Meerdere ziekenhuizen blijken hun privacy-inrichting niet in overeenstemming te hebben met de Wet bescherming persoonsgegevens (Wbp). In ieder geval bij drie ziekenhuizen heeft de Autoriteit Persoonsgegevens geconstateerd dat deze ziekenhuizen geen bewerkersovereenkomst hebben afgesloten met bedrijven die namens het ziekenhuis patiëntgegevens verwerken. Heeft uw zorgorganisatie al een bewerkersovereenkomst afgesloten?
Privacy van medische persoonsgegevens moet extra goed beschermd worden
Een ziekenhuis verzamelt gevoelige persoonsgegevens van patiënten. Dit betreft onder andere het digitale patiëntendossier dat wordt bijgehouden van patiënten die een ziekenhuis bezoeken. Aan het verwerken van medische persoonsgegevens worden strenge eisen gesteld, omdat medische gegevens gevoelige gegevens zijn. Het is dan ook van belang om de privacy van de patiënten maximaal te waarborgen. Dit geldt overigens niet alleen voor ziekenhuizen, maar voor alle instellingen die medische persoonsgegevens verwerken, zoals zorginstellingen.
Een ziekenhuis is verantwoordelijk voor de verwerking van de patiëntgegevens. Het ziekenhuis moet meestal ook voldoen aan regels voor beveiliging en privacy om te zorgen dat deze patiëntgegevens ook veilig en conform wetgeving worden verwerkt. Vaak wordt gebruik gemaakt van een derde partij die voor het ziekenhuis de patiëntgegevens verwerkt, zoals de leverancier van IT-applicaties. Als er bijvoorbeeld in een applicatie gegevens van patiënten worden opgeslagen door het ziekenhuis, dan is een dergelijke leverancier van de applicatie een bewerker van de patiëntgegevens voor het ziekenhuis.
Hoe kan een ziekenhuis of instelling die medische persoonsgegevens verwerkt de privacy waarborgen?
Het is toegestaan voor ziekenhuizen om gebruik te maken van bewerkers. Het is echter wel van belang dat de privacy van de patiënt altijd gewaarborgd blijft als een deel van de gegevensverwerking door derden wordt uitgevoerd. Op grond van de Wbp is een ziekenhuis daarom verplicht een bewerkersovereenkomst af te sluiten met alle bewerkers waarvan gebruik wordt gemaakt.
In de bewerkersovereenkomst moeten in ieder geval afspraken worden gemaakt over:
- welke gegevens worden verzameld, met welk doel de gegevens worden verwerkt en de duur van de opslag van de persoonsgegevens;
- beveiligingsmaatregelen, bijvoorbeeld door een verplichting op te nemen dat de bewerker voldoet aan relevante ISO en NEN-normen;
- hoe de verantwoordelijke controle kan uitvoeren op de naleving van de bewerkersovereenkomst;
- een geheimhoudingsplicht voor de bewerker en zijn personeel;
- eventuele afspraken over het inzetten van sub-bewerkers;
- de meldplicht bij datalekken.
De Autoriteit Persoonsgegevens heeft ziekenhuizen nog een korte termijn gegeven om een bewerkersovereenkomst af te sluiten met zijn bewerkers. Het is van belang dat ziekenhuizen snel actie ondernemen om dit ook daadwerkelijk te doen. Niet alleen kan de Autoriteit Persoonsgegevens hoge boetes opleggen voor het schenden van de Wbp, het is ook goed voor de reputatie van ziekenhuizen om te laten zien dat zij compliant zijn met de wet- en regelgeving.
Dit artikel is geschreven in samenwerking met Jasper Jansbeken.
Training ICT en gezondheidsrecht
