Afhankelijkheidsrisico bij uitbesteding - Vendor lock-in in de zorg

De mededingingsautoriteit heeft het Ministerie van Volksgezondheid, Welzijn en Sport (VWS) aangeraden om openheid van zorginformatiesystemen te verplichten[1]. De Autoriteit Consument en Markt waarschuwt voor economisch machtsmisbruik en vendor lock-in in de zorg ict-markt. Dit treedt op bij gesloten ict-systemen. Kenmerken van een gesloten systeem zijn dat er geen interactie met software van derde partijen ondersteund wordt en dat de mogelijkheden voor communicatie met systemen van andere instellingen beperkt zijn. Daarbij treedt een afhankelijkheidsrisico op. Dit risico krijgt de laatste tijd steeds meer aandacht. We zien dit ook in de geopolitiek en andere aspecten. De vraag of en in hoeverre een organisatie of zelfs een land afhankelijk kan zijn staat terecht op de agenda.

Een compleet systeem dat bij één enkele aanbieder vandaan komt heeft voordelen; alle onderhoud en ondersteuning komt via een ‘single point of contact’ tot stand, werknemers werken altijd met hetzelfde vertrouwde systeem, veiligheidsrisico’s zijn over het algemeen gemakkelijker te beheersen en idealiter ga je een langdurig strategisch partnerschap aan waarbij de communicatielijnen kort blijven en service op maat gerealiseerd wordt. Voor leveranciers is een dergelijk partnerschap aantrekkelijk voor hoge klantretentie, aangezien het kostelijk en bewerkelijk is om van systeem te wisselen als het eenmaal is geïmplementeerd. Het grote risico van gesloten systemen die allen bij de zelfde aanbieder vandaan komen voor zorginstellingen is daarmee dat ze ervan afhankelijk worden, waarbij de aanbieder in een economische machtspositie terecht komt. Wanneer dit gebeurt is er sprake van vendor lock-in. Hoe sterker de afhankelijkheid aan een bepaald systeem hoe meer tijd en geld het ook zal kosten om met een andere provider in zee te gaan. In de ergste gevallen zal een provider ook gebruik maken van hun machtspositie door hun tarieven geleidelijk te verhogen.

Samenwerking en passende zorg

In het huidige zorglandschap wordt samenwerking tussen verschillende instellingen steeds essentiëler. Als een instelling overvraagd wordt of als er bepaalde behandelingen elders beter beschikbaar zijn moeten patiënten kunnen worden doorverwezen naar een ander ziekenhuis of naar een ander soort instelling. Passende zorg is momenteel de sleutelterm voor de ambitie van het Nederlandse zorgstelsel die moet worden bereikt met schaarste aan (financiële) middelen en personeel. Een gesloten systeem maakt het ook moeilijker om innovatieve technologie zoals AI te kunnen implementeren wanneer een provider het niet ondersteund. Vendor lock-in van ict-services beperkt flexibiliteit van zorginstellingen die juist nu hard nodig is, maar de voordelen van een nauwe samenwerking met een leverancier kunnen hier tegenop wegen.  

Een cross-sectorale blik op uitbestedingsrisico

Vendor lock-in is een van de belangrijkste risico’s die gepaard gaan met uitbesteding van diensten. Het staat bovenaan de risicoanalyse uitbesteden[2] van De Nederlandsche Bank, toezichthouder in de financiële sector, met beide een zeer hoge kans en een zeer hoge impact. Andere risico’s van uitbesteden zoals het concentratierisico, wanneer een aanbieder te veel verschillende verantwoordelijkheden bij een organisatie heeft, of het risico op uitval wanneer een dienstverlener activiteiten staakt, zijn direct verbonden aan het vendor lock-in risico. Wanneer een uitbestedingsovereenkomst wordt vormgegeven is het daarmee niet alleen in de zorg cruciaal om stil te staan bij de invloedsfeer van de taken die worden uitbesteed. Welke functies of activiteiten zijn van kritiek belang voor de organisatie? Voor deze taken is een noodoplossing of exit-strategie bij geval van uitval onmisbaar. Dergelijke zaken worden bij voorkeur al aan de voorkant onderzocht waardoor in het contract de nodige maatregelen getroffen kunnen worden. Daarbij kan met een aanbieder worden afgesproken dat er een zekere standaard aan brede ondersteuning en transparantie in hun systeem wordt aangehouden. Ook kan in de contracten bijvoorbeeld al worden vastgelegd dat de prijzen marktconform blijven.

