In een gezamenlijke Opinie geven de Europese privacytoezichthouders (verenigd in de zogeheten Artikel 29-werkgroep) aan hoe de nieuwe EU-regels voor elektronische privacy moeten worden toegepast op ‘online behavioural advertising’.

Met ‘behavioural advertising‘ bedoelen de toezichthouders het voortdurend volgen van individueel surfgedrag over meerdere websites en het gericht adverteren op basis van die informatie. Dit kan mensen voordeel opleveren, maar kan ook nadelige gevolgen hebben voor hun persoonlijke levenssfeer. Het volgen van surfgedrag kan derde partijen namelijk een zeer gedetailleerd beeld geven van het online gedrag van personen. De Europese privacytoezichthouders roepen advertentienetwerken en browserontwikkelaars onder meer op simpele en effectieve mechanismen te ontwikkelen zodat gebruikers ondubbelzinnige toestemming kunnen geven voor online behavioural advertising.

Lees het persbericht op de website van het College bescherming persoonsgegevens. Lees de opinie van de Artikel 29-werkgroep hier.

Rb Amsterdam 7 april 2004, H.02 2480, Masalco tegen PinkRoccade (met dank aan: Polo G. van der Putt , Vondst Advocaten). PrinkRoccade had zich verbonden System21 te installeren bij Masalco. Het project loopt uit de planning en Masalco ontbindt. De rechtbank oordeelt dat de ontbinding geen stand houdt. "Dit te meer nu feit van algemene bekendheid is dat automatiseringsprojecten kunnen uitlopen, en uitlopen ook vaak plaatsvindt." (r.o. 6.5)

En passant honoreert de rechtbank een beroep op het exoneratiebeding uit de Fenitvoorwaarden 1994 (r.o. 6.3):

"6.3
Masalco is een grote onderneming in de zin van art. 6:235 lid 1 BW. Ze betwist niet dat ze voor wat betreft de exoneratiebedingen met de Fenitvoorwaarden vergelijkbare algemene voorwaarden gebruikt. Op het gebied van automatisering beschikt Masalco zelf ook over deskundigheid, te weten over een eigen automatiseringsafdeling (Masalco Automatisering B.V.), zodat zij inhoudelijk ten opzichte van PinkRoccade eniger mate gelijkwaardig is. Uitgangspunt is daarom dat PinkRoccade beroep tegenkomt op de exoneratiebedingen [...].

6.5
Ten aanzien van de nakoming van de mantelovereenkomst geldt het volgende. Masalco stelt dat op PinkRoccade een (resultaat)verplichting rustte, inhoudende dat System21 op 3 april 2001 operationeel zou zijn, hetgeen PinkRoccade gemotiveerd betwist. De vraag is wat partijen, alle omstandigheden van het geval daarbij in aanmerking nemend, daaromtrent over en weer redelijkerwijs mochten verwachten. Daarbij is enerzijds van belang dat in het sub 1.c weergegeven verslag en het sub 1.h vermelde projectcharter is vermeld dat het systeem op 3 april 2001 operationeel diende te zijn en dat Masalco er aan hechtte het project in negen maanden tijd af te ronden. Anderzijds is van belang dat in de overeenkomst, in bijlage 11 van de mantelovereenkomst (weergegeven sub 1.f) en in de Fenitvoorwaarden is vastgelegddat op PinkRoccade een inspanningsverbintenis rust. In het sub 1.b vermelde verslag en het sub 1.e vermelde projectplan is bovendien opgenomen dat de detailplanning afhankelijk is van de beschikbare mensen en middelen en aldus de totale doorlooptijd van het project bepaalt, terwijl in geen van de tot de overeenkomst behorende stukken een ‘harde’ opleverdatum is vermeld. Alles overwegende is de rechtbank daarom van oordeel dat Masalco redelijkerwijs niet heeft kunnen aannemen dat PinkRoccade zich heeft verplicht om uiterlijk op 3 april 2001 een operationeel System21 te leveren. Dit te meer nu feit van algemene bekendheid is dat automatiseringsprojecten kunnen uitlopen, en uitlopen ook vaak plaats vindt. Bovendien was het verloop van het project in grote mate afhankelijk van de betrokkenheid van personeel van Masalco zelf. [...]"

Lees de uitspraak hier.

