Organisaties die hun gehele ICT in eigen beheer hebben zijn zeldzaam en worden zeldzamer. Logisch, want ICT is complexer geworden, maar ook meer van belang. Dit maakt de inkoop van ICT enorm belangrijk. Voor de zorgorganisaties die a&m impact ondersteunt, geldt dat misschien nog wel meer. Zo zijn veiligheid en privacy in de zorg crucialer dan elders. Maar waar let je eigenlijk nog meer op? Hoe koop je als zorgorganisatie je ICT goed in? Wij vertellen je drie aandachtspunten.
Elk inkooptraject is een kans om een stap voorwaarts te zetten. Je koopt tenslotte iets waarvan je gelooft dat het je organisatie beter maakt. Bij het inkoopproces stel je daarvoor de kaders. Dit is bij ICT extra belangrijk, want vrijwel al je bedrijfsprocessen hebben hiermee te maken. Van projectmanagement tot marketing en van salarisadministratie tot de cloud. Het moet dus goed gebeuren en veilige infrastructuur opleveren. Bovendien moet het, als het even kan, tegenwoordig ook nog maatschappelijk verantwoord en duurzaam zijn. Ook vraag je als inkopende organisatie meestal niet alleen een kant-en-klaar product van een ICT-dienstverlener, maar ook constante externe monitoring van incidenten, issues en prestaties om alles draaiende te houden en problemen snel op te lossen.
Bij inkoop komt dus een hoop kijken. Onder meer op inhoudelijk, praktisch en juridisch vlak. Want je maakt tenslotte afspraken met elkaar. En hoewel je die afspraken in goed vertrouwen maakt, wil je zeker weten dat je contract goed in elkaar zit. Om die reden, maar ook omdat risico’s op het gebied van veiligheid en privacy toenemen, nodigden we advocaten Jelmer Brouwer en Leonie Ouwersloot-Koster van JPR Advocaten uit bij a&m impact. Zij delen enkele interessante inzichten en aandachtspunten voor de inkoop van ICT in de zorg.
Een belangrijk punt is dat de relatie tussen een inkopende (zorg)organisatie en een ICT-dienstverlener vaak breder is dan deze vroeger was. In de praktijk neem je meerdere producten af en loopt dat soms via verschillende contracten. Stel je voor dat je ICT-dienstverlener een app voor je organisatie ontwikkelt en daarbij gebruik maakt van een licentie van een derde. De ontwikkeling van die app en de licentie regel je in twee aparte contracten met je ICT-dienstverlener. Logisch, want er zijn meerdere partijen betrokken bij de ontwikkeling van de app. Maar wat als je wil stoppen met de ontwikkeling van de app? Wat gebeurt er dan met de licentie van die derde? Je zou verwachten dat die automatisch eindigt, maar dat hoeft niet zo te zijn. Een goede vuistregel is jezelf de “wat als?”-vraag te stellen, wanneer er sprake is van meerdere contracten en verschillende scenario’s uit te werken.
Elke expert op het gebied van dataveiligheid en privacy zal je vertellen: de grootste risico’s bij data zijn niet de hackers die zich met complexe trucs toegang verschaffen, maar menselijke fouten die te voorkomen zijn. In de praktijk is de ICT-leverancier verantwoordelijk voor vrijwel de gehele dataveiligheid. Daar halen Jelmer en Leonie wat interessante jurisprudentie over aan. Wat veel mensen niet weten is dat een ICT-leverancier ook de zwakke plekken in jouw organisatie moet identificeren en deze proactief moet verhelpen. Kortom: realiseer je dat de partij waarmee je in zee gaat in de praktijk verantwoordelijk zal zijn voor alles op het gebied van dataveiligheid. Zelfs het coachen van je eigen mensen op dat gebied.
Bij a&m weten we natuurlijk als geen ander hoe belangrijk dataveiligheid is. Zeker omdat veel van onze klanten zorgorganisaties zijn die extra gevoelige persoonsgegevens verwerken. Dat betekent in de eerste plaats dat we héél goed hebben nagedacht over veiligheid. Vaak zit hem dat niet in geavanceerde software of complexe oplossingen, maar meer in praktische zaken en slim werken. Zo werken we vanuit een duidelijk informatiebeveiligingsbeleid met duidelijke procedures over hoe we met welk type informatie omgaan. Maar ook zoiets als een gescheiden wifi-netwerk voor gasten. Volstrekt logisch en bij a&m impact de standaard.
ICT-projecten lopen nog wel eens uit qua tijd of qua kosten. Zeker wanneer sprake is van een maatwerkproduct. Ook dit is iets dat je zoveel mogelijk afdekt in afspraken die je van tevoren met elkaar maakt. Zie daarbij ook niet de algemene voorwaarden over het hoofd. Allereerst de vraag: wiens voorwaarden zijn van toepassing? Veel organisaties hebben in hun eigen algemene voorwaarden staan dat zij een inspanningsverplichting hebben ten aanzien van het leveren van hun product of dienst. Bij ontevredenheid over de voortgang of het product, sta je dan juridisch zwak. Het beste advies is om vroegtijdig in het inkooptraject een jurist aan te laten haken. Niet om het proces te juridiseren, maar wel om tijdig zwakke plekken en risico’s te identificeren.
Inkopen is en blijft complex. Zeker bij ICT. Alles perfect doen is haast niet mogelijk, maar het voorkomen van veelgemaakte fouten is dat wel degelijk. Het voorkomen van die fouten is vooral een kwestie van vooruitzien en het juiste team samenstellen. ICT inkopen doe je met een multidisciplinair team, waarbij je een jurist beter niet kan overslaan. Resteert nog het vinden van een ICT-partner die met je meedenkt in het ontwerpen van de best mogelijke oplossing. Ook voor de lange termijn en bij onvoorziene omstandigheden.