Een duidelijke meerderheid is het eens met de stelling dat het onredelijk is om zorgbestuurders aansprakelijk te stellen voor de falende beveiliging van leveranciers. Van de in totaal 45 respondenten geven maar liefst 35 personen (bijna 78 procent) aan het ‘eens’ te zijn met deze stelling. Zij vinden persoonlijke of bestuurlijke aansprakelijkheid in deze context irreëel en disproportioneel. Daartegenover staan 10 respondenten (ruim 22 procent) die het ‘oneens’ zijn, en vasthouden aan het principe dat een bestuurder, ondanks de uitbesteding van de techniek, altijd de absolute eindverantwoordelijkheid draagt.

Technische bagage

Voorstanders van de stelling benadrukken dat zorgbestuurders simpelweg niet de technische bagage of capaciteit hebben om grote, gespecialiseerde softwareleveranciers volledig te doorlichten. Een anesthesioloog uit een ziekenhuis schrijft: “Als zorgbestuurder heb je als het meezit enig verstand van zorg, maar niet per se heel veel van ict. Daar huur je de expertise voor in van een bedrijf (…) voor overigens belachelijk veel geld.” Veel respondenten wijzen erop dat organisaties blind moeten kunnen varen op officiële garanties. “Het is (zeker voor een kleinere zorgorganisatie) onmogelijk om dat allemaal zelf te auditen”, stelt een bestuurder in de gehandicaptenzorg. “Ik zal dus moeten kunnen vertrouwen op de certificering etc.”

Een ander veelgehoord argument is de marktmacht van leveranciers, gecombineerd met de onmogelijkheid om echt invloed uit te oefenen op hun interne beleid. Een chirurg wijst op de beperkte opties: “Er zijn wel heel weinig smaken in epd-land en de beschikbare firma’s vragen absurde bedragen voor hun diensten door deze monopolie-positie. Dit maakt normale keuzevrijheid wel erg moeilijk.” Zelfs na een zorgvuldig inkooptraject blijkt sturing in de praktijk lastig. “Bij het sluiten van een contract zijn er allerlei checks goed mogelijk”, merkt een Chief Information Security Officer (CISO) op. “Daarna is de grip in feite verdwenen en kan deze slechts met vragenlijstjes gecontroleerd worden. Een taak voor de toezichthouder!”

Hellend vlak

De groep die oneens is met de stelling, benadrukt een strikte opvatting van bestuurlijk leiderschap. De eindverantwoordelijkheid is ondeelbaar, óók als taken worden uitbesteed. “Bestuurders kiezen hun epd-leverancier en dienen het voldoen aan ict-beveiligingseisen in contracten op te nemen, te monitoren en mitigeren”, reageert een directeur. “Bestuurders zijn ten alle tijde eindverantwoordelijk voor alle (patiënten)gegevensverwerkingen. Dat is nooit op een leverancier af te schuiven.” Een manager in het ziekenhuis sluit zich hierbij aan. De manager noemt het simpelweg een kerntaak: “Dit hoort bij het werk van een bestuurder: het is onderdeel van een goede organisatie. Die moet je fysiek en digitaal goed beveiligen.”

Een projectleider ict stelt dat de aansprakelijkheid juist een cruciale functie vervult: “Aansprakelijkheid voor iedere schakel in de keten van dataverwerking zorgt ervoor dat verantwoordelijkheid niet kan worden afgeschoven.” Een ziekenhuis-applicatiebeheerder benadrukt dat bestuurders wel degelijk machtsmiddelen hebben. En dat ze de markt kunnen sturen: “Het is de keuze van de organisatie om de leverancier te sturen, ook op beveiliging. Het ultieme drukmiddel is dan de keuze voor een andere leverancier.”

Ook wordt opgemerkt dat er een domino-effect kan ontstaan waardoor niemand meer echt verantwoordelijk is. “Er is geen alternatief. Bestuurders moeten toezien op de veiligheid die leveranciers kunnen bieden,” waarschuwt een toezichthouder in de ouderenzorg. “Omgekeerd zou kunnen leiden tot oneindig afschuiven steeds verder in de keten.” Een andere bestuurder maakt een vergelijking met de medische praktijk: “De bestuurder is ook aansprakelijk als de leverancier niet steriel materiaal aanreikt.”