De juridische werkgroep van Platform Outsourcing Nederland (www.platformoutsourcing.nl) heeft een juridische checklist opgesteld voor outsourcingstrajecten. Het document beschrijft de juridische aandachtspunten binnen de sourcing life cycle. Daarnaast bevat het document een overzicht van de belangrijkste contractbepalingen en een hoofdstuk met de valkuilen.

U vindt de publicatie hier.

Rb Utrecht 18 juni 2003, HAZA 02-1767, Winwork tegen Capgemini (met dank aan Polo van der Putt, Vondst Advocaten). Op basis van art. 7:408 lid 2 BW mag een opdrachtgever een overeenkomst van opdracht altijd tussentijds opzeggen, ook als de overenkomst is aangegaan voor bepaalde duur.

Capgemini heeft een medewerker van Winwork ingehuurd voor bepaalde duur. 6 maanden voor einde contract beëindigt Capgemini het contract door middel van opzegging, met een beroep op art. 7:408 lid 2 BW. De rechter steekt daar een stokje voor. Volgens de rechter hebben partijen toepasselijkheid van art. 7:408 lid 2 BW stilzwijgend uitgesloten:

"4.4
De rechtbank overweegt als volgt.
Kern van het tussen partijen gerezen geschil is de vraag of Cap Gemini aansprakelijk kan worden gehouden voor de gevolgen van het feit dat zij de overeenkomst tussentijds heeft opgezegd. Voor de beantwoording van deze vraag heeft op grond van het bepaalde in artikel 7:408 lid 1 BW in verband met artikel 7:400 lid 2 BW als uitgangspunt te gelden dat de opdrachtgever een overeenkomst die voor bepaalde tijd is gesloten kan opzeggen, tenzij iets anders voortvloeit uit de wet, de inhoud of aard van de overeenkomst of van een andere rechtshandeling, of de gewoonte. Nu partijen van mening verschillen over de vraag wat zij omtrent de opzegging zijn overeengekomen, komt het hierbij aan op de zin die partijen over en weer redelijkerwijs aan elkaars verklaringen en gedragingen mochten toekennen en op hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten.

4.5
Ten aanzien van de aanleiding voor en de inhoud van de door de heer Van Holthuijsen te verrichten werkzaamheden is in de overwegingen van de overeenkomst aangegeven dat de rechtsvoorganger van Cap Gemini haar werkorganisatie stuurt in een ingrijpend en stimulerend vernieuwingsproces in welk kader dringend behoefte bestaat aan een betrokken en initiatiefrijk hoofd. Hieruit kan worden afgeleid dat sprake is van een complex proces waarin behoefte is aan specifieke professionele, voorshands mogelijk niet direct vervangbare ondersteuning. Verder heeft Winwork met betrekking tot de tussen partijen overeengekomen vergoeding onweersproken gesteld dat zij uitsluitend in het kader van een contract voor een vaste periode met de rechtsvoorganger van Cap Gemini een uurtarief voor de heer Van Holthijsen heeft afgesproken van € 160, - per uur, terwijl diens uurtarief normaal gesproken aanzienlijk hoger ligt. Voorts heeft de rechtsvoorganger van Cap Gemini met betrekking tot de omvang van de door de heer Van Holthijsen te verrichten werkzaamheden bij brief van
29 maart 2002 aan Winwork geschreven dat de werkzaamheden, met een optie op verlenging, “zullen”doorlopen tot en met 31 december 2002 “. Tenslotte hebben partijen de mogelijkheid van tussentijdse beëindiging van de overeenkomst, behoudens de in artikel 7 lid 2 van de overeenkomst aangegeven financiële problemen als bedoeld in 1.4, contractueel beperkt tot gevallen van wanprestatie. Genoemde feiten en omstandigheden in onderlinge samenhang bezien, leiden de rechtbank tot het oordeel dat partijen een eenzijdige opzeggingsbevoegdheid van Cap Gemini op een andere grond dan hiervoor bedoeld te hebben uitgesloten, zodat Cap Gemini niet bevoegd was de overeenkomst met Winwork tussentijds op de door haar aangevoerde grond op te zeggen en Cap Gemini aansprakelijk is voor de schade die daarvan voor Winwork het gevolg is." 

Lees de uitspraak hier. 

