Autoriteit Persoonsgegevens eist (geldige) bewerkersovereenkomst bij uitbesteden van verwerking medische gegevens

Zorginstellingen mogen de verwerking van medische gegevens, zoals het inscannen van medische dossiers, uitbesteden aan een externe organisatie. De desbetreffende zorginstelling houdt dan wel de verantwoordelijkheid over het gebruik en de bescherming van de medische gegevens. Dat betekent onder meer dat de zorginstelling ingevolge art. 14 van de Wet bescherming persoonsgegevens (hierna: Wbp) een bewerkersovereenkomst sluit met dit externe bedrijf.

Medische gegevens zijn bij uitstek privacygevoelig. Zij worden hierom aangemerkt als bijzondere persoonsgegevens in de zin van de Wbp. Andere voorbeelden van bijzondere persoonsgegevens zijn gegevens betreffende iemands godsdienst, ras, politieke gezindheid, seksuele leven, alsmede iemands lidmaatschap van een vakvereniging en iemands strafrechtelijke verleden. De Autoriteit Persoonsgegevens (hierna: AP) meent dan ook dat de beveiliging ervan aan de hoogste normen moet voldoen. De verwerking van medische gegevens is ingevolge art. 16 juncto art. 21 Wbp slechts onder voorwaarden toegestaan.

In een persbericht van 17 mei jl. benadrukt de AP dat bij de digitalisering van patiëntdossiers (een verwerking) door een externe organisatie een bewerkersovereenkomst moet worden gesloten. De AP heeft geconstateerd dat ziekenhuizen geen goede afspraken hebben gemaakt met het bedrijf dat namens het ziekenhuis patiëntgegevens verwerkt. Door één ziekenhuis is zelfs in het geheel geen bewerkersovereenkomst gesloten. Bij twee andere ziekenhuizen ontbraken in de gesloten overeenkomst met het externe bedrijf details over de duur van de opslag en de beveiliging van de gegevens en was niet expliciet een plicht tot geheimhouding opgenomen.

De AP eist dat een dergelijke bewerkersovereenkomst aan bepaalde minimumeisen voldoet, zoals:

  • De overeenkomst moet specifiek over de gegevensverwerking door de bewerker (de externe organisatie) gaan.
  • De verplichtingen over en weer behoren duidelijk in de overeenkomst te zijn vastgelegd.
  • De overeenkomst bevat gedetailleerd het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en de beveiligingsmaatregelen.
  • In de overeenkomst is opgenomen hoe de verantwoordelijke (de zorginstelling) kan toezien op de naleving van waarborgen.
  • De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel.
  • Als sprake is van subbewerkerschap, moeten daarover bepalingen in de overeenkomst zijn neergelegd.

De AP heeft de drie betrokken ziekenhuizen een korte termijn verleend om alsnog een bewerkersovereenkomst te sluiten die aan de wettelijke vereisten, zoals neergelegd in de Wbp, voldoet. De AP controleert na afloop van de termijn opnieuw of er dan wel sprake is van een (geldige) bewerkersovereenkomst.

De AP voert regelmatig onderzoek uit binnen zorginstellingen. Conclusie daarvan is dat het privacy-beleid binnen zorginstellingen, net als bij gemeenten, nog in de kinderschoenen staat. Het is zelfs nog maar de vraag of de verbetertrajecten, die de AP reeds eerder nodig achtte – zie met name de open brief van de AP van 15 februari jl. – al zijn ingesteld binnen zorginstellingen. Na het recente onderzoek zijn zorginstellingen ook gewaarschuwd voor de gevaren die er zijn bij de verwerking van medische gegevens door een externe organisatie. Zorginstellingen kunnen niet meer zomaar voorbijgaan aan de constateringen en waarschuwingen van de AP, temeer daar de bevoegdheid van de AP om een bestuurlijke boete op te leggen is verruimd. Deze boetebevoegdheid is nader uitgewerkt in Boetebeleidsregels Autoriteit Persoonsgegevens 2016.

Het is dus zaak voor zorginstellingen om vast te stellen wat nu de stand van zaken is ten aanzien van de bescherming van medische gegevens door, onder andere, in kaart te brengen wie toegang (kunnen) krijgen tot patiëntgegevens. Op dit punt komen beleid, praktijk en de (neergelegde vereisten in de) wet, voor zorginstellingen samen. Dit is voor veel zorginstellingen een onbekend terrein.

Gemeente mag adres opgerolde wietkwekerij niet publiceren

In een persbericht van 6 juni jl. schrijft de Autoriteit Persoonsgegevens (hierna: AP) over een door haar verricht onderzoek – in het kader van haar toezichthoudende taak – naar de noodzaak om adressen van in de gemeente Renkum ‘opgerolde’ wietkwekerijen via het internet openbaar te maken.

