Functionele cookies

Wij plaatsen functionele cookies om deze website naar behoren te laten functioneren en analytische cookies waarmee wij het gebruik van de website kunnen meten. Deze cookies gebruiken geen persoonsgegevens.

Gepersonaliseerde informatie

Hiermee ontvangt u gepersonaliseerde informatie op onze website die wordt afgestemd op uw internetgedrag.

Het hoort er inmiddels bij voor veel zorgorganisaties: het regelen van een verwerkersovereenkomsten met externe partijen. Hoewel de term ‘verwerkersovereenkomst’ ondertussen aardig ingeburgerd is, valt het ons op dat we vaak dagen tot weken moeten wachten op een reactie van een leverancier of zelf een reactie af moeten dwingen met aangetekende brieven.

Het blijkt voor veel organisaties toch nog steeds een onduidelijk document. Best vreemd, aangezien het wettelijk verplicht is. Om de privacy van patiënten te waarborgen moet je verwerkersovereenkomsten afsluiten met leveranciers. Dit klinkt eenvoudig maar dat is het in de praktijk lang niet altijd. Op onze projecten bij de zorgverleners liepen wij tegen verschillende problemen aan. Lees verder en ontdek hoe wij onze problemen hebben getackeld.

Verantwoordelijke, verwerker en verwerkersovereenkomst

De zorgverlener is de verwerkingsverantwoordelijke die een zorgovereenkomst met de cliënt heeft en bepaalt welke gegevens noodzakelijk zijn om te worden bijgehouden in een zorgdossier. Een verwerker is degene die met de persoonsgegevens werkt, uitsluitend in opdracht van de verwerkingsverantwoordelijke. Een verwerkersovereenkomst is een contract tussen de verwerkingsverantwoordelijke en een verwerker, bijvoorbeeld een overkomst tussen een softwareleverancier en een ziekenhuis. In de AVG staat wat er in die overeenkomst moet worden opgenomen zoals bijvoorbeeld beveiliging, de meldplicht, geheimhouding en datalekken. De Brancheorganisaties Zorg (BoZ) heeft een modelverwerkersovereenkomst voor de hele zorgsector ontwikkeld die voldoet aan deze eisen.

Drie veel voorkomende problemen bij het sluiten van een verwerkersovereenkomst

Probleem 1. Ontbreken van kennis en ‘awareness’

Er is weinig bewustzijn binnen organisaties over het belang van privacy en de gevolgen van een verkeerde omgang met persoonsgegevens. Het bewustzijn ontbreekt vaak in alle lagen van de organisatie, en daarmee is er ook geen urgentie is voor het regelen van verwerkersovereenkomsten. Dit kan echter verkeerd uitpakken. De meeste datalekken komen door het versturen van persoonsgegevens aan een verkeerde ontvanger. Uiteindelijk zijn het dus de mensen op de werkvloer die een cruciale rol spelen in de bescherming van persoonsgegevens.

Oplossing

Bewustwording is nodig binnen alle lagen van een organisatie. Werknemers moeten weten wat privacy betekent, waarom gegevensbescherming zo belangrijk is en wat de regels zijn voor het werken met persoonsgegevens. Maak een goed communicatieplan. Daaronder valt een goede voorlichting voor het management en workshops voor de medewerkers over het belang van privacy. Ook kan je denken aan infographics, e-learnings of korte handleidingen die processen op een simpele en heldere manier omschrijven.

Wij hebben ervaren dat door de organisatie voor te lichten en vervolgens als privacy medewerker/jurist zichtbaar en vindbaar te zijn, er meer begrip ontstaat voor het belang van privacy.

Probleem 2. De basis niet op orde

Een zorginstelling heeft te maken met veel externe partijen die persoonsgegevens verwerken. Denk aan apotheken, softwarebedrijven en applicatieleveranciers. Vaak zijn contracten niet inzichtelijk, niet aanwezig of is onduidelijk of er persoonsgegevens worden verwerkt.

Het sluiten van verwerkersovereenkomsten is soms belegd bij de ICT-afdeling en niet bij de juristen in de organisatie. Vaak mist een systeem waarin contracten of verwerkers zijn vastgelegd. Het is lastig om alle gesloten contracten inzichtelijk te maken, en daarmee onduidelijk welke verwerkersovereenkomsten er missen.

Oplossing

Aan de basis van een goede omgang met persoonsgegevens staat goed contractmanagement. Neem contracten overzichtelijk op in één database. Bepaal en omschrijf duidelijk de taken en verantwoordelijkheden. Bepaal aan de hand van een beslisboom of risicoanalyse waarvoor verwerkersovereenkomsten moeten worden afgesloten. Bouw een juridische check in het inkoopproces zodat de verwerkersovereenkomst wanneer nodig al voor het ingaan van het contract wordt opgesteld en ondertekend.

Probleem 3. Relatie met leveranciers

Er heerst onbekendheid en onwetendheid bij (kleinere) leveranciers over de privacyregels. Leveranciers zien vaak de relatie tussen de verwerkersovereenkomsten en bestaande contracten niet of onvoldoende en proberen zich regelmatig te beroepen op bestaande contracten.

In de praktijk merken we dit uit de communicatie tussen de zorginstelling en externe partijen. Veel gaat via e-mail, en het duurt vaak een paar dagen tot weken voordat er een reactie komt. Ik de praktijk hebben we meegemaakt dat aangetekende brieven gericht naar de directeur noodzakelijk waren.

Grote verwerkers zijn vaak meer gewend met verwerkersovereenkomsten te werken, maar maken gebruik van hun machtspositie. Ze stellen eigen eisen en volgen niet de standaard verwerkersovereenkomst van de brancheorganisaties.

Oplossing

In een van de eerste artikelen uit de BoZ verwerkersovereenkomst (meest gehanteerde verwerkersovereenkomst in de zorg) worden definities gehanteerd die breder zijn dan, of afwijkend van hetgeen dat in de AVG staat. Dat creëert verwarring en discussie of zorgt voor het uitblijven van een reactie. Want wat ga je dan volgen? De wet of wat we afspreken? Hoe voorkom je dit? Simpel: verwijs voor definities zo veel mogelijk naar de relevante artikelen uit de AVG. Dan weten we ook allemaal wat ermee bedoeld wordt. Bespreek in deze discussie tevens waar de verwerkersovereenkomst écht voor bedoeld is. Namelijk het regelen van een zorgvuldige omgang met persoonsgegeven. Sluit desnoods aan bij de afspraken uit de hoofdovereenkomst, daar zijn immers ook ooit de prijsafspraken op gebaseerd.

Over de auteur

-

Neem contact op Priyanka Mewasingh Legal consultant
0616582798
Gerelateerde artikelen
Alle artikelen