Het officiële MedZine Blog

Achtergrond bij het medisch nieuws

Blogbijdrage: Digitalisering patiëntgegevens uitbesteden? door Sofie van der Meulen

Blogbijdrage: Digitalisering patiëntgegevens uitbesteden? door Sofie van der Meulen

De Autoriteit Persoonsgegevens heeft recent onderzoek gedaan naar het digitaliseren van patiëntgegevens door ziekenhuizen. Het komt vaak voor dat externe bedrijven worden ingeschakeld voor dergelijke klussen. Dat mag ook, maar omdat het om de verwerking van persoonsgegevens – waaronder medische gegevens van patiënten – gaat, komt direct de Wet bescherming persoonsgegevens (‘Wbp’) om de hoek kijken. 

Als een ziekenhuis besluit de verwerking van persoonsgegevens uit te besteden, dan is het ziekenhuis volgens de Wbp de ‘verantwoordelijke’ en degene aan wie de verwerking uitbesteed wordt de ‘bewerker’. Afspraken over de verwerking moeten op grond van de Wbp vastgelegd worden in een zogenaamde ‘bewerkersovereenkomst’. Volgens het onderzoek van de Autoriteit Persoonsgegevens ontbrak bij één van de onderzochte ziekenhuizen een dergelijke overeenkomst en bij de andere twee onderzochte ziekenhuis voldeed de bewerkersovereenkomst niet aan de wettelijke eisen.

Wat moet er in een bewerkersovereenkomst staan?

Daarvoor kijken we naar artikel 14 Wbp. Op grond van dit artikel moeten er in de bewerkersovereenkomst afspraken opgenomen worden over:

•De verwerking van persoonsgegevens (soort gegevens en doeleinden van de verwerking)

•De beveiliging van de persoonsgegevens

•De meldplicht datalekken

•De geheimhoudingsplicht voor de bewerker en zijn personeel

•Toezicht door de verantwoordelijke op naleving door bewerker

Ik ga een overeenkomst van opdracht sluiten met de bewerker. Mag ik de bovenstaande afspraken daarin opnemen?

In de Wbp, de Europese Privacyrichtlijn, de jurisprudentie en in de publicaties van de Artikel 29-werkgroep wordt geen afzonderlijke overeenkomst geëist en dus werd in de praktijk aangenomen dat de afspraken onderdeel mogen uitmaken van een andere overeenkomst, zoals een overeenkomst van opdracht. 

Het ‘boodschappenlijstje’ in het persbericht van de Autoriteit Persoonsgegevens bevat echter de eis dat de overeenkomst specifiek moet gaan over de gegevensverwerking door de bewerker. Dit impliceert dat de Autoriteit Persoonsgegevens een aparte overeenkomst vereist waarin geen andere onderwerpen geregeld mogen worden. Waarom de Autoriteit Persoonsgegevens deze eis stelt is niet duidelijk. Het uitgangspunt op Europees niveau is dat er afspraken gemaakt moeten worden tussen de verantwoordelijke en de bewerker. 

Waarom zou in Nederland de striktere eis van een afzonderlijke overeenkomst gelden? Duidelijkheid vanuit de Autoriteit Persoonsgegevens is gewenst, temeer omdat een dergelijke eis impact heeft op de compliance van organisaties die afspraken nu niet hebben vastgelegd in een afzonderlijke overeenkomst. 

Gaat u binnenkort de verwerking van persoonsgegevens uitbesteden? Dan denkt u zeker aan de bewerkersovereenkomst. Heeft u nog een bewerkersovereenkomst van een aantal jaren geleden die u wilt gebruiken? Vergeet dan niet om extra bepalingen over de meldplicht datalekken op te nemen. Totdat er duidelijkheid is vanuit de Autoriteit Persoonsgegevens is het vanuit compliance-oogpunt veiliger de afspraken in een afzonderlijke overeenkomst op te nemen. Deze kunt u wel als bijlage aan een andere overeenkomst hechten. 

Sofie van der Meulen is advocaat bij Axon advocaten en heeft zich gespecialiseerd in de juridische en regulatoire aspecten van medische technologie.

Lees hier meer testimonials van HCP-ers en adverteerders

Volg ons