Gemeente Renkum publiceerde de adressen van opgerolde wietkwekerijen, om zo (toekomstige) pandeigenaren, huurders en verhuurders te informeren over het feit dat op een bepaald adres een wietplantage is ontruimd. Een ander doel van het publiceren van zogenoemde ‘wietadressen’ zag volgens de gemeente op het ontmoedigen van hennepkwekers.

Het publiceren van persoonsgegevens is een zogenoemde ‘verwerking’ in de zin van de Wet bescherming persoonsgegevens (hierna: Wbp). Voor de verwerking van persoonsgegevens is een grondslag in de zin van art. 8 Wbp vereist. In art. 8 aanhef en onder c Wbp is bijvoorbeeld neergelegd dat de verantwoordelijke (in dit geval: de gemeente) gerechtigd is gegevens te verwerken indien dit noodzakelijk is ter uitvoering van een wettelijke verplichting die op hem rust.

Volgens de gemeente was de gegevensverwerking noodzakelijk om te voldoen aan de wettelijke verplichting van de burgemeester, gelegen in art. 172 Gemeentewet, tot de handhaving van de openbare orde. Om aan deze wettelijke taak te voldoen, heeft de gemeente – voor de bestrijding van hennepkwekerijen – art. 13b van de Opiumwet ook als wettelijke grondslag genoemd. Ingevolge art. 13b van de Opiumwet is de burgemeester namelijk bevoegd tot het opleggen van een last onder bestuursdwang indien in woningen of lokalen een hennepkwekerij wordt aangetroffen. Ten slotte noemt de gemeente haar ‘Beleidsregel artikel 13b Opiumwet, Gemeente Renkum’ als grondslag. Hierin zijn de maatregelen – waaronder de publicatie van wietadressen op de gemeentelijke website – aangeduid. In de Beleidsregel is bepaald dat een nadere belangenafweging moet plaatsvinden om te komen tot het opleggen van een last onder bestuursdwang.

Noodzakelijk voor uitvoering wettelijke verplichting?

De AP onderzocht of in dit geval sprake was van een wettelijke verplichting waaruit een noodzakelijke gegevensverwerking voortvloeide, zoals bedoeld in art. 8 aanhef en onder c Wbp. De AP gaat bij deze norm uit van een tweetal toetsingscriteria, namelijk:

  1. Is de gegevensverwerking noodzakelijk ter uitvoering van een wettelijke verplichting?
  2. Dient de verantwoordelijke te zijn belast met de uitvoering van de wettelijke verplichting?

(1) Volgens de AP is het op het internet plaatsen van zogenoemde ‘wietadressen’ niet noodzakelijk ten behoeve van de wettelijke verplichting waarop de gemeente een beroep doet en om die reden in strijd met de Wbp. Bovendien, in de ‘Beleidsregel artikel 13b Opiumwet, Gemeente Renkum’ ontbreekt een nadere belangenafweging om concreet tot de maatregel van publicatie te komen. Er is met andere woorden geen grondslag in de zin van art. 8 Wbp voor de publicatie. In haar onderzoek is de AP vervolgens verder ingegaan op het doel van de publicatie in samenhang met de proportionaliteit en subsidiariteit van deze maatregel. De AP concludeert naar aanleiding van haar eigen onderzoek, dat de gemeente Renkum nu al de benodigde maatregelen (denk aan het houden van een voorlichtingsbijeenkomst voor pandeigenaren en verhuurders of het opleggen van sancties op bestuurs-, straf- of civielrechtelijk niveau) inzet om de hiervoor genoemde doelen (informeren/ontmoedigen) te bereiken. Tot dusver is niet gebleken dat deze maatregelen in de gemeente Renkum tot een onvoldoende resultaat leiden, zo stelt de AP. Volgens de AP zijn andere, minder ingrijpende (juridische) maatregelen mogelijk om te komen tot de door de gemeente gestelde doelen. Daarnaast, door een wietadres op het internet te publiceren, kan een (toekomstige) pandeigenaar, verhuurder of huurder die niets met de hennepkwekerij van doen heeft, volgens de AP juist worden benadeeld.

(2) Ten aanzien van het tweede toetsingscriterium oordeelt de AP dat de gemeente Renkum vanzelfsprekend is belast met de uitvoering van de genoemde wettelijke verplichting. Echter, de publicatie van adressen van opgerolde wietkwekerijen op de gemeentelijke website valt niet onder deze wettelijke verplichting. Volgens de AP is het namelijk niet zo dat het uitvoeren van de wettelijke verplichting redelijkerwijs niet mogelijk is zónder de publicatie van adressen van opgerolde wietadressen. De AP merkt hierbij op dat de wettelijke verplichting die publicatie bovendien niet als zodanig inhoudt.