In een eerdere geanonimiseerde uitspraak in kort geding is eiser veroordeeld om bepaalde artikelen van Internet te verwijderen en verwijderd te houden, in zoverre dat deze artikelen op geen enkele wijze meer via welke zoekopdracht dan ook op het internet zijn terug te vinden (LJN: BM0477). De belangrijkste vraag die in het tweede kort geding aan de orde komt is of deze veroordeling zo moet worden uitgelegd dat deze tevens ziet op eventuele treffers via een zoekmachine, die verwijzen naar een pagina waarvan de inhoud inmiddels is verwijderd (Vzr RB Alkmaar 08-04-2010, LJN: BM6719).

Met dank aan Lot Nelissen, Dirkzwager advocaten.

De voorzieningenrechter overweegt hierover dat het onrechtmatig handelen zoals dat aan de orde is geweest in het eerdere kort geding besloten ligt in de inhoud van de bewuste artikelen. Eiser handelt uitsluitend in strijd met het eerdere vonnis wanneer via een treffer op internet via een zoekmachine daadwerkelijk doorgelinkt wordt naar de inhoud, de content van (een van de) bewuste artikelen. Een treffer die niet langer leidt naar de inhoud van een van de gewraakte artikelen is derhalve onvoldoende voor het verschuldigd zijn van een dwangsom.

Het debat tussen partijen spitst zich vervolgens toe op de vraag of eiser er ook rekening mee had moeten houden dat de inhoud van de gewraakte artikelen zich nog in het zogeheten cache geheugen van zoekmachines kon bevinden waardoor de inhoud van de artikelen toch nog kenbaar was. Gedaagde vindt van wel, helemaal nu een klein onderzoek op Google hem had geleerd dat de verwijdering van dit cache geheugen redelijk eenvoudig door eiser bewerkstelligd had kunnen worden.

Naar aanleiding van eigen onderzoek oordeelt de rechter dat een leek dit inderdaad makkelijk had kunnen doen. Informatie hieromtrent is volgens hem redelijk gemakkelijk te vinden en begrijpelijk geformuleerd. Uit deze informatie volgt, aldus de rechter, dat eiser twee stappen had moeten volgen om ook het cache geheugen te verwijderen. Namelijk het verwijderen van de inhoud van de informatie door de eigenaar van de website, alsmede het verzoek aan Google om de bewuste informatie uit de zoekfuncties te verwijderen.

De rechter merkt op dat eiser niet beide stappen heeft gezet en derhalve niet aan het vonnis heeft voldaan. Eiser heeft wel de verschillende beheerders van de websites en de zoekmachines verzocht om de inhoud van de betreffende artikelen te verwijderen maar zij heeft geen seperaat verzoek aan Google gedaan om ook de cache uit zoekmachines te verwijderen. Eiser had een zware inspanningsverplichting uit hoofde van het vonnis, naar aanleiding waarvan zij zich in ieder geval over deze stappen had moeten voorlichten of nadere informatie over had moeten in winnen. Dat zij dit niet heeft gedaan dient voor haar eigen rekening en risico te blijven. Daar komt nog bij dat zij ook uit een reactie van één van de beheerders had kunnen opmaken wat de procedure is voor het verwijderen van content uit zoekresultaten en cache uit zoekmachines.

De maatstaf lijkt vrij streng te zijn toegepast. Wellicht dat dit te maken heeft met het feit dat de artikelen gingen over vermeend seksueel misbruik van kinderen, welke artikelen zeer schadelijk zijn voor gedaagde.

Dit bericht is oorspronkelijk verschenen op: https://dirkzwagerieit.nl/2010/06/15/rechter-oordeelt-ook-een-leek-moet-zorgen-voor-verwijdering-cache/

Voor de kennisdatabank. Met ingang van 15 mei 2010 heeft de Europese Commissie aangepaste model contractbepalingen vastgesteld voor doorgifte van persoonsgegevens naar landen buiten de EU waar geen passend beschermingsniveau wordt geboden. Met dank aan Bieneke Braat (Certa Legal).

Nieuw aan de model bepalingen is dat het nu ook voor de gegevensimporteur mogelijk is geworden persoonsgegevens door te geven aan sub-verwerkers. De Europese Commissie zegt daarmee in te spelen op de uitbreiding van verwerkingsprocessen en nieuwe vormen van dienstverlening voor de internationale verwerking van persoonsgegevens.

Onder sub-verwerker wordt verstaan:

”een verwerker die door de gegevensimporteur of een andere voor de gegevensimporteur werkende subverwerker is gecontracteerd en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende subverwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de doorgifte, overeenkomstig de instructies van de gegevensexporteur, de voorwaarden van de bepalingen en de voorwaarden van het schriftelijke contract inzake subverwerking.”

Uitbesteding van de gegevenswerking aan sub-verwerkers kan slechts met voorafgaande schriftelijke toestemming van de gegevensimporteur en slechts op grond van een contract. De gegevensimporteur moet een lijst bijhouden van de met sub-verwerkers gesloten contracten en moet deze lijst verstrekken aan de toezichthouder in het land van de verantwoordelijke.

Betrokkenen kunnen een aantal van de bepalingen jegens de sub-verwerker (zoals informatieplicht bij lokale wetswijzigingen, inzageverzoeken van lokale autoriteiten en onbevoegde toegang door derden, het treffen van beveiligingsmaatregelen en aansprakelijkheid) afdwingen wanneer zowel de gegevensexporteur als de gegevensimporteur is opgehouden te bestaan zonder dat er een rechtsopvolger is. De aansprakelijkheid van de sub-verwerker blijft beperkt tot de werkzaamheden die deze op grond van de modelbepalingen uitvoerde.

De oude bepalingen in bestaande contracten blijven van toepassing zolang die niet wijzigen. Als dat wel het geval is of de verwerkingsactiviteiten worden uitbesteedt, dan moet daarvoor een nieuwe overeenkomst worden gesloten.

Hier vindt u de link naar de contracten.

Het Hof van Justitie van de Europese Unie heeft vandaag een arrest gewezen waarin zij heeft bepaald dat wanneer een consument bij koop op afstand van zijn herroepingsrecht gebruik maakt, de (oorspronkelijke) verzendkosten voor heenverzending niet in rekening mogen worden gebracht (HvJEG 15-04-2010, C‑511/08).

Met dank aan Mark Jansen, Dirkzwager advocaten.

Bij ontbinding koop op afstand mogen geen verzendkosten worden gerekend

Dankzij de Richtlijn koop op afstand (Richtlijn 97/7/EG) is in de hele Europese Unie geregeld dat een door een consument op afstand gesloten overeenkomst (bijvoorbeeld via internet of telefoon) in principe gedurende 7 werkdagen door die consument kosteloos herroepen kan worden. Deze richtlijn is in Nederland geimplementeerd in de Wet koop op afstand.

In de zaak waar de uitspraak van het Hof op ziet speelt in dat kader het volgende. Het Duitse postorderbedrijf Heinrich Heine had in haar algemene voorwaarden staan dat de standaard verzendkosten 4,95 euro bedragen. Ook stond vermeld dat deze kosten niet worden terugbetaald indien de consument gebruik maakt van zijn herroepingsrecht. Een Duitse consumentenorganistie kwam tegen dat laatste in actie en startte een rechtszaak. Deze zaak leidde er uiteindelijk toe dat er door de Duitse rechter vragen werden gesteld aan het Hof van Justitie.

Het Hof oordeelt dat de richtlijn verbiedt dat na het herroepen van de overeenkomst toch de kosten van de oorspronkelijk (heen)verzending van het product aan de consument worden aangerekend. In de richtlijn staat namelijk bepaald dat alleen de rechtstreekse kosten voor het terugzenden aan de consument in rekening mogen worden gebracht. Volgens het Hof zou het in rekening brengen van andere kosten de consument mogelijk ervan weerhouden gebruik te maken van zijn herroepingsrecht. Alle kosten die de consument reeds heeft betaald moeten na herroeping door de winkelier worden terugbetaald.

Opvallend is nog dat het Hof overweegt dat de verplichting voor de winkelier om het geld aan de consument terug te storten ziet op “alle bedragen die de consument heeft gestort naar aanleiding van de overeenkomst, ongeacht de oorzaak van betaling ervan“. Het lijkt er daarmee op dat ook bijvoorbeeld vooruitbetaalde onderhoudskosten na herroeping door de consument zullen moeten worden terugbetaald door de leverancier. Leveranciers en webwinkeliers doen er verstandig aan met deze ruime uitleg van het herroepingsrecht rekening te houden.

