Eisen verwerkersovereenkomst

Door de digitalisering binnen de zorg is het werken in de cloud bijna onmisbaar geworden. Zorgaanbieders maken meer gebruik van systemen om de digitale inzage in en de uitwisseling van patiëntgegevens mogelijk te maken.

Daarnaast worden e-health toepassingen steeds vaker in de behandelrelatie met de patiënt ingezet. Zorgaanbieders en ICT-leveranciers doen er goed aan om de nodige (juridische) afspraken met elkaar te maken bij de inkoop en levering van ICT-toepassingen in de zorg. Vooral wanneer daarbij gezondheidsgegevens zijn gemoeid.

Als er (bijzondere) persoonsgegevens verwerkt worden door de leverancier ten behoeve van de zorgaanbieder, dan is het op grond van de Algemene verordening gegevensbescherming (AVG) verplicht om afspraken te maken over deze verwerking van persoonsgegevens. Door zorgaanbieders wordt in dat verband veelal de standaard verwerkersovereenkomst van de Brancheorganisaties Zorg gehanteerd, de BOZ-verwerkersovereenkomst.

In deze factsheet wordt uitgelegd aan welke eisen een verwerkersovereenkomst moet voldoen op grond van de AVG en de Wet op de geneeskundige behandelingsovereenkomst (WGBO). Aanvullend kan nog sectorspecifieke wetgeving gelden, deze wetgeving is buiten beschouwing gebleven voor zover er niet expliciet naar wordt verwezen.

Allereerst worden de belangrijkste begrippen uit de AVG toegelicht. Daarna wordt ingegaan op wat geregeld moet worden op grond van de wet: welke uitgangspunten gelden er en wat moet óf kan er worden opgenomen in de verwerkersovereenkomst. Ten slotte wordt kort ingegaan op welke punten tot de contractsvrijheid behoren.

Belangrijke begrippen en uitgangspunten

Begrippen

  • Verwerkingsverantwoordelijke: degene die het doel en de middelen voor de verwerking bepaalt, hier meestal de zorgaanbieder. De verwerkingsverantwoordelijke bepaalt bijvoorbeeld welke persoonsgegevens er worden verwerkt, waarvoor deze gegevens worden gebruikt en welke technische middelen er bij de verwerking worden ingezet.
  • Verwerker: degene die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt, hier meestal de ICT-leverancier. De verwerker mag de persoonsgegevens alleen conform schriftelijke instructies van de verwerkingsverantwoordelijke verwerken en mag de gegevens niet voor eigen doeleinden inzetten.
  • Betrokkenen: de natuurlijke personen van wie de verwerkingsverantwoordelijke en eventuele verwerkers persoonsgegevens verwerken, hier vaak de patiënt(en).

Uitgangspunten

Op grond van de AVG gelden de volgende algemene uitgangspunten:

  1. De verwerkersovereenkomst hoeft geen opzichzelfstaand document te zijn. Het is dus toegestaan om de verwerkersovereenkomst te integreren in bijvoorbeeld de algemene voorwaarden. Zie het als onderdeel van de overeenkomst.
  2. De verwerkersovereenkomst moet in schriftelijke vorm worden opgesteld. Een elektronisch document valt hier ook onder.

Inhoud van de verwerkersovereenkomst

In een verwerkersovereenkomst moeten in ieder geval afspraken worden gemaakt over:

1. Het onderwerp, de duur en de aard van de gegevensverwerking.

Er moet beschreven worden welke diensten er door de verwerker worden verricht, bijvoorbeeld dat er een Elektronisch Patiëntendossier (EPD) wordt geleverd in de vorm van een webapplicatie. Ook moet worden vastgelegd voor welke tijdsperiode de verwerker wordt ingeschakeld en welke verwerkingshandelingen de verwerker zal verrichten. Denk bij het laatste aan wat de verwerker allemaal met de persoonsgegevens doet, zoals opslaan.

2. Het doel van de gegevensverwerking.

In de verwerkersovereenkomst moet voor iedere verwerking nauwkeurig het doel worden beschreven. Bijvoorbeeld, indien de verwerker een webapplicatie aanbiedt, kunnen er inloggegevens van de gebruiker worden verwerkt met het doel de toegang tot de webapplicatie te controleren. Een algemene omschrijving als “de persoonsgegevens worden verwerkt voor bedrijfsdoeleinden” is niet voldoende nauwkeurig.

