
Zorg & Recht Lezing: IT-contracten in de zorg: het managen en beperken van afhankelijkheid van IT-systemen en IT-leveranciers
Zorginstellingen zijn in toenemende mate afhankelijk van de goede werking van IT-systemen voor hun primaire processen.
Mark Jansen is sinds 2007 advocaat en gespecialiseerd op het gebied van IT- en privacyrecht. Mark begeleidt onder meer de contractering van grote en kleine IT-projecten, adviseert en procedeert bij mislukte automatiseringen en staat cliënten bij in allerhande kwesties rondom het privacyrecht. Hij staat zowel afnemers als leveranciers bij, doch veelal de afnemer van een IT-systeem. Mark geeft regelmatig lezingen over IT- en privacyrecht en schrijft hierover regelmatig op websites en in vakbladen. Hij is betrokken (geweest) bij spraakmakende zaken als de kraak van de OV-chipkaart en de mislukte invoering van het EPD van Alert.
Professioneel:
Privé:
Zorginstellingen zijn in toenemende mate afhankelijk van de goede werking van IT-systemen voor hun primaire processen.
Het Privacyrecht ontwikkelt zich snel. Om goed op de hoogte te blijven organiseert Mark Jansen, specialist Privacyrecht, het jaarlijkse seminar 'Actualiteiten Privacyrecht' op 13 oktober 2022.
Bestuurders van zorginstellingen kunnen met allerlei soorten crisissituaties te maken krijgen waarin zij alle zeilen moeten bijzetten om schade voor patiënten en personeel zoveel mogelijk te beperken. Als voorbeelden worden genoemd de Covid-19 pandemie, overstromingen, elektriciteitsstoringen, landelijke storingen telefonie, brand en cyberaanvallen.
Op 27 juli 2022 heeft de Afdeling Bestuursrechtspraak van de Raad van State de uitspraak inzake VoetbalTV bekrachtigd. De boete die de Autoriteit Persoonsgegevens (AP) had opgelegd is daarmee van tafel. De Afdeling staat niet expliciet stil bij de gewraakte normuitleg van de AP. Of wellicht tussen de regels door toch wel?
Privacybescherming is niet absoluut. Dat staat zelfs letterlijk zo in de privacywetgeving. De AVG bevat daarom ook allerlei uitzonderingen. Een van de uitzonderingen die enkele keren terugkomt in de AVG ziet op de verwerking van persoonsgegevens in het kader van "de instelling, uitoefening of onderbouwing van een rechtsvordering". Tot op heden was echter niet heel erg duidelijk wat die woorden nu precies betekenen. Een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State geeft meer helderheid.
In deze nieuwe Zorgpodcast gaan onze specialisten in op de rol en invloed van cybersecurity op de governance van zorgorganisaties. Vragen als 'wat is cybersecurity?', 'waarom is dit onlosmakelijk verbonden met de bestuursverantwoordelijkheid?' en 'tot welke actiepunten voor bestuurders en toezichthouders leidt dit?' komen aan bod. Voor meer informatie kan contact worden opgenomen met Charlotte Perquin-Deelen of Mark Jansen.
Ransomwareaanvallen en hacks komen steeds vaker voor. Vaak wordt na de hack de IT-omgeving opnieuw ingericht. Men moet immers ook weer door. Een snelle herinrichting kan het echter ook moeilijker maken om aan te tonen welke partij aansprakelijk is voor de vanwege de hack geleden schade. Een recente beslissing van de rechtbank Rotterdam laat zien hoe weerbarstig dit kan zijn.
Om de zoveel tijd komt de discussie terug op: moet de overheid niet veel meer gebruik maken van open source? Recent is er een nieuwe loot aan deze boom: de aangenomen motie Dekker-Abdulaziz bij de behandeling van de Wet Digitale Overheid. Twintig jaar geleden was er echter al de motie Vendrik c.s. Een korte beschouwing.
