Skip to main content
Digitaliseren van patiëntdossiers: zorg bij uitbesteding voor een goede bewerkersovereenkomst!

Digitaliseren van patiëntdossiers: zorg bij uitbesteding voor een goede bewerkersovereenkomst!

By juli 8, 2016No Comments

Patiëntdossiers worden op grote schaal gedigitaliseerd. De overgang van papieren naar digitale dossiers moet zorgvuldig verlopen om de kwaliteit en de continuïteit van de zorg te kunnen blijven waarborgen en verbeteren. De tuchtrechtspraak laat zien wat de ongewenste gevolgen kunnen zijn als gegevens niet volledig worden gescand of inhoudelijk niet overeenkomen met de informatie in het eerder gebruikte (en soms ook nog circulerende) papieren dossier.

Maar er is ook nog een ander belangrijk aspect: dat van de naleving van de geldende privacywetgeving. In een nieuwsbericht van 17 mei jl. attendeert de Autoriteit Persoonsgegevens (AP) erop dat bij uitbesteding van de digitalisering een bewerkersovereenkomst moet worden gesloten met de opdrachtnemer. Deze overeenkomst moet aan bepaalde minimumvereisten voldoen. Aanleiding voor het bericht, en voor een daaraan voorafgaand onderzoek door de AP, was de inschakeling door enkele Nederlandse ziekenhuizen van een Belgisch scanbedrijf. Dit bedrijf liet de te digitaliseren dossiers voorbewerken (verwijderen van nietjes en dergelijke) door Belgische gevangenisbewaarders. Door één van de betrokken ziekenhuizen was geen bewerkersovereenkomst met het Belgische bedrijf gesloten. De ziekenhuizen die wél voor een bewerkersovereenkomst hadden gezorgd, hadden een contract opgesteld dat niet aan alle wettelijke eisen voldeed.

Eisen Wet bescherming persoonsgegevens (Wbp)
Een ziekenhuis verzamelt, bewaart, analyseert etc. gegevens van patiënten die, in de bewoordingen van de Wbp, te duiden zijn als bijzondere persoonsgegevens. Aan het verwerken van bijzondere persoonsgegevens worden strenge eisen gesteld nu het (zeer) gevoelige gegevens betreft. Het is aan de Raad van Bestuur van de zorginstelling om oog te hebben voor de naleving van deze eisen, in het bijzonder ook in situaties waarin gegevens ter beschikking worden gesteld aan derden.

Volgens artikel 14 Wbp dient tussen het ziekenhuis, als ‘verantwoordelijke’, en degene die het ziekenhuis inschakelt voor bijvoorbeeld de digitalisering van patiëntgegevens (de ‘bewerker’) een bewerkersovereenkomst te worden gesloten. In haar recente nieuwsbericht expliciteert de AP dat deze overeenkomst specifiek moet gaan over de gegevensverwerking door de bewerker. Zij lijkt hiermee een afzonderlijk document te eisen, dus een contract dat geen onderdeel uitmaakt van de overige afspraken met de ingeschakelde partij (de opdrachtnemer). De vraag kan worden gesteld of dit gezien de relevante (Europese) wet- en regelgeving en rechtspraak terecht is. Zekerheidshalve is het echter aan te bevelen de zienswijze van de AP te volgen.

De bewerkersovereenkomst moet verder, aldus de AP, de verplichtingen over en weer van partijen op een duidelijke wijze vastleggen. Gedetailleerd geregeld moet onder meer worden op welke soort gegevens de bewerking betrekking heeft, wat de doeleinden van de verwerking zijn, voor welke duur de opslag van de gegevens geldt en welke technische en organisatorische maatregelen dienen te zijn getroffen ter beveiliging van de gegevens. In geval van subbewerkerschap zullen ook daarover bepalingen moeten worden opgenomen. In de overeenkomst dient ook te zijn neergelegd hoe de verantwoordelijke kan toezien op de naleving van deze wettelijke eisen en waarborgen. In aanvulling hierop zal op grond van de Wbp ook een geheimhoudingsplicht voor de bewerker en zijn personeel moeten zijn opgenomen en zullen eveneens goede afspraken dienen te worden gemaakt over de meldplicht bij datalekken.

Gevolgen bij niet-naleving van de eisen
De AP heeft aangekondigd bij de betrokken ziekenhuizen te gaan controleren of zij inmiddels in adequate bewerkersovereenkomsten hebben voorzien; zo nodig zal zij gebruik gaan maken van haar handhavingsinstrumentarium. Ook andere zorgaanbieders zullen echter oog moeten hebben voor een juiste implementatie van de Wbp bij, onder meer, het digitaliseren van patiëntdossiers in samenwerking met andere partijen of het op andere wijze ter beschikking stellen van persoonsgegevens aan derden. Uit een reactie van minister Schippers (VWS) op de ‘Belgische affaire’ is af te leiden dat naast de AP ook de Inspectie voor de Gezondheidszorg de vinger aan de pols houdt.

Zorg en privacy blijken steeds opnieuw vragen en discussies op te werpen. De les is hierbij ook steeds opnieuw: denk bij (beleids)beslissingen waarbij patiëntgegevens in het geding zijn aan de mogelijke juridische implicaties, zoals de noodzaak van het sluiten van een adequate bewerkersovereenkomst.

Heeft u vragen over privacyregels in de zorg? Neem dan contact op met de advocaten van team privacy of de advocaten van team zorg.

 

Privacy instellingen

Bepaal welke cookies u wilt toestaan.

U kunt deze instellingen op elk gewenst moment wijzigen. Dit kan er echter toe leiden dat sommige functies niet langer beschikbaar zijn. Raadpleeg de helpfunctie van uw browser voor informatie over het verwijderen van cookies. Voor meer informatie omtrent onze cookies, klik hier.

Onderstaand kunt u de verschillende soorten cookies in- en uitschakelen:

 

Deze website zal

  • Essentieel: onthoud uw instelling voor cookietoestemming
  • Essentieel: sessiecookies toestaan
  • Essentieel: verzamel informatie die u invoert in een nieuwsbrief met contactformulieren en andere formulieren op alle pagina's
  • Essentieel: onthoud de taalversie die je hebt geselecteerd

Deze website zal niet

  • Onthoud uw inloggegevens
  • Functionaliteit: onthoud sociale media-instellingen
  • Functionaliteit: onthoud geselecteerde regio en land
  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyses: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analytics: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analytics: verhoog de datakwaliteit van de statistische functies
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal

  • Uw instelling voor cookietoestemming onthouden

Deze website zal niet

  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen

Deze website zal niet

  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal niet

Opslaan en sluiten