Daarnaast kan, in het kader van transparantie, worden vermeld welke in de AVG opgenomen grondslag de verwerkingsverantwoordelijke heeft voor de verwerking. Denk hierbij aan de uitvoering van de behandelingsovereenkomst of expliciete toestemming van de betrokkene (hier vaak de patiënt). Dit is echter niet wettelijk verplicht: de verwerker ‘vaart voort’ op de grondslag van de verwerkingsverantwoordelijke, en heeft geen eigen grondslag nodig.

3. De soorten persoonsgegevens en de categorieën van betrokkenen.

In de verwerkersovereenkomst moet worden vastgelegd welke soorten persoonsgegevens er worden verwerkt. Denk hierbij aan ‘gewone’ persoonsgegevens zoals namen en e-mailadressen, maar ook aan bijzondere persoonsgegevens, namelijk medische gegevens. Ook moet worden beschreven van welke betrokkenen persoonsgegevens worden verwerkt. Gaat het om personeel, patiënten of misschien (andere) klanten?

4. De zeggenschap over de persoonsgegevens en de verdeling van verantwoordelijkheid.

In de verwerkersovereenkomst verklaart de verwerker dat hij de persoonsgegevens uitsluitend zal verwerken conform de schriftelijke instructies van de verwerkingsverantwoordelijke. Daarnaast wordt in de verwerkersovereenkomst afgestemd welke rechten en plichten de partijen over en weer hebben. Voorbeeld: de verwerker is verplicht om de persoonsgegevens geheim te houden (zie punt 5) en om passende beveiligingsmaatregelen te nemen om de persoonsgegevens te beschermen (zie punt 6). De verwerkingsverantwoordelijke zorgt dat er een wettelijke grondslag voor de verwerking is (zie punt 2).

5. De verplichting tot het vertrouwelijk te behandelen van persoonsgegevens.

In de verwerkersovereenkomst moeten afspraken zijn gemaakt die ervoor zorgen dat personen die toegang hebben tot de persoonsgegevens (zoals werknemers van de verwerker) verplicht zijn tot geheimhouding. De verwerker moet daarnaast alle (digitale) persoonsgegevens verwijderen en papieren dossiers moeten worden teruggegeven. Uiteraard staat het vrij om ook af te spreken dat de verwerker, al dan niet tegen een vergoeding, gegevens bij het einde van de overeenkomst in een bepaald formaat aanlevert. Dit is niet verplicht.

6. De technische en organisatorische beveiliging van persoonsgegevens.

In de verwerkersovereenkomst wordt afgestemd welke technische en organisatorische beveiligingsmaatregelen de verwerker moet nemen om de persoonsgegevens te beschermen tegen bijvoorbeeld vernietiging, verlies of ongeoorloofde toegang. Als hoofdregel onder de AVG geldt dat er passende maatregelen moeten worden genomen. Bij medische gegevens wordt een extra hoog beveiligingsniveau vereist.

Er kan worden aangesloten bij bepaalde beveiligingsnormen. De volgende normen zijn in ieder geval gangbaar in de zorg:

  • NEN 7510: de algemene norm over informatiebeveiliging binnen de zorg.
  • NEN 7512: deze aanvullende norm regelt de vertrouwensbasis voor gegevensuitwisseling en elektronische communicatie in de zorg. De norm stelt minimumeisen aan de bron van de informatie, het transportkanaal en de ontvanger van de gegevens.
  • NEN 7513: deze toevoeging gaat over het (verplichte) stelselmatig registreren van acties op elektronische patiëntendossiers (“logging”).
Op basis van het Besluit elektronische gegevensverwerking door zorgaanbieders kan het verplicht zijn om aan bepaalde normen te voldoen. Dit is het geval wanneer het systeem kan worden gekwalificeerd als zorginformatiesysteem (denk aan een EPD) of elektronisch uitwisselingssysteem (denk aan het LSP). 

De zorgaanbieder en de verantwoordelijke (bij het LSP is dat VZVZ) voor een elektronisch uitwisselingssysteem moeten bij het gebruik van het uitwisselingssysteem voldoen aan de normen NEN 7510 en NEN 7512. Ook moeten zij ervoor zorgen dat de logging van het systeem voldoet aan NEN 7513. Dit geldt ook voor de zorgaanbieder bij het gebruik van een zorginformatiesysteem. De ICT-leverancier zal het e.e.a moeten faciliteren zodat de zorgaanbieder (en verantwoordelijke voor het elektronisch uitwisselingssysteem) aan haar verplichtingen kan voldoen.

