht u meer willen weten over het goed waarborgen van privacy in de zorg met betrekking tot SaaS neem dan contact op met Carolien Jobse.