BESLISSCHEMA VERWERKERSOVEREENKOMST (gebaseerd op de “Beslisboom Verwerkersovereenkomst” van InEen)
BESLISSCHEMA VERWERKERSOVEREENKOMST
(gebaseerd op de “Beslisboom Verwerkersovereenkomst” van XxXxx)
Vooraf:
Uit het beslisschema blijkt wanneer u wel en wanneer u geen verwerkersovereenkomst hoeft af te sluiten. Wanneer geen verwerkersovereenkomst nodig is maar wel persoonsgegevens worden verwerkt, dan moet een veilige omgang met patiëntgegevens in andere afspraken zijn opgenomen. Die afspraken (overeenkomsten) worden ook in de beslisboom en de toelichtingen vermeld. Een aantal van de gebruikte termen verdienen hierbij een nadere toelichting:
– Persoonsgegevens. Dit gaat over gegevens die herleidbaar zijn tot individuele personen. Dit zijn natuurlijk patiëntgegevens, maar bijvoorbeeld ook personeelsgegevens.
– Verwerking van persoonsgegevens. Verwerken omvat alle activiteiten op het gebied van het beheren en gebruiken van persoonsgegevens, U moet denken aan activiteiten zoals: vastleggen, verzamelen, ordenen, opslaan, verstrekken, structureren, afschermen etc.
– Verwerker. De partij die, in opdracht van een verantwoordelijke, persoonsgegevens verwerkt. De verantwoordelijke bepaalt het doel en de middelen van de verwerking.
– Ketenpartner. Andere zorgorganisatie of zorgverlener die zorg verleent in samenhang met de zorg die de u zelf verleent en waarbij sprake is van een zekere mate van continuïteit van activiteiten. Ketenpartners hebben hun eigen verantwoordelijkheid voor door hen geleverde zorg.
– Gegevensuitwisseling. (Herleidbare) persoonsgegevens kunnen worden uitgewisseld met ketenpartners of medewerkers in relatie tot de behandeling van een patiënt, voor de eigen bedrijfsvoering, maar ook voor andere doeleinden zoals onderzoek.
1. Is er sprake van persoonsgegevens?
nee
ja
Deze partij wordt niet gezien als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie ook toelichting I
START
U overweegt om een overeenkomst te sluiten of afspraken te maken met een partij.
2. Zijn het geanonimiseerde persoonsgegevens?
ja
nee
Deze partij wordt niet gezien als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie ook toelichting I
3. Gaat het om uitwisseling van gegevens met
ketenpartners?
ja
nee
4. Levert u gegevens ten behoeve van
wetenschappelijk onderzoek?
ja
4a. Wordt het onderzoek in uw opdracht uitgevoerd?
ja
nee
5. Worden verwerkingsactiviteiten
uitgevoerd door mensen die onder uw verantwoording werken?
ja
nee
nee
6. Betreft het een eenmalige dienst/actie door een externe
partij?
ja
nee
EINDE
In het licht van de AVG geldt deze partij als verwerker, namelijk een partij die in opdracht van u als verantwoordelijke persoonsgegevens verwerkt. U dient een verwerkersovereenkomst af te sluiten. U kunt hiervoor de Voorbeeld verwerkersovereenkomst gebruiken.
Verwerkersovereenkomst ontvangen? Controleer deze met behulp van de Checklist verwerkersovereenkomst.
Deze partij wordt niet gezien als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie ook toelichting V
Deze partij wordt niet gezien als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie ook toelichting IV
Deze partij wordt niet gezien als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie ook toelichting III
Deze partij wordt niet gezien als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie ook toelichting II
2/4
Uit het schema blijkt dat voor de volgende partijen een verwerkersovereenkomst nodig is:
– De beheerder van het systeem waarin u patiëntdossier heeft opgeslagen, zoals de leverancier van het HIS. De leverancier heeft dan toegang tot patiëntgegevens en geldt zodoende als verwerker.
– Het administratiekantoor dat de salarisadministratie voor u verzorgt en hiertoe gegevens van werknemers moet verwerken.
– Dienstverleners die uw declaratie verzorgen en hiertoe gegevens van patiënten verwerken.
– Dienstverleners die rapportages maken en hiervoor toegang hebben tot de gegevens van patiënten of medewerkers.
– De beheerder van de telefonieomgeving, waarin gesprekken kunnen worden opgenomen.
TOELICHTING I: PERSOONSGEGEVENS
Persoonsgegevens zijn gegevens die herleidbaar zijn tot een individu. In elk geval zijn dat gegevens zoals namen, adressen, telefoonnummers. Maar ook als u een bestand heeft waaruit dit soort gegevens zijn gewist, kan er nog steeds sprake zijn van ‘persoonsgegevens’.