De leverancier die het elektronisch uitwisselingssysteem beheert en in stand houdt moet een audit laten uitvoeren voor NEN 7510 en NEN 7512 door een onafhankelijke derde. De scope van de audit wordt ook bepaald. Zowel de rechtspersoon (vaak een besloten vennootschap) als het systeem moeten ge-audit worden. Het audit-rapport mag niet ouder zijn dan 5 jaar.

Van belang is dat de in de verwerkersovereenkomst geëiste beveiligingsmaatregelen en/of normen passen bij de diensten die worden geleverd. In de BOZ-verwerkersovereenkomst wordt bijvoorbeeld van de verwerker geëist dat hij aantoonbaar voldoet aan de eisen uit NEN 7510, 7512 en 7513. Het kan nodig zijn om hierop afwijkingen te formuleren, afhankelijk van het systeem dat wordt geleverd en hetgeen waaraan de leverancier kan voldoen.

De verwerkingsverantwoordelijke moet er verder zorg voor dragen dat de verwerking aan de principes van privacy-by-design en privacy-by-default voldoet. Als verwerker kun je hierin proactief zijn. Hierover kunnen afspraken gemaakt worden in de verwerkersovereenkomst.

7. De mogelijkheid van de verwerker om een onderaannemer in te schakelen.

Op grond van de AVG kan de verwerkingsverantwoordelijke bezwaar maken als de verwerker een andere verwerker wenst in te schakelen. Hier moet vooraf toestemming voor worden gevraagd óf hier moet vooraf een melding over worden gemaakt waarbij de verwerkingsverantwoordelijke in staat wordt gesteld bezwaar te maken. In de BOZ-verwerkersovereenkomst wordt als uitgangspunt voorafgaande toestemming gehanteerd. Hier wordt ervan uitgegaan dat er geen toestemming meer hoeft te worden gegeven voor de reeds in de verwerkersovereenkomst opgenomen subverwerkers.

Ook moet de verwerker met ingeschakelde onderaannemer een (sub)verwerkersovereenkomst sluiten.

8. Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte.

Partijen hebben beide de verplichting om niet zomaar persoonsgegevens uit te voeren naar landen buiten de Europese Economische Ruimte (EER). Dit mag alleen als er aan de andere voorwaarden van de AVG is voldaan en het land is aangewezen als voldoende veilig of als er bepaalde standaard afspraken (‘Standard Clauses’) worden gemaakt of als een multinational gedragscodes, opgesteld voor het gegevensverkeer binnen de eigen organisatie (‘Binding Corporate Rules’), hanteert. Dit wordt ook wel het vereiste van ‘passende waarborgen’ genoemd. Let op: bedrijven uit de Verenigde Staten kunnen sinds de uitspraak van het Europese Hof in juli 2020 geen gebruik meer maken van het Privacy Shield als ‘passende waarborg’.

In de verwerkersovereenkomst kunnen hier afspraken over worden gemaakt. Vaak eisen zorgaanbieders dat medische gegevens binnen de EER (of EU) worden opgeslagen, zo ook in de BOZ-verwerkersovereenkomst. Door ICTRecht is onderzocht in hoeverre de hoge eisen die in Nederland en de EU zijn gesteld aan het beschermingsniveau van medische data, ook geborgd zijn of kunnen worden bij het inschakelen van niet-EU cloudproviders. Lees hierover meer via deze link.

9. De manier waarop met verzoeken van betrokkenen wordt omgegaan.

De betrokkene heeft onder de AVG verschillende rechten, waaronder het recht op inzage in zijn persoonsgegevens en het recht op data-portabiliteit. In de verwerkersovereenkomst moet worden afgestemd hoe met verzoeken van de betrokkene wordt omgegaan. Spreek af of de verwerker moet meewerken met het afhandelen van verzoeken van betrokkenen, eventueel tegen een vergoeding. Er kan ook worden afgesproken dat de verwerkingsverantwoordelijke dit zelf doet.

10. Het verlenen van bijstand aan de verwerkingsverantwoordelijke.

De verwerkingsverantwoordelijke heeft een aantal verplichtingen waaraan hij slechts kan voldoen met medewerking van de verwerker, namelijk het beveiligen van persoonsgegevens en het melden van datalekken. In de verwerkersovereenkomst wordt uitgewerkt op welke manier de verwerker hieraan moet bijdragen.

