Er is veel beweging in de digitale wereld
Veel van ons handelen verplaatst van loket en post naar de smartphone en apps. Zo ook in de zorg. Het is door digitale groei mogelijk om internationaal gegevens uit te wisselen. Zo ook in de zorg. We begeven ons massaal in een digitale transitie. Maar verandering is lastig en roept altijd weerstand op. Soms is die weerstand gebaseerd op angst voor het onbekende en soms is die weerstand terecht. In de zorg spelen beide een rol.
Aan de ene kant is er soms felle kritiek op het uitwisselen van zorggegevens, wat onder de AVG ‘bijzondere persoonsgegevens’ zijn en ‘in het beginsel niet verwerkt mogen worden’. Aan de andere kant hebben we te maken met een (redelijk grote) groep mensen die niet gemakkelijk mee kan met de digitale transitie omdat die groep niet digitaal vaardig is.
Toch is, zo blijkt uit onderzoek van CBS ↗, de helft van de Nederlanders vóór gegevensuitwisseling in de zorg (heeft toestemming gegeven). Zij willen graag dat hun gegevens direct beschikbaar zijn bij de juiste zorgverlener op het moment dat dit nodig is. Zij vertrouwen daarbij op de professionaliteit en het beroepsgeheim van de zorgverlener met daaronder de leveranciers die er uiteraard voor moeten zorgen dat de zorgverlener aan wettelijke verplichtingen kan voldoen.
Volgens hetzelfde onderzoek is de ‘angst voor misbruik van de gegevens door zorgverleners of externe partijen, de belangrijkste redenen zijn om te weigeren’. Ook komt naar boven dat van de niet-deelnemers (geen toestemming gegeven) 58% in principe geen bezwaren heeft om wel mee te doen.
Angsten, uitdagingen en samenwerkingen
Er ligt dus een uitdaging om de angst voor het digitaal lekken van zorggegevens (inbreuk in verband met persoonsgegevens) weg te nemen en om mensen die niet digitaal vaardig zijn op een goede manier deel te laten nemen in de digitale transitie. Dit zijn uitdagingen die alleen door meerdere organisaties in een samenwerkend verband opgepakt kunnen worden om zo tot een goed resultaat te komen.
Gelukkig is er veel beweging op dit vlak.
Internationaal
Er wordt samengewerkt op Europees niveau in het EHDS-project (European Health Data Space ↗) met een EHDS-community waar elk individu of organisatie aan kan deelnemen, mits er serieus meegepraat, meegedacht en meediscussieert wordt.
Nationaal
Daarnaast wordt er samengewerkt op nationaal niveau. Zo hebben leveranciers in de zorg zich verenigd in NedXis ↗ om een gezamenlijke strategie te ontwikkelen. NedXis heeft goede contacten met koepels van zorgaanbieders en beroepsverenigingen, apotheekketens, de Vereniging van Zorgaanbieders Voor Zorgcommunicatie (VZVZ), Nictiz, Zorgverzekeraars en VWS. Er wordt gewerkt aan een gezamenlijke ontwikkelagenda met de zorgaanbieders, genaamd HIPMA (Huisarts ICT portfolio Management Agenda).
HealthConnected
Bij HealthConnected wordt intensief samengewerkt met klanten om goede en veilige producten en diensten te maken die aan alle wet- en regelgeving voldoen en die makkelijk te bedienen zijn voor de zorgverlener en voor de patiënt. Voor de groep mensen die minder digitaal vaardig is heeft de overheid een hulppagina ↗ gemaakt. Hier wordt dus ook op geïnvesteerd.
Blijf tijd investeren en invloed uitoefenen
Het is soms niet zichtbaar, maar alle bovengenoemde organisaties zijn van elkaar op de hoogte en communiceren met elkaar om de digitale transitie in de zorg een juiste invulling te geven. Als CISO van een leverancier in de zorg is het dus mogelijk om op nationaal én internationaal niveau mee te praten, mee te denken en dus invloed uit te oefenen. Hierdoor kan de CISO zichzelf ervan vergewissen dat er goed nagedacht wordt over de oplossingen voor gegevensuitwisseling in de zorg.
Vervolgens kan de CISO dat weer meenemen naar de organisatie waar die voor werkt. Als CISO kun je op deze manier ook aangeven wanneer een voorgestelde oplossing niet voldoet aan wet- en regelgeving en hier wordt dan ook naar geluisterd. Hoeveel succes de CISO hiermee kan behalen zit hem in moeite doen om mee te doen; achter het bureau vandaan komen, de verbinding zoeken met anderen om uitdagingen samen op te pakken.
