De autoriteit persoonsgegevens kan op dit moment boetes uitdelen indien er een ernstige datalek heeft plaatsgevonden. De privacywetgeving (meldplicht datalekken en AVG/GDPR) heeft hierdoor meer aandacht gekregen van alle bestuurders. Onderdeel van de privacywetgeving is de verplichting van het vastleggen van bewerkersovereenkomsten.
Een bewerkersovereenkomst is een (aanvullende) overeenkomst tussen twee partijen, waarin je verschillende afspraken vastlegt over onder andere hoe om te gaan met persoonsgegevens en datalekken. De ene partij wordt verantwoordelijke genoemd, de andere partij is de bewerker (verwerker). Het lijkt simpel, maar het is niet altijd duidelijk wie verantwoordelijk is voor het verwerken van persoonsgegevens. Gevolg is dat er bewerkersovereenkomsten in de zorg worden afgesloten die helemaal niet mogelijk zijn! Onzin of realiteit? Daar kom ik zo op terug. Eerst wat meer uitleg over bovenstaande termen.
Verantwoordelijke
De partij die als verantwoordelijke optreedt doet dat op basis van de volgende punten. De verantwoordelijke:
- Stelt doel en middelen van de verwerking van persoonsgegevens vast;
- Beslist
– of en welke gegevens er worden verwerkt;
– met welk doel dat gebeurt;
– en op welke wijze dat gebeurt; - Is formeel juridisch bevoegd om doel en middelen te bepalen;
Met andere woorden: de verantwoordelijke geeft opdracht om persoonsgegevens te verwerken en bepaalt wie, welke persoonsgegevens, hoe, waarom, en hoelang worden verwerkt. De verantwoordelijke stelt hier een vergoeding voor beschikbaar en zorgt dat dit transparant en zorgvuldig gebeurt.
Bewerker
De bewerker (verwerker):
- verwerkt de persoonsgegevens in opdracht van de verantwoordelijke;
- staat niet onder rechtstreeks gezag van de verantwoordelijke;
- heeft géén zeggenschap over de verwerking maar handelt naar instructies van de verantwoordelijke;
De dienstverlening van een verwerker is gericht op het uitvoeren van bepaalde verwerkingen van persoonsgegevens ten behoeve van de opdrachtgever (de verantwoordelijke).
Bewerkersovereenkomsten in de zorg
We weten nu wie verantwoordelijk en wie bewerker is. In de zorgsector zie ik dat gemeentes bewerkersovereenkomsten (verwerkersovereenkomsten) aangaan met een zorginstelling (zorgverlener). Daarin stelt de gemeente zichzelf op als verantwoordelijke en is de zorginstelling de bewerker. Dit zat mij niet lekker, het klopte niet. Maar hoe mijn gevoel te onderbouwen? Tijdens een bijeenkomst van Security Awareness NL had ik in een interessant gesprek hierover met Winfried Tilanus. Zijn redenatie is simpel en duidelijk: zowel de gemeente als de zorginstelling zijn beide verantwoordelijken. De gemeente is verantwoordelijk in zijn rol voor de overheidsuitgaven en de zorginstelling is verantwoordelijk voor het verlenen van de juiste zorg aan de cliënt. Tussen verantwoordelijke partijen kunnen géén bewerkersovereenkomsten worden afgesloten. Het is dus realiteit dat er bewerkersovereenkomsten worden afgesloten die niet mogelijk zijn!
Wat staat er in een bewerkersovereenkomst
Terug naar de praktijk waarin dus wél bewerkersovereenkomsten tussen gemeentes en zorginstellingen zijn opgesteld. Wat staat er eigenlijk in zo’n overeenkomst? Ik benoem enkele voorbeelden om de krankzinnigheid van deze overeenkomsten toe te lichten.
Bewerker verwerkt gegevens in opdracht van verantwoordelijke
In dit onderdeel wordt benoemd dat de zorginstelling persoonsgegevens in opdracht van en ten behoeve van de gemeente verwerkt, overeenkomstig met het doel en de afspraken met die gemeente. De zorginstelling volgt alle instructies op van de gemeente.
Stelt u zich eens voor: u bent cliënt en ontvangt zorg van een professionele zorginstelling. De financiering van de zorg vindt via de gemeente plaats. Bovenstaande voorwaarde houdt in dat de gemeente de zorginstelling aanstuurt en bepaalt hoe en welke (specialistische) zorg te leveren. De gemeente ziet zichzelf als expert op het gebied van gezondheidszorg. De jarenlange training die de professionele zorgverleners hebben gevolgd zijn ineens overbodig, want volgens deze bewerkersovereenkomst moeten zij handelen naar instructies van de gemeente.
Verantwoordelijke behoudt zeggenschap over persoonsgegevens
De gemeente behoudt te allen tijde de zeggenschap over de persoonsgegevens. Bij beëindiging van de (deel-)overeenkomst heeft bewerker geen toegang meer tot de persoonsgegevens en/of zal deze retourneren aan de gemeente.
U deelt als cliënt gevoelige en persoonlijke informatie met uw zorgverlener. Deze zorgverlener legt dit vast in een cliënt- of patiëntendossier. Als de gemeente besluit het contract met de zorginstelling waar de zorgverlener werkt niet te verlengen, dan hoort de zorginstelling volgens deze overeenkomst alle persoonsgegevens te retourneren aan de gemeente. Dus ook van de zeer privacy gevoelige gesprekken, voortgang over uw persoonlijk traject, informatie over uw gezondheid, uw persoonlijke relaties, etc.
Bewerker mag niet zonder toestemming andere bewerkers inzetten
De zorginstelling mag volgens deze paragraaf niet zonder voorafgaande schriftelijke toestemming van de gemeente andere bewerkers inzetten. Deze bewerkers worden sub-bewerkers genoemd.
Terug naar de bron: een bewerker handelt in opdracht van de verantwoordelijke. Zorgverleners leggen hun gegevens vast in een patiënten- of cliëntendossier. De softwareleverancier van zo’n digitaal dossier is in deze situatie een bewerker van de zorgverlener (ervan uitgaande dat de softwareleverancier tenminste toegang heeft tot de software voor helpdesk ondersteuning en/of uitvoeren van updates). Deze voorwaarde houdt in dat de gemeente toestemming aan de zorginstelling moet geven op de keuze en het gebruik van een digitaal dossier. Ik zie het al helemaal voor me, dat de gemeente gaat bepalen welk softwarepakket en welk hosting bedrijf geschikt is voor een zorginstelling!
Toestemming voor inzage in medische dossiers
Er is ook nog het verbod op het verwerken van gegevens over de gezondheid. Dit betekent dat een gemeente geen inzagerecht heeft op een medisch dossier van een cliënt. In de wandelgangen wordt door gemeentes vaak benoemd, dat als de cliënt toestemming geeft dit wel mag. Ook daar heb ik vraagtekens bij. De toestemming moet uitdrukkelijk zijn en mag geen nadelige gevolgen hebben als de persoon in kwestie geen toestemming verleent. Als een persoon bijvoorbeeld NEE zegt, hoe gaat de gemeente om met het verlengen van een indicatie? Welke gegevens heeft een gemeente eigenlijk nodig om een indicatie af te geven? Is dat op basis van het advies van een professional (de zorgverlener) of is de gemeente nu ook gespecialiseerd in het stellen van diagnoses over de gezondheid en het verlenen van de daarbij passende (medische) zorg? Ik weet het niet…
Weg ermee!
Mijn conclusie is dus dat de bewerkersovereenkomsten tussen zorginstellingen en gemeentes onterecht en onjuist zijn. De zorginstelling is verantwoordelijk voor het verlenen van de juiste zorg en de gemeente ziet toe dat de financiering van de zorg correct besteed wordt. De huidige bewerkersovereenkomsten zijn in mijn ogen goedbedoelde paniekreacties als gevolg van bangmakerij. Dit soort acties zorgt er juist voor dat de privacywetgeving zijn doel voorbijschiet en er weerstand ontstaat. Het is absoluut niet verkeerd om als verantwoordelijke partijen met elkaar in gesprek te gaan en aanvullende afspraken over het verwerken van persoonsgegevens te maken. Het risico van de huidige bewerkersovereenkomsten is beperkt, zolang er sprake is van een goed huwelijk. Ik adviseer echter wel hier actie op te ondernemen, voorkomen is nog altijd beter dan genezen.
Saskia Kuijer is eigenaar van app’SASsist. Ze ondersteunt organisaties in het beter benutten van hun software en helpt hen op een praktische manier aan de eisen van de Europese Privacywetgeving te voldoen.
Marc zegt
Ik kan me helemaal vinden in de conclusie dat gemeenten en zorginstellingen beide Verantwoordelijken zijn (voor hun eigen verwerkingen met eigen doelbinding). Advies is dus om duidelijk inzicht te hebben welke verwerkingen er door uw organisatie op persoonsgegevens worden uitgevoerd, wie daar Verantwoordelijke voor is en wie die verwerking uitvoert. En dit staat toevallig precies is het verplichte verwerkingsregister. Op basis daarvan weet u met welke partijen u een verwerkersovereenkomst moet hebben. Zonder dit inzicht krijg je paniekvoetbal met als gevolg onnodige verwerkersovereenkomsten.