11. Het ter beschikking stellen van informatie en het meewerken aan audits en Data Protection Impact Assessments.

De verwerker is verplicht om alle informatie te verschaffen die de verwerkingsverantwoordelijke nodig heeft om naleving van de verwerkersovereenkomst te controleren. Daarnaast is de verwerker verplicht om mee te werken met audits door de verwerkingsverantwoordelijke (of een door hem ingeschakelde controleur). In de verwerkersovereenkomst mogen hierover wel nadere afspraken worden gemaakt. Bijvoorbeeld over wie de kosten draagt, of de audit vooraf moet worden aangekondigd en of de audit door een onafhankelijke derde moet worden uitgevoerd.

Indien de applicatie een hoog privacyrisico oplevert voor de betrokkenen, dan is het uitvoeren van een Data Protection Impact Assessment (DPIA) verplicht. Deze verplichting geldt voor de verwerkingsverantwoordelijke, maar het is aan de verwerker om de DPIA te faciliteren. Lees hier meer over de DPIA. Ook met betrekking tot de DPIA kunnen nadere afspraken worden gemaakt. Het meewerken aan een DPIA door de verwerker hoeft bijvoorbeeld niet kosteloos te geschieden.

12. Eigen verantwoordelijkheden van de verwerker en verwerkingsverantwoordelijke.

  • Wanneer er op grote schaal bijzondere persoonsgegevens worden verwerkt, is het aanstellen van een Functionaris Gegevensbescherming (FG) verplicht. Lees hier meer over wat met “op grote schaal verwerken” bedoeld wordt.
  • Verder moet er een register bijgehouden worden van de verwerkingen van persoonsgegevens. Een register moet in elk geval worden bijgehouden wanneer een organisatie meer dan 250 personen in dienst heeft. Zowel een verwerkingsverantwoordelijke als de door hem ingeschakelde verwerker(s) moet een register bijhouden. Als er minder dan 250 personen in dienst zijn, moet alsnog een register worden bijgehouden indien er sprake is van risicovolle verwerkingen, de verwerking structureel is of indien er gevoelige persoonsgegevens worden verwerkt. Het komt maar zelden voor dat een organisatie niet verplicht is een verwerkingsregister bij te houden. Dit komt omdat bijna elke organisatie structureel persoonsgegevens verwerkt. Lees hierover meer via onze factsheet over het verwerkingsregister.
  • Om te waarborgen dat zowel toezichthouders, als de uiteindelijke betrokkene(n) tijdig op de hoogte worden gebracht van een datalek, kent de AVG hiervoor een meldplicht. Om aan deze meldplicht te kunnen voldoen is het belangrijk dat organisaties zich hier goed op voorbereiden. Hiervoor dient een calamiteitenplan datalekken te worden opgesteld. Dit is een begrijpelijk en toegankelijk stappenplan waarin de omgang met datalekken voor medewerkers wordt omschreven. Ook wordt in dit calamiteitenplan onder de aandacht gebracht wat een datalek precies inhoudt.
  • De verwerker heeft een eigen verantwoordelijkheid om een datalek te melden bij de verwerkingsverantwoordelijke. Verder moet de verwerkingsverantwoordelijke een datalekkenregister bijhouden. In dit register staat bijvoorbeeld hoe het datalek heeft plaatsgevonden, wanneer en wat er is gebeurd, van hoeveel betrokkenen persoonsgegevens zijn gelekt et cetera. Om dat te kunnen bijhouden, zal hij om input vragen aan de verwerker.

Partijen kunnen over de eigen verantwoordelijkheden aanvullende afspraken maken.

Niet verplichte afspraken

Partijen kunnen afspraken maken over de aansprakelijkheid, vrijwaringen, boetes, toepasselijke algemene voorwaarden, kostenverdeling, rangorde, mediation enzovoorts. Het staat partijen vrij om daar afspraken over te maken zolang het niets afdoet aan de verplichte afspraken.

Echter, vaak zijn er al afspraken over deze onderwerpen gemaakt in de dienstovereenkomst of bijbehorende algemene voorwaarden. Daar kan ook prima naar verwezen worden. Zeker omdat die afspraken samenhangen met de commerciële afspraken, de prijs die gerekend wordt voor de dienst. Indien partijen toch opnieuw in onderhandeling treden, dan is het redelijk om bij het verdelen van de risico’s en het opnemen van boetes rekening te houden met de commerciële afspraken en op zoek te gaan naar een zekere proportionaliteit.

Lees meerLees minder

Meer informatie ontvangen?

Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met u op.

Wanneer u een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij u op locatie.

Laat uw gegevens achter