Schippers: Zorgaanbieder verantwoordelijk voor zorg bij faillissement EPD-leverancier

De zorgaanbieder is verantwoordelijk voor de continuïteit van de zorg bij het faillissement van de leverancier van het EPD. Dit antwoordt minister Schippers van VWS op Kamervragen van de PVV naar aanleiding van het faillissement van Infotechnology.
Schippers: Zorgaanbieder verantwoordelijk voor zorg bij faillissement EPD-leverancier

“Een zorgaanbieder moet ervoor zorgen dat noodzakelijke gegevens beschikbaar zijn en blijven”, schrijft Schippers. “Dit is echter de verantwoordelijkheid van de zorgaanbieder zelf. Daarom is het aan te bevelen dat de zorgaanbieder dit contractueel regelt met zijn leverancier. De gebruikersverenigingen en Nictiz zullen de zorgaanbieder attenderen op het belang van het contractueel goed regelen van dergelijke zaken, zodat dit voorkomen kan worden.”

ZSP-keurmerk

Ook vroeg de PVV of de privacy van de EPD’s van Infotechnology is gewaarborgd als het bedrijf wordt overgenomen door een bedrijf zonder ZSP-keurmerk. “Als InfoTechnology wordt overgenomen door een bedrijf zonder ZSP-keurmerk wil dat niet zeggen dat de privacy niet geregeld is”, antwoordt Schippers. “Het zal echter voor de betrokken zorgaanbieders niet mogelijk zijn om dan aan te sluiten op het Landelijk Schakelpunt, daar is immers een leverancier met een ZSP-keurmerk voor nodig.” (ICTzorg – ICTzorg / Twitter)

ICTzorg magazine

Meer weten? Word nu abonnee van ICTzorg.

Lees ook:

PVV stelt Kamervragen over EPD

Overnamekandidaten voor EPD’s van failliet Infotechnology

PvdA bezorgd over bankroet Infotechnology

Ondanks bankroet ict-bedrijf blijven EPD’s werken

Infotechnology heeft ZSP-kwalificatie behaald

5 REACTIES

  1. Ik krijg de indruk dat “de wereld nogal naief is” op dit onderdeel.
    – ZSP keur gaat alleen over de technische/organisatorische beveiliging van het netwerk. Certificaat zegt dus niets over de financiele gezondheid
    – Een veilig netwerk is slechts en klein deel van de totale data beveiliging en verantwoordelijkheid
    – De zorginstelling is altijd verantwoordelijk voor de data & beveiliging: Dat is niet uit te besteden of te verleggen

  2. Lees alle reacties
  3. Prima reactie Gert-Jan. Ik heb NICTIZ al enkele jaren geleden aangegeven, dat GBZ en ZSP onvoldoende is. Je moet stabiliteit en continuiteit van de organisatie vaststellen. Dit betekent, dat je ook heel goed naar de financien moet kijken, maar ook naar de volwassenheid van de organisatie. Ik heb zelf geconstateerd, dat Infotechn. nog lang geen volwassen serviceorganisatie was. Financieel heb ik geen onderzoek gedaan. een leverancier van producten en projecten is echt een andere organsiatie als een ASP/SaaS-leverancier.

  4. Bij eencontract met asp of saas organisatie zal ins de SLA naast de beveiliging, beschikbaarheid veel aandacht besteedt moeten worden aan de financiële stabiliteit van de organisatie inclusief de daarbij behorende monitoring middels rapportages. Ook Escrow regelingen zijn niet voldoende , maar uitwijk en overdracht bij bedrijfsbeeindiging dient verzekerd te zijn. Kortom dit is een kompleet ander spek dan gewone software dienstverlening.

  5. Zie (ontwerp) NEN7510:2010 Informatiebeveiliging in de Zorg H6.2 externe partijen, H14 bedrijfscontinuïteitsbeheer, H12.2.2 verwijzing naar GAMP5, GAMP5 appendix M2 Supplier Assessment. Kortom, waarom en hoe het moet en kan is duidelijk, nu alleen nog een opdrachtgever met een budget die zijn verantwoordelijkheid neemt.

Geef je reactie

Om te kunnen reageren moet je ingelogd zijn. Heb je nog geen account, maak dan hieronder een account aan. Lees ook de spelregels.