Home / Nieuws & Blogs / Standaard verwerkersovereenkomsten #1: Brancheorganisaties Zorg (BoZ)

Standaard verwerkersovereenkomsten #1: Brancheorganisaties Zorg (BoZ)

| 3 februari 2021

De verwerkersovereenkomst is voor organisaties vaak meer een noodzakelijke administratieve drempel, dan een moment om eens goed na te denken over een veilige omgang met persoonsgegevens. Zeker wanneer de verwerking van persoonsgegevens grote overlap kent voor elke klant of leverancier, is het noodzakelijk om een goede standaardversie daarvan te hanteren. Veel brancheorganisaties bieden daarom een template aan, die hun leden kunnen gebruiken. In deze editie van de serie “Standaard verwerkersovereenkomsten”, de verwerkersovereenkomst van de Brancheorganisaties Zorg (BoZ), die in de zorg vrijwel altijd wordt gehanteerd.

Voor wie is deze standaard?

In de Brancheorganisaties Zorg zijn een aantal kleinere brancheverenigingen uit de medische sector verenigd, zoals de Nederlandse Vereniging van Ziekenhuizen, GGZ Nederland en Actiz (de organisatie van zorgondernemers). Daaronder vallen vrijwel alle zorgaanbieders in Nederland. De BoZ-verwerkersovereenkomst is dan ook opgesteld als standaard voor de gehele zorgsector. Vanwege de grote herkenbaarheid in de sector is het voor leveranciers in de zorg, wanneer deze persoonsgegevens verwerken, raadzaam om goed bekend te zijn met deze standaard. Veel zorgaanbieders stellen het gebruik van deze standaard immers als harde eis. De enige manier om daar dan nog eigen inbreng in te hebben, is door een goede onderbouwing waarom er op bepaalde punten dient te worden afgeweken.

Wat kenmerkt deze verwerkersovereenkomst?

Aangezien er in de zorgsector vaak (al dan niet grootschalig) medische, dus bijzondere, persoonsgegevens worden verwerkt, is het van groot belang dat er met derde partijen heldere afspraken worden gemaakt. In deze standaard zien we de grote risico’s van de verwerking van medische persoonsgegevens op verschillende plaatsen terug.

Allereerst mag het verwerken van persoonsgegevens onder de verwerkersovereenkomst nooit in strijd zijn met bestaande gezondheidswetgeving. Die wetgeving kan aanvullend op privacywetgeving werken, zoals bij de invulling van het inzagerecht voor patiënten. Gezondheidswetgeving kan echter ook verplichtingen meebrengen die een beperking vormen voor privacyrechten. In die gevallen gaat de speciale wet veelal boven de (algemene) privacywet. In voorkomende gevallen zal er een afweging moeten plaatsvinden tussen het privacybelang en de andere belangen, zoals onder de AVG vaker het geval is.

Ook worden de belangrijkste kwaliteitsnormen die in de zorg van toepassing zijn (ISO27001/NEN7510, 7512 en 7513) bij naam genoemd. Van verwerkers wordt geëist dat aantoonbaar aan deze normen wordt voldaan. De beveiligingseisen worden in de hoofdtekst van deze standaard ook meer gedetailleerd beschreven dan je in veel verwerkersovereenkomsten ziet (vaak wordt alleen in een bijlage een beschrijving van de maatregelen gegeven).

Tot slot wordt er in de verwerkersovereenkomst aandacht besteed aan continuïteit, een onderwerp wat in veel verwerkersovereenkomsten niet expliciet wordt behandeld. Met de zin ‘Gelet op de grote afhankelijkheid van verwerkingsverantwoordelijke van verwerker’, wordt alvast vooruitgelopen op enkele afspraken die ervoor kunnen zorgen dat de zorgverlening niet in gevaar komt wanneer een leverancier plots zijn taken niet meer kan vervullen. Ook dient de verwerker al te beschikken over een exit-plan voor wanneer de verwerkersovereenkomst beëindigd wordt.

Geen bijzaak: de bijlagen

Om te zorgen dat de hoofdtekst van de verwerkersovereenkomst zoveel mogelijk intact kan blijven, wordt in standaardversies vaak gewerkt met bijlagen. Daarin dienen alle bijzonderheden van de verwerking te worden ingevuld, zoals de te verwerken persoonsgegevens, de beveiligingsmaatregelen, eventuele subverwerkers en de tarieven.

Voor de verwerker ligt daar een mooie kans om de bijlagen, in de vorm van een eigen standaard, alvast compleet in te vullen. Niet alleen weet een verwerker doorgaans het beste welke gegevens in haar systeem worden opgenomen, ook kunnen hier de specifieke beveiligingsmaatregelen alvast zwart op wit worden gezet. Volgens het principe ‘wie schrijft die blijft’ kan dit de kans vergroten dat de afspraken daarmee zoveel mogelijk in lijn zijn met de praktijksituatie bij de verwerker. Wanneer de wederpartij deze bijlage invult, is de kans groot dat er nieuwe eisen in staan waaruit een lastige onderhandeling kan voortkomen. Uiteindelijk dient de verwerker natuurlijk gewoon passende maatregelen te nemen om de persoonsgegevens veilig te houden.

De BoZ-standaard bevat tot slot een bijlage waarin eventuele aanpassingen op de hoofdtekst kunnen worden opgenomen. Hoewel de verwerkersovereenkomst als standaard geldt, is het in veel gevallen toch wenselijk om op bepaalde punten af te wijken. Om te zorgen dat de wijzigingen direct vindbaar zijn, en niet verstopt zijn in de hoofdtekst, is het handig om deze in een aparte bijlage op te nemen.

Tips om verder nog af te spreken

Zoals de toelichting bij de BoZ-standaard al beschrijft, zijn over onderwerpen als aansprakelijkheid, duur van de overeenkomst, beëindiging en intellectueel eigendom bewust slechts beperkte afspraken opgenomen. Deze onderwerpen zijn vaak meer commercieel van aard. Wat partijen hierover willen afspreken, hangt onder andere af van de wederzijdse afhankelijkheid en de risico’s die partijen bereid zijn te lopen onder de overeenkomst. Vaak zijn dit soort onderwerpen natuurlijk al onderdeel van de mantel- of hoofdovereenkomst.

Opleiding allround privacy jurist business professional


Deze blog is de eerste editie van de serie “Standaard verwerkersovereenkomsten”. Hierin behandelen wij een gangbare standaardversie van de verplichte verwerkersovereenkomst. In de edities hierna komen onder andere de verwerkersovereenkomsten van het Privacyconvenant 3.0, van de VNG en van NLdigital aan bod.