Dit bericht verscheen oorspronkelijk op https://dirkzwagerieit.nl/2010/04/15/bij-ontbinding-koop-op-afstand-mogen-geen-verzendkosten-worden-gerekend/

ICT~Office is de Nederlandse brancheorganisatie voor bedrijven in de IT-, Telecom en Officesector. ICT~Office is onder meer voorgekomen uit FENIT, de vroegere branchevereniging van IT-ondernemingen. Binnen de Nederlandse ICT-sector zijn de FENIT-voorwaarden een begrip. Gebaseerd op de COSSO-voorwaarden werden de FENIT-voorwaarden in 1994 geïntroduceerd als dé leveringsvoorwaarden van de IT-industrie. In 2003 werden de voorwaarden herzien (hierna: “FENIT-Voorwaarden 2003”). Ruim vijf jaar later vindt ICT~Office het tijd om de voorwaarden weer eens aan te passen. Op 22 januari 2009 zijn de vernieuwde voorwaarden (hierna: “de ICT~Office Voorwaarden”) geïntroduceerd. Lees hier het complete artikel. Met dank aan: Polo G. van der Putt en Hidde J. Koenraad, Vondst Advocaten

In een brief aan Minister Klink van VWS van december 2009 heeft het College Bescherming Persoonsgegevens (CBP) haar zorgen geuit over het toenemende gebruik door zorginstellingen van ASP of SaaS. Daarbij worden patiëntgegevens extern opgeslagen en kunnen deze door de zorgverlener via internet worden benaderd. Deze brief biedt een interessante kijk in de zienswijze van het CBP ten aanzien van de inzet van ASP en SaaS in de zorg en de risico’s daarvan.

Met dank aan Ernst-Jan van de Pas, Dirkzwager advocaten.

Risico’s ASP in de zorg
Zorgverleners hebben een medisch beroepsgeheim. In de brief signaleert het CBP meerdere risico’s bij de inzet van ASP in de zorg die dat beroepsgeheim kunnen ondermijnen. Zo bestaat het risico dat de ASP-dienstverlener patiëntgegevens onvoldoende beveiligt en dat de gegevens onder omstandigheden zichtbaar zijn voor andere dan de gecontracteerde zorgverlener, zoals personeel of andere klanten van de ASP-dienstverlener. Ook moet rekening worden gehouden met de mogelijkheid van verlies en verminking van gegevens. Verder wijst het CBP erop dat de zorgverlener in de uitoefening van zijn praktijk in hoge mate afhankelijk is van de diensten van de ASP-dienstverlener. Dit kan er in de praktijk zelfs toe leiden dat een zorgverlener vast komt te zitten aan zijn dienstverlener (vendor lock-in). Door deze afhankelijkheid bestaat het risico dat de zorgverlener zijn zeggenschap over de verwerking van persoonsgegevens verliest, terwijl het beroepsgeheim onverminderd op hem rust.

ASP-dienstverlener is bewerker in de zin van de WBP
Het CBP meent dat de ASP-dienstverlener kan worden gekwalificeerd als bewerker in de zin van de Wet Bescherming Persoonsgegevens (WBP), maar wijst erop dat het medisch beroepsgeheim (vastgelegd in artikel 7:477 BW) geen onderscheid maakt tussen “verantwoordelijke” en “bewerker” zoals de WBP dat wel doet. Op grond van dat beroepsgeheim mag de hulpverlener geen inlichtingen over de patiënt of inzage in of afschrift van bescheiden verstrekken aan anderen dan de patiënt, tenzij de patiënt daar toestemming voor heeft gegeven. Die toestemming is niet nodig indien de patiëntgegevens worden verstrekt aan derden die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en die verstrekking noodzakelijk is voor de door hen in het kader te verrichten werkzaamheden.

ASP-dienstverlener rechtstreeks betrokken bij uitvoering behandelingsovereenkomst?
Volgens het CBP is (als de patiënt geen toestemming heeft gegeven) bewerkerschap in de zorg alleen mogelijk indien de ingeschakelde bewerker “rechtstreeks betrokken” is bij de uitvoering van een behandelingsovereenkomst. De vraag is of een ASP-dienstverlener rechtstreeks betrokken is bij de uitvoering van een dergelijke overeenkomst. Die vraag is niet eenvoudig te beantwoorden. Wel merkt het CBP op dat ook anderen dan zorgverleners rechtstreeks betrokken kunnen zijn en dat dit niet per se personen hoeven te zijn die handelingen verrichten op het gebied van de geneeskunst. Anderzijds merkt het CBP op dat het gelet op de tekst van de wet niet evident is dat ASP-dienstverleners ook rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst.

Geen principiële bezwaren tegen ASP
Een belangrijk standpunt dat het CBP in de brief inneemt, is dat zij aangeeft dat er vanuit algemene principes van gegevensbescherming geen principiële bezwaren bestaan tegen de uitbesteding van verwerking van patiëntgegevens indien en zover het medisch beroepsgeheim daarbij wordt gerespecteerd. Dat laatste betekent concreet dat waarborgen moeten worden opgenomen voor een veilige en discrete verwerking van de ASP-dienstverlener. Het CBP verwijst in dit licht naar de toepassing van de normen NEN 7510/7511/7512, aangevuld met specifieke normen die zien op de verhouding zorgverlener – ASP, bijvoorbeeld ten aanzien van de zeggenschap van de zorgverlener over de uitbestede verwerking en de bij de ASP aanwezige persoonsgegevens.

Nadere regulering geboden
Het CBP merkt op dat aan de patiënt– voor zover bekend – geen toestemming wordt gevraagd voor het onderbrengen van zijn gegevens bij een ASP-dienstverlener. Het is de vraag of het medisch beroepsgeheim ruimte biedt voor dergelijke manier van gegevensverwerkingen. Door deze onduidelijkheid is de praktijk niet normvast, aldus het CBP. Verder concludeert het CBP dat de mate waarin aandacht wordt geschonken aan de bescherming van persoonsgegevens dusdanig uiteen loopt, dat nadere regulering is geboden. “Hierbij kan worden gedacht aan wetgeving of zelfregulering. Vanwege het medisch beroepsgeheim dienen daarbij hoge eisen te worden gesteld aan de uitbestede gegevensverwerking. Er zullen stevige waarborgen moeten worden geboden voor een veilige en discrete verwerking bij de dienstverlener. Uitbesteding mag er immers nooit toe leiden dat op ongerechtvaardigde wijze gegevens aan personen of instellingen buiten de gezondheidszorg worden gebracht.”

Conclusie
Kort gezegd komt de brief neer op het volgende. Enerzijds is duidelijk dat het CBP in beginsel geen principiële bezwaren ziet tegen toepassing van ASP en SaaS in de zorg. Wel maakt het CBP zich zorgen over het ontbreken van heldere regels op dat vlak en roept zij de minister. Het wachten is nu op een antwoord van de Minister. Tot die tijd doen zorginstellingen en ASP/SaaS aanbieders er goed aan om goede afspraken te maken over hoe met patiëntgegevens omgaan.

Dit bericht is oorspronkelijk verschenen op https://dirkzwagerieit.nl/2010/03/03/cbp-uit-zorgen-over-inzet-aspsaas-in-de-zorg/

De invoering van het landelijke Elektronisch Patiënten Dossier (EPD) in Nederland houdt de gemoederen in de zorg en de politiek al geruime tijd bezig. Er wordt hevig gediscussieerd over issues als beveiliging, privacy, patiëntenrechten en aansprakelijkheid. Dát het EPD er komt is echter wel duidelijk en de meeste ziekenhuizen en zorginstellingen zijn momenteel dan ook al bezig met de invoering van een EPD softwarepakket, vaak in combinatie met een nieuw Ziekenhuis Informatie Systeem (ZIS). Dergelijke projecten worden wel vergeleken met een hart-long-lever transplantatie, omdat alle vitale werkprocessen van het ziekenhuis erdoor geraakt worden. Terecht, want het zijn omvangrijke, langdurige, kostbare en risicovolle projecten, waarin leverancier en opdrachtgever intensief zullen moeten samenwerken. In de praktijk zien wij vaak dat het contract bij deze projecten niet de aandacht krijgt die het verdient.

Met dank aan Theo Bosboom en Ernst-Jan van de Pas, Dirkzwager advocaten

Na een lang voortraject waarin eindelijk de keuze is gemaakt voor een bepaalde leverancier, willen partijen meestal graag zo snel mogelijk aan de slag en wordt er onvoldoende tijd genomen om de afspraken goed uit te werken en vast te leggen. In veel gevallen is het contract te eenzijdig in het voordeel van de leverancier, bijvoorbeeld omdat op basis van de algemene voorwaarden van de leverancier of de ICT~Office voorwaarden wordt gecontracteerd. Ook wordt nogal eens volstaan met een standaard IT-contract, dat onvoldoende aansluit bij het ingrijpende traject dat partijen met elkaar aangaan. Het spreekt voor zich dat dit grote risico’s met zich meebrengt. Dit geldt met name voor het ziekenhuis, dat na de invoering in grote mate afhankelijk zal worden van de goede werking van het EPD en dus van de leverancier. In dit artikel zullen we aantal pijnpunten uit de praktijk benoemen en bespreken.

