Berichten

Autoriteit Persoonsgegevens eist (geldige) bewerkersovereenkomst bij uitbesteden van verwerking medische gegevens

Zorginstellingen mogen de verwerking van medische gegevens, zoals het inscannen van medische dossiers, uitbesteden aan een externe organisatie. De desbetreffende zorginstelling houdt dan wel de verantwoordelijkheid over het gebruik en de bescherming van de medische gegevens. Dat betekent onder meer dat de zorginstelling ingevolge art. 14 van de Wet bescherming persoonsgegevens (hierna: Wbp) een bewerkersovereenkomst sluit met dit externe bedrijf.

Medische gegevens zijn bij uitstek privacygevoelig. Zij worden hierom aangemerkt als bijzondere persoonsgegevens in de zin van de Wbp. Andere voorbeelden van bijzondere persoonsgegevens zijn gegevens betreffende iemands godsdienst, ras, politieke gezindheid, seksuele leven, alsmede iemands lidmaatschap van een vakvereniging en iemands strafrechtelijke verleden. De Autoriteit Persoonsgegevens (hierna: AP) meent dan ook dat de beveiliging ervan aan de hoogste normen moet voldoen. De verwerking van medische gegevens is ingevolge art. 16 juncto art. 21 Wbp slechts onder voorwaarden toegestaan.

In een persbericht van 17 mei jl. benadrukt de AP dat bij de digitalisering van patiëntdossiers (een verwerking) door een externe organisatie een bewerkersovereenkomst moet worden gesloten. De AP heeft geconstateerd dat ziekenhuizen geen goede afspraken hebben gemaakt met het bedrijf dat namens het ziekenhuis patiëntgegevens verwerkt. Door één ziekenhuis is zelfs in het geheel geen bewerkersovereenkomst gesloten. Bij twee andere ziekenhuizen ontbraken in de gesloten overeenkomst met het externe bedrijf details over de duur van de opslag en de beveiliging van de gegevens en was niet expliciet een plicht tot geheimhouding opgenomen.

De AP eist dat een dergelijke bewerkersovereenkomst aan bepaalde minimumeisen voldoet, zoals:

  • De overeenkomst moet specifiek over de gegevensverwerking door de bewerker (de externe organisatie) gaan.
  • De verplichtingen over en weer behoren duidelijk in de overeenkomst te zijn vastgelegd.
  • De overeenkomst bevat gedetailleerd het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en de beveiligingsmaatregelen.
  • In de overeenkomst is opgenomen hoe de verantwoordelijke (de zorginstelling) kan toezien op de naleving van waarborgen.
  • De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel.
  • Als sprake is van subbewerkerschap, moeten daarover bepalingen in de overeenkomst zijn neergelegd.

De AP heeft de drie betrokken ziekenhuizen een korte termijn verleend om alsnog een bewerkersovereenkomst te sluiten die aan de wettelijke vereisten, zoals neergelegd in de Wbp, voldoet. De AP controleert na afloop van de termijn opnieuw of er dan wel sprake is van een (geldige) bewerkersovereenkomst.

De AP voert regelmatig onderzoek uit binnen zorginstellingen. Conclusie daarvan is dat het privacy-beleid binnen zorginstellingen, net als bij gemeenten, nog in de kinderschoenen staat. Het is zelfs nog maar de vraag of de verbetertrajecten, die de AP reeds eerder nodig achtte – zie met name de open brief van de AP van 15 februari jl. – al zijn ingesteld binnen zorginstellingen. Na het recente onderzoek zijn zorginstellingen ook gewaarschuwd voor de gevaren die er zijn bij de verwerking van medische gegevens door een externe organisatie. Zorginstellingen kunnen niet meer zomaar voorbijgaan aan de constateringen en waarschuwingen van de AP, temeer daar de bevoegdheid van de AP om een bestuurlijke boete op te leggen is verruimd. Deze boetebevoegdheid is nader uitgewerkt in Boetebeleidsregels Autoriteit Persoonsgegevens 2016.

Het is dus zaak voor zorginstellingen om vast te stellen wat nu de stand van zaken is ten aanzien van de bescherming van medische gegevens door, onder andere, in kaart te brengen wie toegang (kunnen) krijgen tot patiëntgegevens. Op dit punt komen beleid, praktijk en de (neergelegde vereisten in de) wet, voor zorginstellingen samen. Dit is voor veel zorginstellingen een onbekend terrein.

Autoriteit Persoonsgegevens slaat alarm over falend privacy beleid gemeenten

Sinds januari 2015 zijn gemeenten verantwoordelijk voor jeugdzorg, maatschappelijke ondersteuning, de zorg voor chronisch zieken, ouderen en gehandicapten. Door deze decentralisatie van de zorg komen de persoonlijke gegevens van veel burgers rechtstreeks terecht bij gemeenteambtenaren die een beslissing moeten nemen op de aanvragen.

De Autoriteit Persoonsgegevens heeft vanaf het begin bedenkingen gehad bij deze decentralisatie vanwege het ontbreken van een duidelijk wettelijk kader ter bescherming van de privacy van de aanvragers. En terecht, zo blijkt uit onderzoek van de Autoriteit die bevoegd is tot het opleggen van boetes. De meeste gemeenten weten niet wat de Wet bescherming persoonsgegevens betekent en kunnen niet uitleggen op welke wijze zij de privacy van hun bewoners beschermen. Beleid ontbreekt of bevindt zich in een beginstadium. Veel gemeenten denken dat toestemming van de aanvrager tot gebruik van de gegevens wel voldoende is.

Alarmbellen gaan rinkelen. De Autoriteit Persoonsgegevens wijst erop dat aan gemeenten een boete kan worden opgelegd bij uitblijven van de wettelijk vereiste bescherming. Voor gemeenten is het nu uitermate urgent het privacy beleid handen en voeten te geven. Zo niet dan dreigen sancties en rechtszaken, mogelijk ook van verontruste bewoners.

Goed dus als gemeenten zich nu laten adviseren door juridische experts op dit terrein.