Veel huisartsen met Medicom ICT-systeem voldoen na 3 jaar nog niet aan AVG

VeelHuisartsen die werken met Medicom als HuisartsInfomatieSysteem(HIS) blijken in redelijk grote aantallen niet of niet volledig te voldoen aan de Algemene Verordening Gegevensbescherming. Dat liet PharmaPartners, leverancier van Medicom, afgelopen week per mail aan haar gebruikers weten.Het is een probleem dat rechtstreeks te maken heeft met  de manier waarop dit HIS werkt. Huisartsen die daarmee werken hebben regionaal een gemeenschappelijke patiëntendatabase met meerdere apotheken. Die vorm is toegestaan volgens de AVG mits er maar voldoende en afdoende juridische afspraken en reglementen voor onderling gebruik gemaakt zijn. Het probleem zit erin dat de maker van Medicom( het huisartsen-deel) en Pharmacom(het apotheekdeel) dat niet voor de gebruikers kan oplossen. De gebruikers moeten dat zelf doen. En daar zit de crux. PharmaPartners had al in maart 2018 voordat de AVG in mei 2018 in ging, laten weten dat de huisartsen zelf actie moesten gaan ondernemen.

Medicom

In tegenstelling tot de andere HIS-sen levert PharmaPartners een systeem waarin huisartsen en apothekers een gemeenschappelijke database hebben. Aanvankelijk waren het kleine groepjes huisartsen die met één apotheek een gemeenschappelijke database hadden. Door toename van de schaalgrootte en het loslaten van de verplichting voor de patiënt om medicatie alleen bij de eigen apotheek af te halen, zette men het concept om naar regionale groepen huisartsen die met meerdere apotheken in een clusterverband zitten. Daarbij werkt men dan met virtuele servers, die PinkRoccade host in haar datacenter. Door het delen van de database, waarbij de apotheken overigens niet alle huisartsdata kunnen inzien moeten gebruikers dus extra inspanningen doen om het geheel AVG-compliant te maken. PharmaPartners nam hiervoor reeds in 2018 het advocaten-/juristenbureau Eldermans en Geerts in arm. Deze maakten een ondersteuningspakket dat nu het Cluster-Compliancy-pakket heet.

Onderzoek van PharmaPartners

Binnen een cluster delen de apothekers en huisarts niet alle bij beide groepen vastgelegde data. Wel gaat het om de zogenaamde stam-gegevens(uitgebreide persoonsgegevens van de patiënten), de medicatie, de interacties/contra-indicaties en allergieën. Daarnaast gaat het om de uitwisselings-functionaliteiten in het kader van waarneming en die toezien op de toestemming van de patiënt op het delen van data.

Dat gemeenschappelijke database-gebruik maakt het AVG-compliant maken extra ingewikkeld. Uit een onderzoek dat PharmaPartners in de zomer van 2020 deed onder haar gebruikers bleek dat deze wel stappen gezet hadden. Deze zijn absoluut onvoldoende om de clusters volledig AVG-compliant te maken. Dat is op te maken uit de mail die de gebruikers vorige week kregen. In deze mail staat ook een link naar een video van de functionaris gegevensbescherming van PharmaPartners. Die legt uit waarom het uitvoeren van het Cluster-Compliancy-pakket noodzakelijk is en om welke uitvoeringsmaatregelen het gaat.

Uitgebreidheid van te ondernemen acties

Het aantal zaken dat men moet regelen is nogal aanzienlijk. Het gaat in de eerste plaats om het maken van een oprichtingsakte van de cluster-stichting . Daarnaast moet er een deelnemers-overeenkomst komen tussen de stichting en de deelnemers en tevens een samenwerkings-overeenkomst van de cluster-stichting met PharmaPartners . Los daarvan zitten in het Cluster-Compliancy-pakket zes bijlagen die toezien op 1) een deelnemersoverzicht, 2) een document over vergoedingen, 3) een cluster-reglement.  Dan is er ook 4) een reglement toe-/uittreding, 5) een reglement geschillenregeling en 6) het vastleggen van gezamenlijke verantwoordelijkheden. Dat is bij elkaar een zeer aanzienlijke administratieve belasting die bovenop de al zware administratieve last van de huisarts komt.

Vreemde spagaat  

De leverancier van Medicom zit door het eigen bedrijfsmodel(clusters van huisartsen met apotheken in één database) in een lastige spagaat. Enerzijds is ze door haar bedrijfsmodel verantwoordelijk voor de zeer forse extra administratieve last die op de huisartsen (en apotheken) rust om aan de AVG te voldoen. Anderzijds is zij echter formeel niet verantwoordelijk voor het al dan niet uitvoeren van de genoemd administratieve taken die het AVG-proof maken voor de zorgverlener betekent.

Uit de acties van PharmaPartners blijkt wel dat men zich verantwoordelijk voelt voor haar klanten. Dat zal zeker ook te maken hebben met de mogelijkheid dat de Autoriteit Persoonsgegevens de mogelijkheid heeft om (forse) boetes op te leggen bij het niet voldoen aan AVG-regels. Mogelijk is dat verantwoordelijk voelen ook ingegeven door de gedachte dat als de klanten weinig ondersteuning krijgen, deze met de voeten kunnen gaan stemmen. Anders gezegd, overstappen naar een ander HIS.

W.J. Jongejan, 14 september 2021

Afbeelding van anncapictures via Pixabay