Online marketing

ICT inkopen, een vak apart [3 tips voor zorgorganisaties]

0

Binnen elke organisatie is de inkoop van ICT van enorm belang. Vrijwel alle processen in een organisatie hebben met ICT te maken. Van projectmanagement tot marketing en van salarisadministratie tot cloud. Het moet dus goed gebeuren en veilige infrastructuur opleveren. Ik deel in dit artikel 3 tips met je.

Nederlanders worden zich steeds bewuster van privacy en de toenemende mate waarin we allemaal als data in de systemen van tal van organisaties terechtkomen. Veranderingen als de AVG en de cookiewet hebben veel consumenten wat dat betreft de ogen geopend. Helaas groeit misbruik van data zo mogelijk nog harder dan het bewustzijn erover. Dat heeft met name voor organisaties die bijzondere persoonsgegevens verwerken – zoals in zorg en onderwijs – verschillende consequenties. Maar óók voor hun ICT-dienstverleners.

Inkopen van ICT moet dus goed gebeuren. Bovendien moet het, als het even kan, tegenwoordig ook nog maatschappelijk verantwoord en circulair zijn. Daarnaast vraag je als inkopende organisatie meestal niet alleen een kant-en-klaar-product van een ICT-dienstverlener, maar ook ondersteuning om alles draaiende te houden en problemen snel op te lossen.

Zorgorganisaties – en misschien wel álle organisaties – willen omgevingen, zoals social intranetten of apps, die zowel veilig als toegankelijk zijn. Juist in de zorg zijn die aspecten extra belangrijk. En wel omdat je relatief vaker te maken hebt met mensen met een functiebeperking én omdat zorginstellingen bijzondere persoonsgegevens verwerken. Zoals gegevens over iemands medische verleden of toestand.

Beeldscherm

De risico’s nemen toe

Tegelijkertijd zien we dat ICT-inkoop een vak apart is. Zeker als het resultaat van die inkoop een maatwerkproduct is. Daar kunnen organisaties – en zeker niet alleen zorgorganisaties – wel wat hulp bij gebruiken. Juist nu ICT-infrastructuur steeds belangrijker wordt voor het kernproces van diverse organisaties en de risico’s op het gebied van veiligheid en privacy toenemen.

Onlangs sprak ik met advocaten Jelmer Brouwer en Leonie Ouwersloot-Koster van JPR Advocaten. Zij namen mij mee in de actualiteit van ICT-inkoop en enkele interessante casussen daarin. Onder meer over de zorgplicht van ICT-dienstverleners, het formuleren van algemene voorwaarden en de inkoop van ICT.

Dat leverde mij een aantal interessante inzichten op, die ik graag met je deel.

1. Werk scenario’s uit bij de inkoop van ICT

Een belangrijk punt is dat de relatie tussen een inkopende (zorg)organisatie en een ICT-dienstverlener vaak breder is dan deze vroeger was. In veel gevallen is er niet langer sprake van slechts één contract met een dienstverlener, maar meerdere. Bijvoorbeeld een SLA (Service Level Agreement), dat de algemene prestatieafspraken beschrijft tussen de ICT-dienstverlener en de inkopende organisatie.

Denk aan zaken als de tijd die het oplossen van problemen mag kosten, maar ook afspraken over het waarborgen van de dataveiligheid. Naast dit SLA kunnen er aparte afspraken zijn over software die de ICT-dienstverlener ontwikkelt voor de inkopende organisatie.

Maatwerksoftware

Dit soort maatwerksoftware – en de afspraken die daarover worden vastgelegd – creëren een zogeheten lotsverbondenheid. Stel je voor dat je ICT-dienstverlener een app voor je organisatie ontwikkelt en daarbij een licentie van een derde gebruikt. De ontwikkeling van die app en de licentie regel je in twee aparte contracten met je ICT-dienstverlener. Logisch, want de contracten zijn met verschillende partijen aangegaan.

Maar wat als je wil stoppen met de ontwikkeling van de app? Wat gebeurt er dan met de licentie van die derde? Je zou verwachten dat die automatisch eindigt, maar dat hoeft niet zo te zijn. Dat zijn situaties die vaak niet goed benoemd zijn in contracten en in het uiterste geval zelfs tot juridische conflicten leiden.

Het advies dat Jelmer en Leonie hebben voor zowel inkopende organisaties als ICT-dienstverleners is om het bij de totstandkoming van overeenkomsten te hebben over scenario’s: ‘wat als?’. Werk scenario’s uit op basis van verschillende mogelijke ontwikkelingen in de relatie tussen dienstverlener en inkoper.

2. Je ICT-dienstverlener is in hoge mate verantwoordelijk voor je dataveiligheid

Hierboven stipte ik privacy en dataveiligheid al even aan. Als daarin zaken misgaan, heeft dat vaak juridische gevolgen. Gelukkig voor inkopende organisaties legt de rechter hier in de praktijk heel veel verantwoordelijkheid bij ICT-dienstverleners. Ook als die verantwoordelijkheid niet expliciet gemaakt wordt in contracten.