Conclusie

Kort en goed, de AP stelt vast dat het publiceren van de wietadressen een overtreding oplevert van art. 8 Wbp. De gemeente heeft daaropvolgend alle waarschuwingsbrieven, adressen en persberichten van de gemeentelijke website gehaald. Verder heeft de gemeente aangegeven in de toekomst geen adressen van opgerolde wietkwekerijen meer op internet te publiceren.

De AP besluit niet handhavend op te treden jegens de gemeente Renkum, maar benadrukt dat zij bij nieuwe signalen opnieuw een onderzoek kan instellen.

Slotsom is dat de taak tot het uitvoeren van een wettelijke verplichting niet zomaar gegevensverwerking rechtvaardigt. De AP voegt hieraan toe dat, gelet op de aard van de inbreuk op de privacy, een belangenafweging van geval tot geval nodig is.

Bijna helft Nederlandse ziekenhuizen geeft informatie over websitebezoekers door aan derden

De Autoriteit Persoonsgegevens (hierna: AP) concludeert na onderzoek van websites van alle algemene en academische ziekenhuizen dat bij 39 van de 85 onderzochte ziekenhuizen door commerciële, derde partijen zogenoemde tracking cookies op de apparatuur van bezoekers van de ziekenhuiswebsite zijn geplaatst. Met behulp van deze tracking cookies kan worden bijgehouden welke internetpagina’s iemand bezoekt. Op die manier kunnen bedrijven afleiden wat iemands voorkeuren en interesses zijn en op basis daarvan persoonlijke aanbiedingen doen. De AP noemt als voorbeeld iemand die de afdeling cardiologie op een ziekenhuiswebsite bezoekt. Diegene heeft het recht om daarna, gedurende zijn verdere internetbezoeken, niet her en der te worden benaderd als mogelijk hartpatiënt.

In geval van bijna de helft van de onderzochte ziekenhuizen zijn tracking cookies geplaatst op de apparatuur, zonder dat de bezoekers daarvoor toestemming hebben gegeven. Dat is in strijd met privacywetgeving. Volgens de AP vindt met behulp van dergelijke tracking cookies namelijk mogelijk een verwerking van persoonsgegevens over de gezondheid plaats. Op grond van art. 8, aanhef sub a, Wet bescherming persoonsgegevens moet de betrokkene voor de verwerking van persoonsgegevens juist zijn uitdrukkelijke toestemming geven. De AP benadrukt bovendien dat, ingevolge art. 10 Grondwet, eenieder recht heeft op een zorgvuldige omgang met zijn persoonsgegevens.

Daarnaast is volgens de AP onderdeel van ‘goede zorg’ dat bezoekers van een ziekenhuiswebsite erop moeten kunnen vertrouwen dat informatie over hun bezoek aan een ziekenhuiswebsite niet bij andere partijen terecht komt.

Over zes weken controleert de AP de websites van de onderzochte ziekenhuizen opnieuw. Indien dan nog steeds sprake is van een overtreding zal de AP handhavend optreden door middel van het opleggen van maatregelen aan de individuele ziekenhuizen.

Autoriteit Persoonsgegevens slaat alarm over falend privacy beleid gemeenten

Sinds januari 2015 zijn gemeenten verantwoordelijk voor jeugdzorg, maatschappelijke ondersteuning, de zorg voor chronisch zieken, ouderen en gehandicapten. Door deze decentralisatie van de zorg komen de persoonlijke gegevens van veel burgers rechtstreeks terecht bij gemeenteambtenaren die een beslissing moeten nemen op de aanvragen.

De Autoriteit Persoonsgegevens heeft vanaf het begin bedenkingen gehad bij deze decentralisatie vanwege het ontbreken van een duidelijk wettelijk kader ter bescherming van de privacy van de aanvragers. En terecht, zo blijkt uit onderzoek van de Autoriteit die bevoegd is tot het opleggen van boetes. De meeste gemeenten weten niet wat de Wet bescherming persoonsgegevens betekent en kunnen niet uitleggen op welke wijze zij de privacy van hun bewoners beschermen. Beleid ontbreekt of bevindt zich in een beginstadium. Veel gemeenten denken dat toestemming van de aanvrager tot gebruik van de gegevens wel voldoende is.

Alarmbellen gaan rinkelen. De Autoriteit Persoonsgegevens wijst erop dat aan gemeenten een boete kan worden opgelegd bij uitblijven van de wettelijk vereiste bescherming. Voor gemeenten is het nu uitermate urgent het privacy beleid handen en voeten te geven. Zo niet dan dreigen sancties en rechtszaken, mogelijk ook van verontruste bewoners.

Goed dus als gemeenten zich nu laten adviseren door juridische experts op dit terrein.