Bij ziekenhuizen speelt dit sinds de mogelijkheden in de techniek een grote rol; het digitaliseren van patiëntendossiers. Dit is, gezien het aantal patiënten in een ziekenhuis, vaak een behoorlijke klus. Artikel 14 van de Wet bescherming persoonsgegevens (Wbp) bevat regels over het uitbesteden van de verwerking van persoonsgegevens aan een derde. Zo’n derde partij, die ten behoeve van het ziekenhuis persoonsgegevens verwerkt zonder aan rechtstreeks gezag te zijn onderworpen, wordt volgens de wet een bewerker genoemd. Deze bewerker dient een verbintenis aan te gaan met het ziekenhuis, zodat de veiligheid over de gegevens van patiënten gewaarborgd kan worden.

De Autoriteit Persoonsgegevens heeft dit jaar onderzoek gedaan naar de digitalisering van patiëntendossiers bij ziekenhuizen in combinatie met de bewerkersovereenkomst. De Autoriteit eist betere afspraken over de digitalisering van patiëntendossiers, zo blijkt uit het onderzoek. Daarnaast dient deze overeenkomst per se een afzonderlijk document te zijn. Maar is dat wel zo?

 

Wettelijk kader

In artikel 14 van de Wbp zijn diverse vereisten opgenomen die gesteld zijn aan de bewerkersovereenkomst. Met name het ziekenhuis dient waarborgen te bieden en zorg te dragen voor de beveiliging van persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking. De eerste twee leden van artikel 14 Wbp luiden als volgt:

 

  1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt. De verantwoordelijke ziet toe op de naleving van die maatregelen.
  2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke. […]

 

Met name lid 2 is van belang. In de toelichting bij dit lid blijkt dat de overeenkomst tussen het ziekenhuis en de bewerker specifiek de gegevensverwerking tot onderwerp moet hebben. In de wet wordt niet expliciet bepaald dat dit een afzonderlijk document dient te zijn, maar eist slechts dat er een overeenkomst is. Wat de toegevoegde waarde zou zijn van een afzonderlijk document, wordt door de Autoriteit niet nader belicht, net zoals dit in de Memorie van Toelichting niet nader wordt belicht. Nu dit niet is genoemd in de parlementaire geschiedenis, lijkt het mij niet verplicht een afzonderlijk document op te stellen indien een derde de digitalisering van patiëntendossiers op zich neemt. Mocht de wetgever dit destijds gewenst hebben, dan zou er naar mijn idee in de wet expliciet een bepaling hierover zijn opgenomen.

 

Boetemogelijkheden Autoriteit

In artikel 66 Wbp is een boetebepaling opgenomen. Echter, het niet voldoen aan dit wettelijke vereisten van de bewerkersovereenkomst levert voor de Autoriteit geen bevoegdheid op om een boete op te leggen. Artikel 14 Wbp is namelijk niet opgenomen in de limitatieve lijst. De Autoriteit kan wel een last onder dwangsom opleggen aan het ziekenhuis om alsnog een bewerkersovereenkomst af te sluiten. In dat geval wordt een bepaalde termijn opgelegd waarbinnen de overeenkomst gesloten dient te worden. Gebeurt dit niet binnen die termijn, dan kan een bepaald bedrag verbeurd worden voor de periode waarin niet aan de last wordt voldaan.

Kortom, het niet hebben van een al dan niet afzonderlijke bewerkersovereenkomst voor het digitaliseren van patiëntendossiers levert nog niet direct een zware sanctie op volgens de Wbp. De Autoriteit Persoonsgegevens wil wel strenger gaan controleren op het daadwerkelijk aanwezig zijn van deze overeenkomsten. Wees dus wel alert als verantwoordelijke!

 

Voor vragen over dit onderwerp, neem gerust contact op of laat hieronder een reactie achter.

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *