Autoriteit Persoonsgegevens eist (geldige) bewerkersovereenkomst bij uitbesteden van verwerking medische gegevens

Autoriteit Persoonsgegevens eist (geldige) bewerkersovereenkomst bij uitbesteden van verwerking medische gegevens 150 150 Solange Drieshen

Zorginstellingen mogen de verwerking van medische gegevens, zoals het inscannen van medische dossiers, uitbesteden aan een externe organisatie. De desbetreffende zorginstelling houdt dan wel de verantwoordelijkheid over het gebruik en de bescherming van de medische gegevens. Dat betekent onder meer dat de zorginstelling ingevolge art. 14 van de Wet bescherming persoonsgegevens (hierna: Wbp) een bewerkersovereenkomst sluit met dit externe bedrijf. Dit eist de Autoriteit Persoonsgegevens.

Medische gegevens zijn bij uitstek privacygevoelig. Zij worden hierom aangemerkt als bijzondere persoonsgegevens in de zin van de Wbp. Andere voorbeelden van bijzondere persoonsgegevens zijn gegevens betreffende iemands godsdienst, ras, politieke gezindheid, seksuele leven, alsmede iemands lidmaatschap van een vakvereniging en iemands strafrechtelijke verleden. De Autoriteit Persoonsgegevens (hierna: AP) meent dan ook dat de beveiliging ervan aan de hoogste normen moet voldoen. De verwerking van medische gegevens is ingevolge art. 16 juncto art. 21 Wbp slechts onder voorwaarden toegestaan.

In een persbericht van 17 mei jl. benadrukt de AP dat bij de digitalisering van patiëntdossiers (een verwerking) door een externe organisatie een bewerkersovereenkomst moet worden gesloten. De AP heeft geconstateerd dat ziekenhuizen geen goede afspraken hebben gemaakt met het bedrijf dat namens het ziekenhuis patiëntgegevens verwerkt. Door één ziekenhuis is zelfs in het geheel geen bewerkersovereenkomst gesloten. Bij twee andere ziekenhuizen ontbraken in de gesloten overeenkomst met het externe bedrijf details over de duur van de opslag en de beveiliging van de gegevens en was niet expliciet een plicht tot geheimhouding opgenomen.

De AP eist dat een dergelijke bewerkersovereenkomst aan bepaalde minimumeisen voldoet, zoals:

  • De overeenkomst moet specifiek over de gegevensverwerking door de bewerker (de externe organisatie) gaan.
  • De verplichtingen over en weer behoren duidelijk in de overeenkomst te zijn vastgelegd.
  • De overeenkomst bevat gedetailleerd het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en de beveiligingsmaatregelen.
  • In de overeenkomst is opgenomen hoe de verantwoordelijke (de zorginstelling) kan toezien op de naleving van waarborgen.
  • De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel.
  • Als sprake is van subbewerkerschap, moeten daarover bepalingen in de overeenkomst zijn neergelegd.

bewerkersovereenkomstDe AP heeft de drie betrokken ziekenhuizen een korte termijn verleend om alsnog een bewerkersovereenkomst te sluiten die aan de wettelijke vereisten, zoals neergelegd in de Wbp, voldoet. De AP controleert na afloop van de termijn opnieuw of er dan wel sprake is van een (geldige) bewerkersovereenkomst.

De AP voert regelmatig onderzoek uit binnen zorginstellingen. Conclusie daarvan is dat het privacy-beleid binnen zorginstellingen, net als bij gemeenten, nog in de kinderschoenen staat. Het is zelfs nog maar de vraag of de verbetertrajecten, die de AP reeds eerder nodig achtte – zie met name de open brief van de AP van 15 februari jl. – al zijn ingesteld binnen zorginstellingen. Na het recente onderzoek zijn zorginstellingen ook gewaarschuwd voor de gevaren die er zijn bij de verwerking van medische gegevens door een externe organisatie. Zorginstellingen kunnen niet meer zomaar voorbijgaan aan de constateringen en waarschuwingen van de AP, temeer daar de bevoegdheid van de AP om een bestuurlijke boete op te leggen is verruimd. Deze boetebevoegdheid is nader uitgewerkt in Boetebeleidsregels Autoriteit Persoonsgegevens 2016.

DUS: Het is  zaak voor zorginstellingen om vast te stellen wat nu de stand van zaken is ten aanzien van de bescherming van medische gegevens door, onder andere, in kaart te brengen wie toegang (kunnen) krijgen tot patiëntgegevens. Op dit punt komen beleid, praktijk en de (neergelegde vereisten in de) wet, voor zorginstellingen samen. Dit is voor veel zorginstellingen een onbekend terrein.

Autoriteit Persoonsgegevens expert

Auteur: Ina Brouwer, advocaat privacyrecht