Dat wil natuurlijk niet zeggen dat je het erop aan moeten laten komen. Juist als het om de veiligheid van je data gaat, is voorkomen beter dan genezen. Dat vindt de rechter feitelijk ook en hij of zij interpreteert de zogeheten zorgplicht van ICT-dienstverleners in dat opzicht zeer breed.

Camera's

Als er sprake is van een relatie opdrachtgever-opdrachtnemer, geldt altijd een zorgplicht. Dat zegt op zichzelf niet zoveel en ook de wet is niet heel duidelijk over de inhoud van die zorgplicht. Dat leidt er ten onrechte toe dat sommige organisaties ervan uitgaan dat de juridische consequenties van die zorgplicht ook beperkt zijn. De jurisprudentie rondom die zorgplicht – ook specifiek waar het ICT-dienstverlening en privacy betreft – is best omvangrijk. Daardoor weten we best veel over wat de zorgplicht van een ICT-dienstverlener in de praktijk inhoudt.

Zorgplicht ICT-dienstverlener

Tot de zorgplicht van een ICT-dienstverlener behoort proactief:

  • Bewaken van de voortgang van een project
  • Treffen van maatregelen bij mogelijk verlies van data
  • Informeren over bijkomende kosten
  • Informeren over het ontbreken van functionaliteiten als bekend is dat die voor de klant belangrijk zijn
  • Bijwerken van onveilige software
  • Informeren over zwakke beveiliging, ook als die door toedoen van de klant ontstaan

Ook de definitie van ‘proactief’ is uitgewerkt in de jurisprudentie. Indien keuzes van de inkopende organisatie zelf veiligheidsrisico’s voortbrengen of in stand houden, dient de ICT-dienstverlener indringend en herhaaldelijk te wijzen op de concrete consequentie daarvan en in het uiterste geval de overeenkomst op te zeggen.

Een confronterende conclusie. De wet gaat er dus nadrukkelijk van uit dat alleen de ICT-dienstverlener de volledige risico’s op het gebied van veiligheid en privacy kan overzien en hier voor beide organisaties proactief op dient te handelen.

Wat je daar als inkopende organisatie mee kunt? Niet op je lauweren rusten, natuurlijk. Uiteraard moet je wel degelijk zelf initiatief nemen om je data veilig te verwerken. Maar weet dat je hierbij actieve steun van je ICT-dienstverlener mag verwachten.

Schrijfmachine

3. Let op algemene voorwaarden

ICT-projecten zijn complex en lopen nogal eens vertraging en kostenoverschrijding op. De ontwikkeling van apps, websites en bedrijfssoftware gaat vaak gepaard met verschillen in het verwachtingspatroon tussen de betrokken partijen. In extreme gevallen leidt dat tot juridische conflicten waarin de formulering van de algemene voorwaarden, die van toepassing zijn op de overeenkomst, doorslaggevend is. Dat maakt het met name voor ICT-dienstverleners belangrijk om kritisch naar hun eigen algemene voorwaarden te kijken.

Tegelijkertijd is het voor de inkopende (zorg)organisatie relevant om hier niet zomaar akkoord mee te gaan en deze eveneens goed te bestuderen. Het is helemaal niet ongebruikelijk om vragen te stellen bij de algemene voorwaarden van een beoogde ICT-dienstverlener. Je kunt er zelfs voor kiezen om eigen voorwaarden van toepassing te verklaren.

Veel organisaties nemen bijvoorbeeld in hun eigen voorwaarden op dat ze slechts een inspanningsverplichting hebben tot een goede prestatie. Onder die voorwaarde is het bijna niet mogelijk om een dienstverlener verantwoordelijk te houden voor een onbevredigende prestatie. Dat blijkt ook uit de jurisprudentie daarover.

Als inkopende organisatie moet je jezelf altijd twee vragen stellen

  1. Ga ik er (zonder meer) mee akkoord dat de algemene voorwaarden van de ICT-dienstverlener van toepassing zijn op de overeenkomst die ik met hen aanga?
  2. Zo ja, staan er bezwaarlijke dingen in die voorwaarden? Is de dienstverlener verplicht bepaalde (meetbare) prestaties te leveren of dient hij zich daar slechts maximaal voor in te spannen?

Het is goed advies om al vroeg in het proces een jurist aan te haken. Die brengt namelijk een perspectief mee dat, zeker bij grote en belangrijke contracten, al vroeg in het proces waardevol is. Dit gaat dan om de voorwaarden die op een overeenkomst van toepassing zijn, maar ook om lotsverbondenheid tussen contracten.

Voorkomen in plaats van genezen

De inkoop van ICT is en blijft een vak apart. Dat geldt zeker niet alleen voor zorgorganisaties en hun bijzondere persoonsgegevens, maar voor elke organisatie die ICT inkoopt. Nu privacy en dataveiligheid steeds belangrijker worden – ook voor je klanten – geldt dat meer dan ooit. Met elk nieuw digitaal product dat je aanbiedt, van klantportaal tot contactformulier, verwerk je persoonsgegevens.

De beste manier om daar geen onnodige risico’s bij te lopen is preventie. Kies een goede ICT-dienstverlener, maak goede afspraken en aarzel niet om daarbij vroegtijdig een jurist aan te haken.