Hét EPD-pakket bestaat niet: weet wat u koopt!
Het opstellen van zo duidelijk en volledig mogelijke specificaties voor het EPD is een absolute must. Dit is natuurlijk een open deur, maar in de praktijk zien we nog steeds ziekenhuizen die onvoldoende nagaan wat ze eigenlijk nodig hebben en daardoor een product kopen dat (nog) niet geschikt is voor hun organisatie. Daarbij komt ook geregeld voor dat bepaalde specialisaties binnen het ziekenhuis te weinig of juist te veel betrokken zijn bij het opstellen van de specificaties, waardoor de specificaties onvolledig en/of onevenwichtig zijn. Een goed uitgebalanceerd intern projectteam is dan ook zeer belangrijk voor het verzamelen en opstellen van de relevante specificaties voor het EPD.

Onduidelijke of onvolledige specificaties leiden later onherroepelijk tot discussies over de prijs en de vraag of het EPD na oplevering wel of niet voldoet aan de gestelde eisen. Specificaties vormen immers de lat waarlangs de software tijdens de acceptatietests moet worden gelegd.

Overigens zal er bij dit soort complexe projecten bijna altijd wel sprake zijn van enig voortschrijdend inzicht, waardoor de specificaties moeten worden bijgesteld. In het contract zal dan ook een werkbare procedure moeten worden opgenomen over meerwerk. Zo zou bepaald kunnen worden dat de leverancier pas meerwerk mag verrichten als daar een door het ziekenhuis schriftelijke opdracht aan ten grondslag ligt, die is gebaseerd op een gespecificeerde kostenbegroting. Zodoende houdt het ziekenhuis grip op de meerkosten en kan de leverancier zijn extra werkzaamheden toch facturen.

Wanneer de aankoop van een EPD wel zorgvuldig wordt voorbereid aan de hand van lijsten met concrete eisen en wensen en verschillenanalyses, speelt er nog een ander belangrijk risico. In die situaties kan het bij de contracteerfase alsnog helemaal misgaan, omdat die prachtige specificaties in het contract (vaak onbewust) subtiel naar de prullenbak worden verwezen. Dit kan bijvoorbeeld door een bepaling als: “de leverancier garandeert dat de software zal voldoen aan de documentatie”, in combinatie met een andere bepaling die aangeeft dat de leverancier geen verdere garanties verstrekt ten aanzien van de werking van het EPD. Als met “documentatie” alleen de standaard gebruikshandleiding van de leverancier wordt bedoeld en er niet expliciet wordt verwezen naar de stukken uit het voortraject, loopt het ziekenhuis het risico dat zij zich juridisch niet meer kan beroepen op de in die stukken vastgelegde specificaties en beloftes. In een goed EPD-contract zal dus een duidelijke koppeling moeten worden aangebracht naar die specificaties uit het voortraject.

Houd grip op het project
Zoals gezegd is de invoering van een EPD binnen een ziekenhuis bepaald geen sinecure. Het goed managen van een dergelijk complex project is niet eenvoudig. Partijen gaan vaak een traject van jaren in, waarbij er zich ongetwijfeld tegenslagen en onvoorziene omstandigheden gaan voordoen. Het contract moet hierbij geen bron van discussies en irritaties zijn, maar geeft idealiter een duidelijke leidraad voor de organisatie van het project en het oplossen van meningsverschillen. Dit betekent dat het een uitgebalanceerd contract moet zijn, waarin evenwichtige procedures en regels zijn opgenomen en waarin de projectorganisatie duidelijk is uitgewerkt.

Het ziekenhuis zal zich terdege moeten realiseren dat de implementatie van een EPD – meer nog dan bij de implementatie van andere software – ook een forse inspanning van zijn eigen organisatie zal vergen. Er zullen voldoende specialisten moeten worden gemobiliseerd voor het opstellen van specificaties en het inrichten en testen van de software. Dit is niet altijd eenvoudig, door de drukte en hectiek van alledag en door de specifieke zeggenschapsverhoudingen binnen een ziekenhuis. Hier gaat het in de praktijk nogal eens mis, wat tot vertraging van het project kan leiden. Die vertraging kan dan gelijk fors oplopen, omdat de leverancier in de regel meerdere implementatietrajecten tegelijk heeft lopen en zijn mensen vaak al vele maanden vooruit heeft ingepland bij andere opdrachtgevers. Een verzoek om een uitstel van slechts twee weken van het ziekenhuis kan daardoor tot gevolg hebben dat er een volledig nieuwe planning zal moeten worden gemaakt en dat er gelijk een vertraging van vele maanden optreedt.

