Drie ziekenhuizen berispt door de AP

De Autoriteit Persoonsgegevens heeft geconstateerd dat drie ziekenhuizen in Nederland geen goede afspraken hebben gemaakt met hun bewerker, een partij die namens de ziekenhuizen patiëntgegevens verwerkte.

De ziekenhuizen voldoen op deze wijze niet aan de plicht, die volgt uit de Wet bescherming persoonsgegevens (Wbp) en riskeren daarmee een boete en mogelijk ook reputatieschade. De AP heeft de ziekenhuizen in dit geval de mogelijkheid geboden om binnen een kort termijn alsnog bewerkersovereenkomsten te sluiten of alsnog de nodige afspraken te maken met bewerkers, zodat zij voldoen aan de eisen conform de Wbp.

 

Verantwoordelijkheid van ziekenhuizen

Een ziekenhuis is in de zin van Wbp verantwoordelijk voor de beveiliging en privacy van de persoonsgegevens die zij verwerkt of laat verwerken. De medische gegevens van patiënten, ook wel ‘bijzondere persoonsgegevens’ genoemd, moet zij met extra zorg behandelen. Daarvoor dienen zij de nodige maatregelen te treffen om de privacy van patiënten te waarborgen.

Waarom een bewerkersovereenkomst?

De strenge eisen voor het (laten) verwerken van bijzondere persoonsgegevens dienen zorgvuldig nageleefd te worden. Een van die eisen is het sluiten van een bewerkersovereenkomst met bewerkers die namens het ziekenhuis de patiëntgegevens verwerken. In een bewerkersovereenkomst worden bijvoorbeeld afspraken gemaakt over welke beveiligingseisen een bewerker dient te treffen en onder welke voorwaarden de bewerker de persoonsgegevens verder mag verwerken. Ziekenhuizen moeten kunnen controleren of de genomen maatregelen voldoende passend zijn.

Tips voor een goede bewerkersovereenkomst

U doet er goed aan om in uw organisatie te inventariseren of er afspraken zijn gemaakt met bewerkers en welke afspraken er zijn gemaakt. Waar dient u in ieder geval op te letten bij het aangaan van een bewerkersovereenkomst? Maak in ieder geval afspraken over: 

  • Welke persoonsgegevens verzameld worden
  • Met welk doel de persoonsgegevens zullen worden verwerkt
  • De duur van de verwerking van de persoonsgegevens
  • De beveiligingsmaatregelen die genomen dienen te worden, bijvoorbeeld NEN 7510 certificering of ISO 270001
  • Een auditmogelijkheid om de naleving door de bewerker te kunnen controleren
  • Een geheimhoudingsplicht voor de bewerker en het personeel
  • Hoe te handelen in geval zich een datalek voordoet
  • Verbod om zonder toestemming de persoonsgegevens buiten de EU te verwerken
  • Verbod om zonder toestemming sub-bewerkers in te zetten


 

©2018 Cure4 |

Nieuwsbrief | Disclaimer | Privacy Statement | Website | Cure4 Legal | Website | Cure4 AFAS | Website | Cure4 Zorgadministratie | Website | Cure4 Finance & Control
Contact