AVG in de zorg

Verwerkingsovereenkomst vs. Data-uitwisselingsovereenkomst

Op 21 mei 2018 stond de zorgwereld in Nederland op zijn kop. De Algemene Verordening Gegevensbescherming (AVG) werd van kracht. De Autoriteit Persoonsgegevens voorspelde strenge controles en hoge boetes voor iedereen die hier niet aan zou voldoen. Wat is er sinds de invoering van de AVG gebeurd? En hoe regel je als zorginstelling dat je voldoet aan alle regels?

Onrust rondom de AVG

Iedere zorgverlener verwerkt cliëntgegevens. In de afgelopen jaren zijn de meeste zorginstellingen overgestapt naar het elektronische cliëntendossier (ECD) met behulp van softwareleveranciers. De papieren dossiers zijn daarmee de deur uitgegaan.

Toen de AVG werd ingevoerd, veroorzaakte dit onrust bij zorginstellingen. De meeste hadden niet vastgelegd hoe ze de cliëntgegevens digitaal opslaan en verwerken, en met wie ze deze gegevens delen.

Veel zorgorganisaties begonnen met het opstellen van verwerkingsovereenkomsten. Erwaren namelijk geen duidelijke afspraken op papier gezet met de softwareleveranciers over de verwerking van cliëntgegevens. Dit liep uit tot onderhandelingen over de kleinste details in elke verwerkingsovereenkomst, waarbij met iedere partij weer opnieuw moest worden onderhandeld.

Verwerkingsovereenkomst vs. data-uitwisselingsovereenkomst

Veel zorginstellingen tillen zwaar aan een verwerkingsovereenkomst zodra ze vermoeden dat er cliëntgegevens in het spel zijn. Terwijl dit in veel gevallen niet noodzakelijk is en er zo veel tijd bespaard kan worden.

Alleen als je als verwerkingsverantwoordelijke de gegevens doorgeeft aan een derde partij, de verwerker, die deze gegevens opslaat of er iets mee doet, moet je hier iets over op papier zetten in de vorm van een verwerkingsovereenkomst.

Om de uitwisseling van gegevens tussen andere partijen die geen verwerker zijn te stroomlijnen, zijn er minder afspraken nodig. Je kunt dit prima afdichten met een data-uitwisselingsovereenkomst. Hier zijn geen aansprakelijkheidsclausules of boeteclausules in opgenomen. Beide partijen erkennen alleen dat ze zich bewust zijn van de wetgeving. Dat scheelt ontzettend veel onderhandelingstijd.

In een data-uitwisselingsovereenkomst erken je alleen dat er data heen en weer gaat, waarbij beide partijen hun eigen verantwoordelijkheid hebben en zich aan de wet houden. In een verwerkingsovereenkomst leg je vast op welke manier een andere partij omgaat met de persoonsgegevens die jij hebt verzameld. Je legt bijvoorbeeld vast hoe de gegevens beveiligd worden, dat de bewerker de gegevens geheim houdt en voor welke doeleinden de persoonsgegevens worden verwerkt.

Stroomlijnen van het proces

Bij het afsluiten van een nieuw contract met een andere partij moet je weten of je een verwerkingsovereenkomst nodig hebt of dat een data-uitwisselingsovereenkomst voldoende is.

De beslisboom

Om overzicht te creëren, kun je gebruikmaken van een beslisboom. Een voorbeeld van zo’n beslisboom ziet er als volgt uit:

  1. Worden er (vertrouwelijke) gegevens uitgewisseld?
  2. Verwerkt de andere partij die gegevens in opdracht van jouw zorginstelling? (Opslaan is in dit geval ook een manier van verwerken).
  3. Zijn de persoonsgegevens niet geanonimiseerd?
  4. Is de andere partij geen ketenpartner? (Elke ketenpartner, zoals huisarts, apotheek of diëtist is zelf verwerkingsverantwoordelijke).
  5. Heb je te maken met een onderzoek dat in opdracht van jouw zorginstelling wordt uitgevoerd of waar je instelling aan meewerkt?

Als je de eerste vraag met ‘nee’ kunt beantwoorden, is er waarschijnlijk geen verwerkingsovereenkomst nodig. Is het antwoord ‘ja’, dan ga je door naar de tweede vraag en doorloop je op die manier de hele beslisboom. Wanneer je alle vragen met ‘nee’ kunt beantwoorden, is er zeer waarschijnlijk geen verwerkingsovereenkomst nodig. Uiteraard zijn er uitzonderingen op de regel.

Voorbeelden van veelvoorkomende situaties

Om wat meer duidelijkheid te geven, staan hieronder enkele voorbeelden van veelvoorkomende situaties. Houd er rekening mee dat dit eenvoudige situaties zijn, waarbij geen derde partij betrokken is.

  • Een zorggroep heeft een contract met de huisartsenpost. Hier is geen verwerkingsovereenkomst nodig. De huisartsenpost is zelf verwerkingsverantwoordelijke.
  • Een zorgverzekeraar heeft een contract met een zorgverlener. Hier is sprake van declaratieverkeer. Dit valt onder de zorgverzekeringswet. Er is dus geen verwerkingsovereenkomst nodig.
  • Een regionaal datacentrum slaat voor jouw organisatie cliëntgegevens op. Dit datacentrum heeft direct toegang tot de data, maar geen directe verantwoordelijkheid naar de cliënt. Hier is wel een verwerkingsovereenkomst nodig.
  • Als een softwareleverancier voor jouw organisatie cliëntgegevens in de cloud opslaat, is er altijd een verwerkingsovereenkomst nodig. Draait de software binnen de eigen ICT omgeving, dan is er geen verwerkingsovereenkomst nodig, mits de leverancier geen toegang heeft op de omgeving.
  • Data-uitwisseling met overheidsinstellingen valt onder een andere wetgeving. Hierbij is dus geen verwerkingsovereenkomst nodig. Laat dit wel altijd toetsen.

Hulp nodig?

Zoals deze voorbeelden laten zien, zijn er altijd uitzonderingen. Bij twijfel is het verstandig om advies in te winnen bij iemand die er meer verstand van heeft. Buro ZP begeleidt dit proces. We adviseren je graag over hoe je iemand kan vinden die het takenpakket van een data privacy officer op zich kan nemen. Ook helpen we je bij het inrichten van het proces. We denken mee bij het maken van standaardovereenkomsten voor nieuwe leveranciers om rust binnen de organisatie te creëren en helpen bij het implementeren van een beslisboom. Zo heb je alle benodigde kennis van de AVG in huis.