Als antwoord op uiteenlopende standaardtypen verwerkersovereenkomsten heeft de Brancheorganisaties Zorg (BoZ) in 2017 voor de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) een modelverwerkersovereenkomst opgesteld. Hoewel dit model echt de standaard werd voor de zorg, klonk er ook kritiek: te streng voor ‘gewone’ persoonsgegevens, onderwerpen die er niet in thuis horen en veel discussie over aansprakelijkheid. De BoZ is aan de slag gegaan met deze feedback en publiceerde op 28 februari 2023 het nieuwe model dat eind 2022 is vernieuwd. In dit blog behandelen wij het proces van aanpassing en de grootste veranderingen.
De BoZ verwerkersovereenkomst
In onze eerdere blogreeks over “standaard verwerkersovereenkomsten” kwam de BoZ-verwerkersovereenkomst al aan bod. Deze is opgesteld als standaard voor de gehele zorgsector. Veel zorgaanbieders stellen het gebruik van deze standaard als harde eis. Om als leverancier nog eigen inbreng in te hebben, is een goede onderbouwing nodig.
In de BoZ standaard zien we de risico’s voor de verwerking van medische persoonsgegevens (bijzondere persoonsgegevens) op verschillende plaatsen terug. Diverse afspraken beschermen de zorgverlener als een leverancier zijn taken niet vervult. Denk aan strenge beveiligingseisen, uitgebreide meld- en ondersteuningsplichten en een veelomvattende vrijwaring.
Proces van aanpassing en de grootste veranderingen
De BoZ heeft de ervaringen met de verwerkersovereenkomst uit 2017 geïnventariseerd om zo tot een verbeterde versie te komen. In de vernieuwde versie zijn teksten vereenvoudigd en overbodige definities, artikelen en bepalingen verwijderd. Hieronder bespreken wij een aantal wijzigingen.
Artikel 4 Beveiliging persoonsgegevens en controle
De vernieuwde versie van de BoZ verwerkersovereenkomst kent twee versies van artikel 4. Eén als het om medische persoonsgegevens gaat die door de verwerker worden verwerkt en één als de persoonsgegevens niet medisch zijn.
De reden hiervoor is dat medische gegevens een hoger beveiligingsniveau vereisen. De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat het voldoen aan de ISO27001-norm zorgt voor passende beveiliging. Wanneer sprake is van medische gegevens dient ook aan de NEN7510 te worden voldaan en wanneer van toepassing ook de NEN7512 en NEN7513.
Een vereiste uit de AVG is dat verwerkers moeten kunnen aantonen dat zij voldoende beveiligingsmaatregelen hebben getroffen. De verwerker kan dit via de nieuwe BoZ aantonen door een certificaat van de ISO27001 en de NEN7510 in Bijlage 2 toe te voegen. Wanneer er geen certificaat aanwezig is kan een Third Party Memorandum (TPM) worden toegevoegd. Een TPM is een verklaring van een onafhankelijke derde partij die kan beoordelen of in overeenstemming wordt gewerkt met de ISO- en NEN-normen.
Artikel 7 Inschakeling subverwerkers
De voorafgaande schriftelijke toestemming voor iedere nieuwe subverwerker is vervangen door een meldingsplicht van de verwerker aan de verwerkersverantwoordelijke en de mogelijkheid daar als verwerkingsverantwoordelijke bezwaar tegen te maken.
Wanneer de verwerkingsverantwoordelijke bezwaar heeft tegen het inschakelen van een nieuwe subverwerker, dan kunnen partijen in eerste instantie met elkaar in overleg treden over hoe het bezwaar kan worden weggenomen. Let op! Bij verwerkingen buiten de EER is toestemming van de verwerkingsverantwoordelijke wel vereist, ook voor niet-Europese subverwerkers.
Aansprakelijkheid
In de vernieuwde versie van de BoZ verwerkersovereenkomst is het oude artikel 8 over aansprakelijkheid geschrapt. Het oude aansprakelijkheidsartikel was specifiek gericht op de privacyrisico’s van de gegevensverwerking. Over het algemeen hebben aansprakelijkheidsbepalingen en beperkingen in hoofdovereenkomsten enkel betrekking op de contractwaarde. Wanneer de contractwaarde laag is staat dit, volgens menig verwerkingsverantwoordelijke, niet in verhouding tot de privacyrisico’s van de gegevensverwerking. Anderzijds is een onbeperkte aansprakelijkheid en vrijwaring voor de verwerker qua bedrijfsrisico niet acceptabel en vaak ook niet verzekerbaar.
Nu dit artikel is geschrapt, is het aan te raden om in de hoofdovereenkomst duidelijk op te nemen dat de aansprakelijkheidsregeling ook betrekking heeft op de verwerking van persoonsgegevens.
Intellectueel eigendomsrechten
Dit oude artikel ging over persoonsgegevens waar ook een intellectueel eigendomsrecht op rust. Omdat dit artikel slechts een beperkte afspraak omvatte en intellectueel eigendom vaak al onderdeel is van de hoofdovereenkomst, is dit artikel geschrapt.
De bijlagen
Tot slot enkele noemenswaardige punten over de bijlagen.- Bijlage 1 is uitgebreid met een lijst voor de subverwerkers.
- In Bijlage 2 is verduidelijkt hoe de verwerker kan aantonen dat deze passende beveiliging biedt.
- Bij Bijlage 3 kan nu de contactinformatie worden opgenomen van de relevante contactpersoon, bijvoorbeeld de Functionaris Gegevensbescherming.
- Bijlage 4 is geheel verwijderd, omdat de BoZ een zo uniform mogelijke standaard wil. Indien partijen toch wijzigingen afspreken, kunnen zij deze alsnog zelf als bijlage aan de verwerkersovereenkomst toevoegen.
Conclusie
Naar onze mening is de vernieuwde versie een mooie verbetering. Deze versie is beknopter en laat onnodige onderwerpen voor de hoofdovereenkomst. Het onderscheid tussen het verwerken van niet-medische en medische gegevens is een goede aanvulling. Dit zorgt voor een betere aansluiting op de praktijk.
De nieuwe verwerkersovereenkomst, inclusief de toelichting, is hier terug te vinden.