Een voorbeeld: u heeft een lijst patiënten met gegevens over bezoek en roken. U verwijdert voornaam, achternaam, adres, het e-mailadres uit de lijst en houdt alleen over: 1. hoe vaak elke patiënt in de laatste maand bij u op het spreekuur is geweest en 2. Of de patiënt wel of niet rookt. Het zal niet moeilijk zijn om een deel van de patiënten uit deze gegevens toch te kunnen identificeren, voor iemand die de patiënt kent. De gegevens worden hierom beschouwd als persoonsgegevens.
DOEN: Kritisch zijn op anonimiseren. Het is erg moeilijk om bestanden zover uit te kleden dat ze echt niet meer tot de personen herleid kunnen worden.
TOELICHTING II: KETENPARTNERS
Ketenpartners, zoals ziekenhuizen, andere huisartsen etc. zijn geen ‘verwerkers’. Deze partijen zijn, net als u, verwerkingsverantwoordelijken. Dat betekent dat u geen verwerkersovereenkomst hoeft af te sluiten met deze partijen.
DOEN: U moet weten met welke partijen u wel of niet persoonsgegevens mag uitwisselen. U moet ook zorgen dat uw medewerkers, huisartsen in opleiding etc. weten aan welke partijen ze welke informatie mogen geven. Dit kan bijvoorbeeld in een gedragscode opgetekend worden.
TOELICHTING III: ONDERZOEK EN ANALYSES
U geeft opdracht aan een partij om een analyse uit te voeren op uw bestanden met persoonsgegevens of om een onderzoek uit te voeren. In dat geval geldt deze partij als verwerker, waarmee u een verwerkersovereenkomst moet afsluiten. Het onderscheidend criterium is dat de partij die u heeft ingehuurd, geen eigen doel heeft met de analyse of het onderzoek.
Echter als deze partij onder eigen verantwoordelijkheid onderzoek uitvoert (bijvoorbeeld een farmaceutisch bedrijf of universiteit), dan geldt deze partij niet als verwerker. U hoeft geen verwerkersovereenkomst te sluiten met deze partij.
DOEN: Wanneer het gaat om onderzoek moet u expliciet toestemming hebben van betrokkenen. Deze toestemming moet zijn vastgelegd. U moet de betrokkene gelegenheid geven om toestemming in te trekken. Wanneer het gaat om analyses ter ondersteuning van kwaliteitsbeleid of bedrijfsvoering is toestemming niet nodig.
TOELICHTING IV: MEDEWERKERS
U geldt als ‘verwerkingsverantwoordelijke’ en uw medewerkers, al dan niet in vaste dienst, vallen onder uw verantwoordelijkheid en zijn geen verwerkers. Ook ZZP’ers en tijdelijke krachten die op detacheringsbasis bij u werken, zijn geen verwerkers. Een uitzondering hierop kan zijn wanneer u een ZZP’er inhuurt die zelf bepaalt hoe hij/zij voor u een bepaalde opdracht uitvoert. In dat geval lijkt de ZZP’er op een bedrijf.
DOEN: U moet zorgen dat u voldoende heeft gedaan om ervoor te zorgen dat deze mensen betrouwbaar zijn (bijvoorbeeld door middel van screening), de regels kennen, een geheimhoudingsverklaring hebben getekend etc. Ook moet u regelmatig controleren of iedereen zich houdt aan de regels.
TOELICHTING V: DIENSTVERLENERS
De termen ‘verwerker’ en ‘verwerken’ wekken de suggestie dat een verwerker actief iets doet met de persoonsgegevens. Echter ook een bedrijf dat de servers verhuurt, waarop u de bestanden met persoonsgegevens bewaart, geldt als verwerker. Met deze partij moet u een verwerkersovereenkomst sluiten. Deze partij speelt in uw opdracht een rol bij het verzamelen, vastleggen, wissen etc. van de persoonsgegevens.
Als een partij echt geen toegang kan hebben tot de persoonsgegevens en geen van de activiteiten uitvoert die zijn genoemd in de definitie van verwerken hieronder, is een verwerkersovereenkomst niet nodig. Praktische voorbeelden hiervan zijn:
– Een partij die eenmalig op uw locatie hardware komt installeren.
– Een partij die in uw opdracht software ontwikkelt en u heeft het installeren van de ontwikkelde software uitbesteed aan weer een andere partij. In dat geval geldt alleen de laatst genoemde partij als verwerker.