Het Gerechtshof Arnhem-Leeuwarden heeft onlangs een interessante uitspraak gewezen in een mislukt IT-project. Wat begon als een incassogeschil in eerste aanleg waarbij de afnemer moest betalen, draait in hoger beroep 180 graden om. In hoger beroep wordt duidelijk dat de leverancier (veel) te hooggespannen verwachtingen heeft gewekt en dat het project o.a. door slecht projectmanagement wel gedoemd was te mislukken. De IT-leverancier moet al het geld terugbetalen en wordt veroordeeld de geleden schade te betalen.
De AVG is bijna vier jaar van kracht. Rond de inwerkingtreding op 25 mei 2018 was er sprake van een hausse aan berichtgeving over de wetgeving. Je zou haast van ‘privacypaniek’ kunnen spreken. Veel van het stof is ondertussen wel neergedwarreld. Tijd voor een korte reflectie. In deze blog staan we daarom stil bij aandachtspunten inzake de wet, zowel voor organisaties die nog niet zo veel (of zelfs niets) hebben gedaan als voor organisaties die juist vergevorderd zijn. Waar staat uw organisatie?
Het ontwikkelen van software kost tijd en het kan soms even duren voor er resultaat zichtbaar wordt. Het vergt dan vertrouwen in de programmeur om de tussentijdse nota's te betalen. Dat het behoorlijk mis kan gaan wanneer dat vertrouwen ontbreekt blijkt uit een uitspraak van het Gerechtshof Arnhem-Leeuwarden. De leverancier zelf zegde op een gegeven moment maar de overeenkomst op omdat betaling uitbleef en deed dat volgens het Hof terecht. De klant moest de openstaande vorderingen nog wel volledig betalen.
Het Hof van Justitie van de EU heeft op 24 februari 2022 geoordeeld dat de belastingdienst 'gewoon' onder de regels van de AVG valt. Dat betekent ook dat de Belastingdienst alle beginselen uit de privacywet moet volgen. Beperkingen daarop mogen alleen bij wet zijn gesteld en een dergelijke wet moet voldoen aan strenge criteria uit de AVG. De belastingdienst mag best in bulk gegevens opvragen in het kader van de opsporingstaak, maar dat moet dan wel op proportionele wijze en binnen de kaders van de wet gebeuren. De kwestie ging hier over de Letse belastingautoriteit, maar de overwegingen en strenge regels zijn in feite voor zeer veel Nederlandse overheidsinstanties / bestuursorganen relevant.
In het privacyrecht steekt om de zoveel tijd de vraag op waarop het inzagerecht nu precies recht geeft: een overzicht van de verwerkte persoonsgegevens, of een kopie van de documenten waarin die gegevens staan? De Afdeling Bestuursrechtspraak van de Raad van State gaat uit van het eerste. De eerdere ruimere interpretatie door het Gerechtshof Den Haag maakt dit niet naders. Het inzagerecht is bovendien niet bedoeld om te controleren of het bestuursorgaan de juiste procedure heeft bewandeld. Dit alles volgt uit een kwestie over fraudeonderzoek van 2 maart 2022. De vraag is wel of het HvJEU net zo zou oordelen.
De Hoge Raad heeft op 25 februari 2022 in een AVG-kwestie geoordeeld dat bij een botsing tussen privacy en informatievrijheid een belangenafweging moet plaatsvinden, ook als de gegevens in kwestie bijzondere of strafrechtelijke gegevens betreffen. Dat de verzoeker wordt veroordeeld in de proceskosten is, nu dit in het algemeen slechts een relatief beperkt forfaitair bedrag betreft, ook niet in strijd met het recht op een doeltreffende voorziening in rechte uit de AVG.
Kan een betrokkene bij de bestuursrechter afdwingen dat een bestuursorgaan een datalekmelding doet? Nee, zo volgt uit de uitspraak van de Raad van State van 2 februari 2022. Wel kan de betrokkene bij de bestuursrechter terecht voor een schadeclaim. De schade moet dan echter wel goed worden onderbouwd, hetgeen in dit geval niet zo was.