Bewerkersovereenkomsten en Arbeidsovereenkomsten

Opinie

Bewerkersovereenkomsten in de zorg

Een plotselinge koorts heeft zich meester gemaakt van vele zorgverleners en -instellingen: er moeten (kennelijk) bewerkersovereenkomsten worden gesloten, en wel nu en veel! Maar wacht. Even een pas op de plaats. Vanwaar deze koorts? Is deze terecht? En is het direct noodzakelijk én effectief om hals over kop standaard bewerkersovereenkomsten naar relaties te sturen en er nooit meer naar om te kijken? Of is dat toch ook weer niet bedoeling?

Peter Kits en Marloes Dankert - 23 mei 2016

Allereerst: dat deze koorts nu heerst is nuttig. De Wet bescherming persoonsgegevens (Wbp) is sinds januari 2016 gewijzigd en voorziet nu in ronkende boeteclausules voor de Autoriteit Persoonsgegevens. De hoogste boetecategorie (tot € 820.000) komt bovendien in beeld als het gaat om het niet-naleven van de vereisten voor de verwerking van “bijzondere” persoonsgegevens, zoals medische gegevens.

In de Wbp is de plicht vervat om de relatie tussen de “verantwoordelijke” (dit is de zorgaanbieder of hulpverlener) en de bewerker (dit betreft de partij die namens de verantwoordelijke persoonsgegevens verwerkt, zoals ICT dienstverleners) vast te leggen, bijvoorbeeld in een overeenkomst. Een bewerker verwerkt gegevens dus ten behoeve van een verantwoordelijke. En wel uitsluitend op instructie van de verantwoordelijke, én onder verantwoordelijkheid van de verantwoordelijke (what’s in a name?). De verantwoordelijke moet er ook voor zorgen, en dus kunnen afdwingen, dat de ingeschakelde bewerker, net als de verantwoordelijke zelf, passende technologische en organisatorische maatregelen treft om de gegevens te beveiligen. Op de naleving van die maatregelen moet de verantwoordelijke ook nog eens toezien. Hoe kan dit anders geregeld worden dan door het één en ander vast te leggen in een overeenkomst – aha, en dat is dus die bewerkersovereenkomst. Eigenlijk… helpt de Wbp hier een handje door de bezegeling van deze bijzondere relatie verplicht te stellen.

Maar let op. Op het niet hebben van bewerkersovereenkomsten staat onder het huidige Wbp-regime an sich geen boete. De exercitie waarbij simpelweg naar iedere – mogelijke – bewerkende partij een standaardbewerkersovereenkomst wordt gestuurd – ondertekenen, opslaan en een vinkje zetten in een overzicht - hoeft daarom niet effectief te zijn om boetes van de Autoriteit Persoonsgegevens (AP) af te wenden. Prima dat de vinkjes zijn gezet, maar is er ook begrip bij de verantwoordelijke waarom de bewerkersovereenkomst is gesloten, wat de gedachte erachter is? Past de overeenkomst ook bij de voorwaarden waaronder je als verantwoordelijke de gegevens verwerkt? Ziet de verantwoordelijke er ook effectief op toe dat de bewerkersovereenkomst wordt nageleefd door de bewerker? Is er sprake van enig beheer van de bewerkersrelatie?

Dit in kaart brengen kan al genoeg uitdaging zijn als het gaat om een paar bewerkers, maar geldt te meer als het gaat om een groot aantal. En dat is nu eenmaal vaak het geval wanneer de verantwoordelijke organisatie ook omvangrijk is. De risico’s van het laten verwerken van de (medische) persoonsgegevens door bewerkers, zonder bewerkersovereenkomst en/of zonder “bewerkersbeheer” zijn dan ook navenant groter.

Wat te doen? Liever dan uit de heup te schieten door dezelfde bewerkersovereenkomst naar deze of gene partij te sturen, zonder het waarom achter deze overeenkomsten te vatten of de relaties verder te beheren – alleen de vinkjes najagen - is een echt efficiënt plan van aanpak vereist. Identificeer de gegevensstromen. Markeer de privacygevoelige. Misschien zijn ze dat allemaal, dan is actie gewenst! Identificeer de bewerkers. Definieer dat deze partijen werkelijk bewerkers zijn in de zin van de Wbp – en niet bijvoorbeeld mede-verantwoordelijken. Dan is namelijk een ander type overeenkomst op zijn plaats met de minder klinkende naam: de medeverantwoordelijke-overeenkomst. Volgende stap, vooral als het gaat om grote aantallen bewerkers: stel een aantal modellen op die passen bij de verschillende typen gegevens en bewerkers. Sluit de overeenkomsten, beheer vervolgens de relaties zoals afgesproken: voer die audits uit, controleer of enkel op instructie wordt gehandeld. Deze aanpak is ook “GDPR-proof”* of Algemene Verordening Gegevensbescherming-klaar. In 2018 treedt de AVG naar verwachting in werking die het huidige Wbp-regime zal vervangen. Ook daarin staat de plicht vervat dat de relatie tussen de verantwoordelijke en bewerker bestendigd moet worden in een overeenkomst. Zeker met het oog op de nog hogere boetes onder het AVG-regime is het belangrijk: zorg voor grip op bewerkers!

*General Data Protection Regulation, waarover later meer.


Meer weten over bewerkersovereenkomsten in de zorg?

Wilt u meer weten over bewerkersovereenkomsten in de zorg? Neem dan contact op met Peter Kits via +31 (0)88 288 7370 of met Marloes Dankert via + 31 (0)88 288 7437. We helpen u graag verder.

Vond u dit nuttig?