Hoog tijd voor een bewerkersovereenkomst!

Op grond van de Wet Bescherming Persoonsgegevens is het sluiten van een bewerkersovereenkomst verplicht op het moment dat je een bewerker inschakelt. Maar wanneer moet je verplicht een bewerkersovereenkomst sluiten?

Onlangs besteedde Cure4-consultant Ilham Ouajnan in haar blog aandacht aan het nieuws dat de Autoriteit Persoonsgegevens (AP) heeft vastgesteld dat ziekenhuizen geen goede afspraken maken met hun bewerkers. Op grond van de wet (Wet Bescherming Persoonsgegevens) is het sluiten van een bewerkersovereenkomst verplicht op het moment dat je een bewerker inschakelt. Hiervoor is het dus van belang om te bepalen wie de verantwoordelijke en wie de bewerker is in de zin van de Wet Bescherming Persoonsgegevens (WBP).

Wie is de ‘Verantwoordelijke’?

De verantwoordelijke is de persoon of instelling die de persoonsgegevens verzamelt en bewerkt. Dit is ook degene die het doel van de verwerking en de middelen voor die verwerking vaststelt. Als het bijvoorbeeld gaat om de registratie van patiëntendossiers, dan is de zorginstelling de verantwoordelijke in de zin van de wet. De zorginstelling bepaalt immers het doel van die registratie, namelijk het verlenen van goede patiëntenzorg. Ook bepaalt de zorginstelling welke middelen worden gebruikt, bijvoorbeeld welk EPD voor die registratie wordt ingezet. Soms zetten meerdere partijen gezamenlijk een verwerking op. Denk hierbij aan een samenwerkingsverband van zorginstellingen. In dat geval is er een gezamenlijke verantwoordelijkheid ten aanzien van die verwerking. Daarmee is elke instelling afzonderlijk niet minder verantwoordelijk. Elke verantwoordelijke draagt de volle verantwoordelijkheid ten aanzien van de verwerkingen.

Wie is de ‘Bewerker’?

De bewerker is de partij die in opdracht van en voor de verantwoordelijke verwerking van persoonsgegevens uitvoert. De bewerker werkt hierbij zelfstandig en valt niet onder het gezag van de verantwoordelijke. Natuurlijk kan de verantwoordelijke wel instructies geven aan de bewerker over de manier waarop hij de verwerkingen moet uitvoeren. Deze instructies vallen onder de opdracht, die de verantwoordelijke aan de bewerker verstrekt. Bij een bewerker kunt u denken aan de leverancier van het EPD, de ICT-leverancier, een hostingpartij of administratiekantoor.

De verantwoordelijke houdt altijd de eindverantwoordelijkheid voor de verwerkingen die hij aan een bewerker uitbesteedt. Daarom is het belangrijk hierover goede afspraken te maken. Het uitbesteden van verwerkingen aan een andere partij leidt er namelijk uitdrukkelijk niet toe dat de verantwoordelijke ook zijn verantwoordelijkheid hiervoor aan die partij overdraagt. Met het maken van de juiste afspraken borgt de verantwoordelijke zijn eigen verantwoordelijkheid.

Zorginstelling als verantwoordelijke

De zorginstelling is ervoor verantwoordelijk dat voldoende passende technische en organisatorische maatregelen worden genomen ter beveiliging van de patiëntgegevens. Deze instelling is tenslotte in de zin van de wet de verantwoordelijke voor de verwerking van deze gegevens. Wanneer de zorginstelling een bewerker inschakelt, moet de instelling ervoor zorgen dat de bewerker voldoende waarborgen biedt voor de beveiliging, bijvoorbeeld door te laten zien welke beveiligingsmaatregelen de bewerker treft. De verantwoordelijke moet ook monitoren of de bewerker de besproken maatregelen naleeft. Dit kan door bijvoorbeeld een auditmogelijkheid op te nemen in de bewerkersovereenkomst. In de bewerkersovereenkomst legt de zorginstelling (de verantwoordelijke) de gemaakte afspraken schriftelijk vast.

In de praktijk is niet altijd even duidelijk wie de verantwoordelijke en wie de bewerker is ten aanzien van bepaalde verwerkingen van persoonsgegevens. Probeer dit zo goed mogelijk in kaart te brengen. Pas dan kun je bepalen of, en zo ja met wie, je bewerkersovereenkomsten moet sluiten.

Tip

Maak om te beginnen een overzicht van alle bewerkers die in opdracht van de zorginstelling diensten verlenen die betrekking hebben op de verwerking van persoonsgegevens (patiëntgegevens). Leg vervolgens de afspraken schriftelijk vast in een bewerkersovereenkomst. Wilt u weten wat in elk geval in een bewerkersovereenkomst moet worden vastgelegd?

Lees dan de blog van Ilham Ouajnan.

Marieke van Dijk

©2018 Cure4 |

Nieuwsbrief | Disclaimer | Privacy Statement
Contact