Enkele basisbegrippen uit privacywet AVG blijken in de zorgpraktijk vaak tot misverstanden te leiden. In de afgelopen periode kregen veel zorgaanbieders die voor andere zorgaanbieders werken de vraag om een ‘verwerkersovereenkomst’ te sluiten, terwijl zij helemaal geen verwerker zijn. Daarom in dit artikel antwoorden op vragen zoals: wanneer is iemand een verwerker? Wat te doen als verwerkersverantwoordelijken gezamenlijk verwerkingsactiviteiten ontplooien?
De verwerkingsverantwoordelijke is degene die doel van en middelen voor een verwerking van per-soonsgegevens vaststelt. De opdrachtgever voor verwerking van gegevens dus. In de zorg is het doel van de belangrijkste verwerkingsactiviteit door de wet bepaald.
De wet op de geneeskundige behandelings-overeenkomst schrijft namelijk voor dat zorgverleners een dossier moeten inrichten over de zorgverlening aan een patiënt en daarin alle gegevens dienen vast te leggen die noodzakelijk zijn voor een goede zorgverlening. Een ouderenzorginstelling, een GGZ-instelling, een huisartsenpraktijk of apotheker zijn bijvoorbeeld verwerkingsverantwoordelijken in de zorg.
Zorgverlener in juridische zin
Ook een ziekenhuis is een verwerkings-verantwoordelijke. Dat lijkt logisch, maar dat is het niet helemaal. In veel ziekenhuizen is namelijk het ziekenhuis vaak niet de zorgverlener in juridische zin. Bijvoorbeeld als specialisten niet in dienst van het ziekenhuis, maar op basis van een toelatingsovereenkomst werken. Zij zijn dan eigen ondernemer en daarmee (meestal) ook de zorg-verlener in juridische zin. Omdat zij dan zelf de behandelingsovereenkomst met de patiënt hebben, hebben zij ook de plicht om een dossier over de patiënt aan te leggen en blijven zij verantwoordelijk voor het individuele patiëntendossier.
Verwerker is opdrachtnemer
De verwerker is degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Een opdrachtnemer dus. Het gaat daarbij om een externe persoon of organisatie, zoals een administratiekantoor. Personeel dat in dienstverband werkzaam is voor een verwerkingsverantwoordelijke, geldt niet als verwerker.
De toevoeging ‘ten behoeve’ omvat veel. Bijvoorbeeld dat de verwerker geen zelfstandige bevoegdheid heeft om persoonsgegevens te verwerken. Het ‘bestaan’ van een verwerker is afhankelijk van een besluit van de verwerkings-verantwoordelijke. Die moet opdracht geven aan de verwerker voor de verwerking van persoonsgegevens.
De verwerker dient ook aanwijzingen van de verwerkingsverantwoordelijke op te volgen. De verwerkingsverantwoordelijke moet daarom zekerstellen dat hij voldoende aanwijzingsbevoegdheden heeft. Om die reden – en ook om andere verplichtingen uit de AVG na te leven – moet de verwerkingsverantwoordelijke volgens de AVG een verwerkersovereenkomst met de verwerker sluiten.
Wanneer geen verwerker?
Voorbeelden van verwerkers zijn datacentra, of bedrijven die een zorginformatiesysteem leveren. Maar hoe zit het met een dagbestedingscentrum dat in opdracht van een instelling voor verstandelijk gehandicapten aan de cliënten van die instelling levert en daarvoor ook betaald wordt? Hoewel dit dagbestedingscentrum in onderaanneming zorg verleent aan cliënten van de instelling voor
verstandelijk gehandicapten en in dit verband cliëntgegevens verwerkt, is het centrum geen verwerker. De opdracht is namelijk niet het verwerken van persoonsgegevens, maar het verlenen van zorg. In het kader daarvan bepaalt het dagbestedingscentrum zelf welke persoonsgegevens het verwerkt en hoe het dit doet.
Het dagbestedingscentrum moet daarbij alle gegevens verwerken die noodzakelijk zijn voor een goede zorgverlening. Zelfs als het centrum specifieke instructies zou ontvangen voor de verwerking van cliëntgegevens, bepaalt het zelf of daarmee goed zorgverlenerschap is gewaarborgd. Is dat niet het geval, dan hoeft het die instructies niet op te volgen. Daardoor is het dagbestedingscentrum geen verwerker, maar zelf een verwerkingsverantwoordelijke. Dat wil niet zeggen dat er geen afspraken met de instelling moeten worden gemaakt - dat is wel zo – alleen geen verwerkersovereenkomst.
Wanneer wel verwerker
Pas als er geen ruimte meer is voor eigen beoordelingen en de instructies van de verwerkingsverantwoordelijke altijd moeten worden opgevolgd (tenzij dit in strijd is met de wet), kan er wel sprake zijn van een verwerkersrelatie.
Zo kan een laboratorium dat alleen in opdracht van ziekenhuizen en huisartsen, bloedmonsters beoordeelt - waarbij zij zelf geen patiëntencontact heeft en dus uitsluitend testresultaten realiseert - voor dat werk als verwerker worden beschouwd.
Neemt een laboratorium in andere gevallen zelf bloedmonsters van patiënten af en deelt zij de testresultaten zelf met patiënten? Dan is zij uiteraard voor dat deel zorgverlener in de zin van de Wgbo, heeft zij een dossierplicht en is zij bovendien verwerkingsverantwoordelijke in de zin van de AVG. Een laboratorium kan zo zowel verwerkingsverantwoordelijke als verwerker zijn.