Sluipend risico

Vendor lock-in kan toch een sluipend risico zijn dat moeilijk te beheersen is onder de hoge druk waar zorginstellingen nu mee te maken hebben. Er moet actief gemonitord worden op de prestaties van de ict-provider waarbij naar concurrerende partijen wordt gekeken om ervoor te kunnen zorgen dat de prijs en de kwaliteit van ict-diensten op peil blijft. Daarnaast zijn er manieren om enige mate van mobiliteit en flexibiliteit te garanderen, bijvoorbeeld door ervoor te zorgen dat gegevens zijn opgeslagen op een manier zodat deze gemakkelijk in andere systemen kunnen worden ingebracht. Dergelijke maatregelen dienen opgenomen te worden als onderdeel van de exit-strategie samen met een exit clausule in het contract. Deze en andere mogelijke maatregelen vereisen kostbare tijd en expertise van de reeds krappe balans van zorginstellingen.

Een overzicht van de belangrijkste uitbestedingsrisico’s met belang voor de zorg aan de hand van cross sectorale lering kan er als volgt uit.

• Risico op tekort aan kennis en expertise voor het managen van uitbestedingsovereenkomsten

  • De kennis en middelen voor het beoordelen en managen van uitbestedingspartijen is niet aanwezig in de organisatie. Dit heeft invloed op de monitoring en evaluatie van een dienstverlener met als gevolgd dat de organisatie grip verliest op de prestaties en dat de risico’s die daarmee gepaard gaan niet gesignaleerd kunnen worden.

• Concentratierisico

  • Wanneer één dienstverlener verschillende functies en activiteiten voor zijn rekening neemt kan de impact van een uitval exponentieel toenemen.

• Risico dat dienstverlener activiteiten staakt

  • Het risico dat wanneer een dienstverlener de activiteiten staakt verschillende systemen of diensten direct niet meer beschikbaar zijn. Om dit risico te beperken, met name voor kritieke functies, dienen noodoplossingen en exit-strategieën te worden vormgegeven in het contract.

• Compliance risico

  • Wettelijk blijft de verantwoordelijk voor de naleving van wet- en regelgeving bij de organisatie zelf, ook wanneer deze de verantwoordelijkheid aan een uitbestedingspartij heeft overgedragen.

• Risico op onvoldoende performance en resultaten

  • Een dienstverlener houdt zich niet geheel aan de afspraken die zijn overeengekomen in het contract. In een zogeheten service level agreement (SLA) worden afspraken gemaakt over kwantitatieve resultaten, maar zijn daarnaast ook kwalitatieve afspraken over de dienstverlening te vinden. Deze overeenkomst is van groot belang om ervoor te kunnen zorgen dat de doelstellingen van een organisatie niet in het gedrang kunnen komen. Om dit laatste te monitoren en evalueren moeten audits, certificeringen en rapporten georganiseerd worden. Wanneer een dienstverlener onvoldoende presteert heeft dit directe en indirecte gevolgen voor de doelstellingen van een organisatie.

• Cloud-dienst gerelateerde risico’s

  • Hieronder vallen enkele risico’s die bij aanbieder van clouddiensten van belang zijn:
    • De gegevenslocatie, gegevens vallen onder de wetgeving van het land waar ze zijn opgeslagen.
    • Scheiding van omgevingen, een uitbestedingspartij deelt zijn infrastructuur over verschillende klanten. Wanneer er iets misgaat kan een andere huurder van het netwerk toegang krijgen tot de verkeerde informatie, kan de bandbreedte tekortschiet of kunnen andere mogelijke ongevallen zich voordoen.
    • Gegevenstoegang, alle regelgeving omtrent bescherming van gegevens dient in iedere schakel van de keten nageleefd te worden
    • Cyber, verschillende risico’s zoals datalekken en cyberaanvallen.

