• No results found

Toelichting BOZ model verwerkersovereenkomst 121217

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "Toelichting BOZ model verwerkersovereenkomst 121217"

Copied!
4
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 4 pagina )

Hele tekst

(1)

12 december 2017

Toelichting model Verwerkersovereenkomst Brancheorganisaties Zorg

verenigd in

(2)

12 december 2017

Inleiding

ActiZ, GGZ Nederland, NFU, NVZ en VGN verenigd in de Brancheorganisaties Zorg (BoZ) hebben in het kader van de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) een modelverwerkersovereenkomst ontwikkeld (hierna: de modelovereenkomst). In deze toelichting leest u hoe de modelovereenkomst tot stand is gekomen en welke uitgangspunten daarbij in acht zijn genomen.

Om goede zorg te kunnen verlenen is het in de gezondheidszorg noodzakelijk dat dossiers van cliënten worden aangelegd. Die bevatten daardoor zeer gevoelige gegevens. Het recht op privacy en de daarop gebaseerde wetgeving brengt mee dat degenen die deze persoonsgegevens verwerken, daar heel zorgvuldig mee omgaan. Daarom is het essentieel om daar goede afspraken over te maken met partijen die in opdracht van zorginstellingen met deze bijzondere persoonsgegevens te maken krijgen, zodat die gegevens te allen tijde veilig en verantwoord worden verwerkt. Met een zogeheten verwerkersovereenkomst worden daar met de opdrachtnemer afspraken over gemaakt.

Wettelijk verplicht

Het sluiten van een verwerkersovereenkomst is wettelijk verplicht indien u als zorgaanbieder een derde inschakelt die persoonsgegevens verwerkt namens u, bijvoorbeeld een leverancier van een cliëntendossier.

Een verwerkersovereenkomst wordt gesloten tussen een verwerkingsverantwoordelijke en de verwerker. Een verwerkingsverantwoordelijke is degene die op grond van de wet, als gevolg van afspraken of door de omstandigheid de verantwoordelijkheid over de verwerking heeft en het doel en de middelen voor de verwerking vaststelt. De verwerkersverantwoordelijke in de gezondheidszorg is meestal degene die de zorgovereenkomst met de cliënt heeft en dus om die reden een zorgdossier over die cliënt bijhoudt. De verwerkingsverantwoordelijke bepaalt welke gegevens worden verwerkt en het ‘hoe en waarom’ van de gegevensverwerking. Een verwerker is degene die persoonsgegevens verwerkt, uitsluitend ten behoeve van en in opdracht van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Verwerkingsverantwoordelijke of verwerker?

Het is niet altijd eenvoudig om vast te stellen wie in een concreet geval

verwerkingsverantwoordelijke is en wie verwerker. In de zorg komt het ook voor dat er gezamenlijke verantwoordelijkheid bestaat voor de gegevensverwerkingen, bijvoorbeeld bij ketenzorg of in de samenwerking tussen zorgaanbieder en gemeenten. Ook als een zorgaanbieder delen van de zorg door een onderaannemer laat uitvoeren, zal er in de regel eerder een samenwerking bestaan tussen twee verwerkersverantwoordelijken en niet tussen een verwerkingsverantwoordelijke en een verwerker.

Als er veel samenwerkende verwerkingsverantwoordelijken zijn, kan het soms raadzaam zijn om een juridische verwerkingsverantwoordelijke aan te wijzen, omdat dan voor iedereen duidelijk is wie het aanspreekpunt is en wie (formeel) de beslissingen neemt. Bij het landelijk schakelpunt (LSP), waarbij feitelijk alle zorgaanbieders verantwoordelijke zijn, is hiervoor gekozen. Niet in alle gevallen waarin er een gezamenlijke verwerkingsverantwoordelijkheid bestaat, hoeft er een (juridisch)

verwerkingsverantwoordelijke te worden aangewezen. Wel moet er bij gezamenlijke

(3)

12 december 2017

verantwoordelijkheid op grond van de AVG altijd óók een overeenkomst worden gesloten waarin afspraken worden gemaakt over het verwerken van persoonsgegevens. Deze overeenkomst heeft echter een ander karakter dan de voorliggende modelverwerkersovereenkomst en valt daarom ook buiten dit kader. Overigens is het ook nauwelijks mogelijk om hiervoor een model op te stellen, omdat de inhoud van de afspraken tussen twee verwerkingsverantwoordelijken over de verwerking van (medische) persoonsgegevens zal afhangen van de aard van de samenwerking.

Totstandkoming

Het vertrekpunt van het model is de NVZ-bewerkersovereenkomst versie december 2016. De BoZ- partijen zijn hiermee aan de slag gegaan, wat heeft geleid tot een nieuwe versie die aan diverse partijen – de achterban van de BoZ-leden en leveranciers - in het veld ter toetsing is voorgelegd. De opmerkingen die hieruit voortvloeiden, zijn zo goed mogelijk verwerkt. Vervolgens is de laatste conceptversie van het model getoetst door mr. drs. M. Jansen, advocaat IT- en privacyrecht en mr.

dr. L.A.P. Arends, advocaat-partner gezondheids- en privacyrecht bij Dirkzwager advocaten &

notarissen.