In het contract zal met dit alles rekening moeten worden gehouden. Uiteraard moeten er heldere afspraken worden gemaakt over verdeling van verantwoordelijkheden en oplevertermijnen, eventueel versterkt met boetes of incentives. Opdrachtgevers doen er verstandig aan om de betrokken specialisten en maatschappen binnen het ziekenhuis te laten tekenen voor hun commitment aan het project en voor het tijdig leveren van de afgesproken inzet. Indien er onzekerheid blijft bestaan over de vraag of deadlines intern kunnen worden gehaald, kan worden geprobeerd in het contract met de leverancier wat flexibiliteit te creëren en bijvoorbeeld te bepalen dat termijnen door de opdrachtgever mogen worden verschoven met een bepaald aantal weken, zonder dat dit gevolgen heeft voor de totale doorlooptijd van het project. Hieraan kunnen uiteraard wel extra kosten verbonden zijn, maar die zijn soms te verkiezen boven een forse uitloop van het project.

Enkele juridische aandachtspunten bij ASP en SaaS
Ook bij dit soort projecten raken ASP en SaaS-constructies steeds meer in trek. Daarbij kan het gaan om het uitbesteden van het onderhoud of beheer van het pakket aan een derde of de hosting van het pakket en de data bij een derde. Dit brengt belangrijke juridische aandachtspunten met zich mee, waarvan wij enkele hieronder aanstippen.

ASP/SaaS-constructies leiden tot een hoge afhankelijkheid van het ziekenhuis van de continuïteit en de kwaliteit van dienstverlening van de leverancier (vendor lock-in). Wat gebeurt er vervolgens als die dienstverlening hapert? Men kan in een ziekenhuis simpelweg niet werken zonder dat het EPD en/of de daarin opgeslagen data beschikbaar is. Dit betekent niet alleen dat er een goede SLA nodig is, in combinatie met speciaal op ASP/SaaS toegesneden escrow- en noodregelingen voor faillissement of andere calamiteiten, maar ook dat er goede fysieke uitwijk– en backupvoorzieningen worden ingericht zodat het EPD en de daarin opgeslagen data bij uitval en storingen beschikbaar blijft voor het ziekenhuis.

Als het EPD gehost gaat worden door een derde, moet rekening worden gehouden met de Wet geneeskundige behandelingsovereenkomst (WGBO) en de Wet bescherming persoonsgegevens (WBP). Er worden dan namelijk bijzondere persoonsgegevens (gezondheidsgegevens) verwerkt buiten het ziekenhuis en door een derde partij. Genoemde wetten stellen zware eisen aan bijvoorbeeld de beveiliging en geheimhouding van die gegevens. Die eisen zullen goed moeten worden geborgd in het hostingcontract. In sommige gevallen zal zelfs de vraag moeten worden gesteld of er toestemming nodig is van de patiënten voor de gekozen constructie.

Ook zal moeten worden nagegaan of een ASP/SaaS-constructie wel wordt toegestaan door de leverancier(s) van de EPD-software, indien dit niet de partij is die de ASP/SaaS-diensten verricht. Veel licentiemodellen verbieden dat de software buiten de instelling van de klant wordt gebruikt of beheerd. Leveranciers staan er over het algemeen niet op te springen om een derde bepaalde onderhouds- of beheerwerkzaamheden te laten verrichten aan hun software.

Verder zal goed moeten worden nagedacht over een exit regeling, waarin de gevolgen worden geregeld als het contract met de derde wordt beëindigd en het ziekenhuis wil overstappen naar een ander systeem. Denk bijvoorbeeld aan afspraken over de migratie en conversie van data naar dat nieuwe systeem of aan een afspraak dat het ziekenhuis het oude systeem nog zolang mag gebruiken – tegen de eerder afgesproken tarieven – totdat het nieuwe systeem helemaal klaar is.

Dit artikel van Theo Bosboom en Ernst-Jan van de Pas is ook gepubliceerd in de Automatiseringgids 1/2010.

Dit bericht is oorspronkelijk verschenen op https://dirkzwagerieit.nl/2010/03/01/epd-contract-vaak-onvoldoende-uitgewerkt/