Vergroot contrast

AP eist betere afspraken over digitaliseren patiëntdossiers

Persbericht/17 mei 2016
Categorie:

De Autoriteit Persoonsgegevens (AP) heeft geconstateerd dat drie ziekenhuizen geen goede afspraken hadden gemaakt met een bedrijf dat namens het ziekenhuis patiëntgegevens verwerkte. Dit is in strijd met de Wet bescherming persoonsgegevens (Wbp). De toezichthouder heeft de ziekenhuizen een korte termijn gesteld om alsnog een bewerkersovereenkomst te sluiten die voldoet aan de wettelijke vereisten. De AP zal dit hierna controleren.

Begin dit jaar kwam in het nieuws dat het Belgische scanbedrijf iGuana in opdracht van ziekenhuizen medische dossiers in een gevangenis scanklaar liet maken, bijvoorbeeld door nietjes te verwijderen. De Autoriteit Persoonsgegevens deed daarop navraag bij enkele ziekenhuizen om vast te stellen of deze ziekenhuizen een bewerkersovereenkomst met het scanbedrijf hadden afgesloten die aan de wettelijke eisen voldoet.

De AP stelde vast dat één ziekenhuis geen bewerkersovereenkomst met het scanbedrijf had gesloten. Twee andere ziekenhuizen hadden wel bewerkersovereenkomsten gesloten, maar deze voldeden niet aan alle wettelijke eisen. Zo ontbraken er details over de duur van de opslag en de beveiliging van de gegevens of was er niet expliciet een plicht tot geheimhouding opgenomen.

Uitbesteden medische gegevens

Een ziekenhuis mag de verwerking van medische gegevens, bijvoorbeeld het inscannen van medische dossiers, uitbesteden aan een andere organisatie. Het ziekenhuis (de verantwoordelijke) moet volgens de Wbp in dat geval een bewerkersoverkomst sluiten met de organisatie (de bewerker) die de dienst levert.

Eisen bewerkersovereenkomst

Een bewerkersovereenkomst moet aan een aantal minimumeisen voldoen:

  • De overeenkomst moet specifiek gaan over de gegevensverwerking door de bewerker.
  • De verplichtingen moeten over en weer duidelijk zijn vastgelegd in de overeenkomst. Het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en beveiligingsmaatregelen moeten er bijvoorbeeld gedetailleerd in zijn opgenomen.
  • In de overeenkomst moet staan hoe de verantwoordelijke kan toezien op de naleving van de waarborgen.
  • De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel.
  • Als er sprake is van subbewerkerschap, moeten ook daarover bepalingen in de overeenkomst worden opgenomen.