• Persoonlijke afhankelijkheden

  • • In de zorg wordt veel gebruik gemaakt van zzp’ers, dit is effectief ook een soort uitbesteding van zorg. Zorginstellingen zijn vaak afhankelijk van fraudegevoelig zzp werk. Bij het aannemen van zzp’ers is het van groot belang om een visie te formuleren ten aanzien van de balans tussen de eigen mensen een flexibele schil van zelfstandigen die wanneer dat nodig is ondersteuning kunnen bieden.

(ICT) uitbesteding gaat gepaard met veel belangrijke risico’s, bij ICT-diensten is het hanteren van open systemen een beheersingsmaatregel voor het vendor lock-in risico met een groot aantal aanvullende voordelen.

Bredere functionaliteit en transparantie

Onderlinge transparantie van patiëntendossiers voor verschillende instellingen is nu niet vanzelfsprekend. Zorginstellingen houden in hun informatiesysteem een Elektronisch patiëntendossier (EPD) bij. Als patiënten van een andere instelling komen, bespaart het veel tijd als hun medische gegevens direct toegankelijk zijn. Bij gesloten systemen is het niet altijd mogelijk het dossier van buitenaf te lezen, laat staan dat er nieuwe informatie aan een ander systeem kan worden toegevoegd. Wanneer het verplicht wordt gesteld vanuit het VWS om digitale informatiesystemen in de zorg open te stellen zal dat de communicatie tussen zorginstellingen aanzienlijk gemakkelijker kunnen maken.

Open systemen, dat wil zeggen systemen die meer software van derde partijen ondersteunen en toegang van buitenaf kunnen toelaten, bieden daarmee meer mogelijkheden om de functionaliteit van een systeem uit te breiden. Op deze manier kan ook innovatieve nieuwe software worden getest waarmee in bredere zin nieuwe technologische ontwikkelingen gemakkelijker kunnen worden ingezet.

Een open systeem kent echter ook zijn eigen risico’s. Software van derde partijen zet extra druk op compliance en veiligheid wanneer deze worden toegevoegd aan de uitbestedingspartijen van een zorginstelling. De gegevens van patiënten moeten nog steeds beschermd blijven wanneer ze worden opengesteld aan andere zorginstellingen.

Transitie naar een open systeem

Het VWS kan de Wet elektronische gegevensuitwisseling (Wegiz) die sinds 1 juli 2023 geldt gebruiken om de gewenste transparantie van zorgsystemen aan instellingen te verplichten[3]. De Wegiz bevindt zich in een proces met een meerjarenagenda voor implementatie en heeft nog geen grip op de ICT-providers[4]. De Autoriteit Consument en Markt verzoekt het VWS om hen de autoriteit te geven in te grijpen in de zorg ict-markt via de Wegiz.

Voor de instellingen en leveranciers die nu werken met een gesloten systeem zal een transitie naar een open systeem tijd en moeite kosten door toedoen van nieuwe compliance en veiligheidsrisico’s en tijdelijk verlies aan productiviteit. Ondersteuning voor andere systemen en software kan moeilijk te implementeren zijn als een systeem er nooit voor is ontworpen. Het zou zelfs kunnen betekenen dat er een geheel nieuw systeem moet worden gezocht, wellicht bij een andere provider. De integratie daarvan en het leerproces voor medewerkers zal een drempel blijven ondanks maatregelen van het VWS om vendor lock-in te bestrijden. Wat is de status van uw afhankelijkheidsrisico?

[1] https://www.skipr.nl/nieuws/acm-slaat-alarm-en-wil-dat-vws-leveranciers-zorg-ict-aanpakt/

[2] https://www.dnb.nl/media/fcieri1x/risicoanalyse-template-uitbesteding-nl.xlsx

[3] https://www.skipr.nl/nieuws/acm-slaat-alarm-en-wil-dat-vws-leveranciers-zorg-ict-aanpakt/

[4] http://datavoorgezondheid.nl/wegiz/uitleg-over-de-wet/meerjarenagenda-wegiz

Foto van Freepik