Gezamenlijke verwerkingsverantwoordelijkheid
Worden doel en middelen voor een verwerkings-activiteit door meerdere (rechts)personen samen vastgesteld, dan is er sprake van gezamenlijke verwerkingsverantwoordelijkheid. Vastgelegd moet dan worden wie voor welke verplichtingen uit de AVG verantwoordelijk is. Ook moet duidelijk zijn tegenover wie de betrokkene zijn rechten kan uitoefenen. Dit moet zijn vastgelegd in een onderlinge regeling, behalve als de wet over de verdeling van verantwoordelijkheden tussen deze verwerkingsverantwoordelijke al voorschriften geeft. Een overeenkomst is niet vereist. De onderlinge regeling kan daardoor ook in een statutaire regeling of een onderling reglement worden opgenomen.
Voorbeelden van gezamenlijke verwerkings-verantwoordelijkheid in de zorg zijn de verwerkingen die in niet-academische ziekenhuizen plaatsvinden. De medisch specialist is daar verwerkingsverantwoordelijke van de dossiers van zijn patiënten, maar het ziekenhuis is verwerkingsverantwoordelijke voor het ziekenhuisinformatiesysteem. Dat impliceert dat een onderlinge regeling moet bepalen hoe de verantwoordelijkheden hiervoor dan verdeeld zijn.
Ook huisartsenposten en huisartsen zijn gezamenlijk verantwoordelijken. In het kader van de waarneming tijdens ANW-uren (avond, nacht- en weekend) moeten zij met elkaar afspraken maken over de beschikbaarheid van gegevens uit het huisartsendossier en over de terugrapportage als een patient van de huisarts tijdens de ANW-uren (Avond, Nacht, Weekeinde) acute huisartsenzorg op de huisartsenpost heeft ontvangen.
Gevolgen diverse relaties
Wat hebben verwerkingsverantwoordelijkheid, een verwerkersrelatie en een verwerkingsverant-woordelijkenrelatie voor gevolgen? Alle verplichtingen in de AVG zijn gericht op de verwerkingsverantwoordelijke. Verder is er een aantal plichten specifiek voor de verwerker.
De belangrijkste plicht voor de verwerkingsverantwoordelijke (dus niet de verwerker) is de zogeheten verantwoordingsplicht. Dat houdt in dat hij aantoonbaar aan de AVG moet voldoen. Voor de verwerker geldt deze plicht niet. Aangezien de verwerker in feite als een verlengde arm van de verwerkingsverantwoordelijke opereert, zal de verwerkingsverantwoordelijke contractueel zeker moeten stellen dat de verwerker zich aan de AVG houdt.
Belang verwerkingsovereenkomst
Daarom is de verwerkersovereenkomst ook zo belangrijk. De AVG geeft voor deze overeenkomst een aantal expliciete voorschriften. Zo moet in de overeenkomst onder meer worden vastgelegd dat de persoonsgegevens uitsluitend mogen worden verwerkt op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, dat de verwerker vertrouwelijkheid in acht moet nemen en dat de verwerker alle beveiligingsvoorschriften uit de AVG moet naleven.
Slechts enkele bepalingen uit de AVG zijn rechtstreeks voor de verwerker. De verwerker moet bijvoorbeeld een eigen verwerkingsregister bijhouden dat bijhoudt welke categorieën van verwerkingsactiviteiten hij ten behoeve van een verwerkingsverantwoordelijke verricht. Dit verwerkingsregister kent minder verplichte velden dat het verwerkingsregister van de verwerkingsverantwoordelijke.
De verwerker heeft daarnaast een zelfstandige medewerkingsplicht bij uitvoering van de taken door de toezichthouder.
Ook los van contractueel te regelen zaken, moet de verwerker zelf aan de beveiligingsvoorschriften voldoen en aan de verwerkingsverantwoordelijke melding maken van datalekken.
Verwerkers die grootschalig bijzondere persoonsgegevens verwerken, moeten net als zorginstellingen een functionaris voor gegevensbescherming (FG) aanwijzen.
Minder uitgebreide regeling
Is er sprake van gezamenlijke verantwoordelijkheid tussen zorgaanbieders of tussen een zorgaan-bieder een andere organisatie die verwerkingsverantwoordelijke is, dan zijn de verplichtingen die de AVG stelt aan de onderlinge regeling minder uitgebreid dan bij de verwerkersovereenkomst. Zelfs de vorm waarin het gebeurt is vrij.
De keerzijde is dat elke verwerkings-verantwoordelijke dan verantwoordelijk kan worden gehouden voor alle verplichtingen die de AVG stelt en dat beide partijen ook zelfstandig een verantwoordingsplicht hebben. Alle betrokken verwerkingsverantwoordelijken moeten dus afzonderlijk (en samen) kunnen bewijzen dat zij aan de AVG voldoen.
Zij zijn bovendien allemaal hoofdelijk aansprakelijk: zij kunnen allemaal worden aangesproken door de betrokkene, ongeacht de afspraken over wie waarvoor verantwoordelijk is. Ook zijn zij daardoor hoofdelijk aansprakelijk voor schade. Uiteraard kunnen de gezamenlijke verwerkingsverantwoordelijken hierover onderling nadere afspraken maken, wat in de praktijk doorgaans ook gebeurt.