Normen in constante ontwikkeling
In een voorgaand artikel gaf ik aan dat de CISO deel kan nemen aan de ontwikkeling van NEN-normen. HealthConnected neemt op deze manier deel aan de ontwikkeling van de normen voor Informatiebeveiliging (7510), Logging (7513), Toestemming (7517) en Identificatie (7518). In de nabije toekomst zullen we ook deelnemen aan de ontwikkeling van de norm voor Autorisatie. HealthConnected is lid van NedXis, is aanwezig op de VZVZ-netwerkdagen en neemt deel aan de NEN-Egiz (Elektronische Gegevensuitwisseling In de Zorg) bijeenkomsten. Zo blijft HealthConnected optimaal op de hoogte van de digitale transitie in de zorg en wat dat betekent voor de producten en diensten die HealthConnected levert.
Vanuit Europees perspectief
Maar op Europees niveau is er meer aan de hand dan alleen zorg. Europa is druk bezig met wetgeving rondom de digitale transitie als geheel. Sommige wet- en regelgeving is wat ouder, sommigen net vers van de pers en sommige nog in status ‘concept’.
De belangrijkste op een rij:
- de Data Governance Act,
- de Cybersecurity Act,
- de AI Act,
- de Digital Markets Act,
- de Digital Services Act,
- de Electronic IDentification Authentication and trust Services regulation,
- de NIS 2 directive,
- de Cyberresilience Act (concept),
- de regulation on Privacy and Electronic Communications (concept),
en specifiek voor de zorg:
- de Medical Device Regulation ,
- de Crisis preparedness and management for medicinal products and medical devices regulation.
Al deze wet- en regelgeving (en wellicht nog meer in de toekomst) heeft invloed op de ontwikkeling van de digitale transitie in de zorg.
Slaan we niet een beetje door?
Er wordt soms gezegd dat Europa een beetje doorslaat, maar is dat wel zo? Er wordt veel kritiek geuit op ‘het niet onder controle hebben’ van de gegevensuitwisselingen in de zorg (en andere domeinen). Dan is het juist belangrijk om gedegen wet- en regelgeving te hebben zodat een kader geschapen wordt waarin het mogelijk is om op een veilige manier gegevens uit te kunnen wisselen en te voldoen aan de General Data Protection Regulation (GDPR – AVG in Nederland).
Het is dus noodzakelijk voor de CISO om op de hoogte te zijn van deze Europese wet- en regelgeving, wat de samenhang ervan is, wat de implementatie daarvan is of wordt in Nederland en wat de impact is op de eigen organisatie. HealthConnected houdt ook deze beweging goed in de gaten om ervoor te zorgen dat haar producten en diensten de digitale transitie goed doorkomen en blijven voldoen aan wet- en regelgeving. HealthConnected is hierdoor op dit moment bezig om de ISO 13485 norm (Medische hulpmiddelen – Kwaliteitsmanagementsystemen – Eisen voor reguleringsdoeleinden) te implementeren om daarna te kunnen voldoen aan de regels uit de Medial Device Regulation mochten deze van toepassing zijn of worden in de toekomst.
Gezond verstand
Zowel op Europees als op landelijk niveau wordt dus de mogelijkheid geboden om deel te nemen aan de totstandkoming en implementatie van wet- en regelgeving die ervoor moet zorgen dat producten en diensten veilig beschikbaar zijn, en dat gegevens op een integere en vertrouwelijke manier kunnen worden verwerkt. Het kan Europa en de Nederlandse overheid niet meer verweten worden dat zij niet open staan voor communicatie met betrokkenen. Hoe meer specialisten en vakmensen zich inzetten hoe beter en veiliger de uiteindelijk oplossing wordt. Daar is iedereen bij gebaat.
Blijf bewust en kritisch
De CISO is een specialist waarvan betrokkenheid verwacht mag worden mits ondersteund door de organisatie waar de CISO werkzaam is. Die ondersteuning is van essentieel belang. Bij HealthConnected wordt dit belang onderstreept. Kritisch geluid moet er zijn en blijven. En een CISO zal dat ook in overweging moeten nemen. Daarbij is het belangrijk om onderscheid te maken tussen individuen die alleen maar wat roepen op blogs (vaak negatief en zonder onderbouwing) en organisaties die privacy en informatiebeveiliging tot hun morele en ethische norm hebben gesteld. De organisatie NOYB ↗ van Max Schrems is zo’n organisatie.
Blijf objectief en constructief
Het is belangrijk voor de CISO om te proberen objectief te blijven en constructief bij te dragen aan het geheel; gebruik gezond verstand. Lees de bronteksten van wet- en regelgeving (niet alleen de samenvattingen) en verzamel een netwerk van professionals om je heen om mee te kunnen sparren (juristen zijn erg handig). Zorg ervoor dat informatie die je verleent aan de eigen organisatie goed onderbouwd is.
Blijf menselijk kijken en samenwerken
Kwaliteit is en blijft mensenwerk. Dit geldt voor de instanties die wet- en regelgeving ontwikkelen, voor de organisaties die ze moeten doorvoeren en voor de instanties die erop moeten handhaven. Hoe goed het uiteindelijke resultaat is hangt af van een goede samenwerking tussen al deze mensen.
Tijd dus voor de CISO (en de FG) om actief mee te doen.