Uitgangspunten modelverwerkersovereenkomst

De modelverwerkersovereenkomst heeft een aantal uitgangspunten:

i. De modelverwerkersovereenkomst dient als standaard voor de hele zorgsector. De

modelverwerkersovereenkomst dient gebruikt te worden met kennis van (juridische) zaken.

Indien gewenst kan er, binnen de grenzen van de Wbp en de AVG, van worden afgeweken.

Het is aan te raden om u in geval van afwijkingen van het model juridisch te laten adviseren over de consequenties daarvan. Tevens is het aan te raden om de modeltekst ongewijzigd te laten en eventuele wijzigingen op te nemen in bijlage 4 van de overeenkomst.

ii. De modelverwerkersovereenkomst maakt onderdeel uit van de overeenkomst van opdracht of dienstverleningsovereenkomst tussen partijen. De modelverwerkersovereenkomst regelt uitsluitend de verhouding tussen de verwerkingsverantwoordelijke en de verwerker met betrekking tot het verwerken van persoonsgegevens en eventuele aansprakelijkheid als de verwerker bij de verwerking zich niet aan de regels van de AVG houdt. De aansprakelijkheid tegenover de cliënt of betrokkene op grond van de AVG kan namelijk in geen geval worden beperkt of uitgesloten. Die regels zijn opgenomen in de verwerkersovereenkomst.

iii. De modelovereenkomst kan letterlijk onderdeel worden van de overeenkomst van opdracht of dienstverleningsovereenkomst. In dat geval ontstaat er slechts één document en ontstaat er geen ruis. Het is ook mogelijk om de modelovereenkomst te hanteren naast de

overeenkomst van opdracht. Om te voorkomen dat dan ruis ontstaat, bevat de

verwerkersovereenkomst een bepaling die de bepalingen van de verwerkersovereenkomst laat vóórgaan boven die van de overeenkomst van opdracht of

dienstverleningsovereenkomst.

iv. In de modelverwerkersovereenkomst is niet gepoogd de wet over te schrijven. Dit betekent dat zaken die al in de wet geregeld zijn, niet nogmaals in de modelverwerkersovereenkomst zijn opgenomen. Alle artikelen die betrekking hebben op de wet- en regelgeving zijn beperkt tot het verwerken van persoonsgegevens.

(4)

12 december 2017

v. Diverse onderdelen van de modelverwerkersovereenkomst zijn minimaal omschreven (zoals:

aansprakelijkheid, duur overeenkomst, beëindiging en intellectueel eigendom). Het is aan partijen om hier nadere aanvulling aan te geven in de overeenkomst van opdracht of dienstverleningsovereenkomst

vi. Waar het gaat om de vraag welke persoonsgegevens een verwerker in het kader van de opdracht of dienstverlening mag verwerken en hoe een verwerker deze mag verwerken, dient dit goed beschreven te worden. Dit omdat hiermee het werk van de verwerker met betrekking tot persoonsgegevens afgebakend wordt. Door dit goed te omschrijven, houdt de verwerkingsverantwoordelijke samen met de overige bepalingen in de

verwerkersovereenkomst optimaal controle. Dat is met name in de zorg, waar het dikwijls om gevoelige persoonsgegevens gaat, van wezenlijk belang. Dit is dan ook een belangrijk onderdeel van de verwerkersovereenkomst, waarvan de nadere uitwerking, afhankelijk is van de eigen situatie en omstandigheden.

vii. De overeenkomst om bepaalde diensten te leveren aan de zorgaanbieder, meestal een overeenkomst van opdracht, bevat alle andere afspraken tussen de opdrachtgever

(Zorgaanbieder) en de opdrachtnemer (de Leverancier) over de dienst die de leverancier gaat leveren en waarvoor het nodig is dat (medische) persoonsgegevens worden verwerkt. Denk aan een overeenkomst van opdracht waarbij de leverancier een applicatie levert waarin patiënt- of medewerkersgegevens worden verwerkt, vaak in de vorm van ‘software as a service’ en/of hosting en/of technisch beheer. In een overeenkomst van opdracht of

dienstverleningsovereenkomst worden dus zaken geregeld zoals de kosten voor het leveren van de dienst, de technische voorwaarden voor het leveren van de dienst, de SLA-

bepalingen, de communicatieafspraken in het Dossier Afspraken en Procedures (DAP), de aansprakelijkheid als de leverancier zijn verplichtingen niet, niet geheel of niet tijdig nakomt en eventuele beperkingen op die aansprakelijkheid etc.

viii. Deze verwerkersovereenkomst is opgesteld op basis van het huidige inzicht op de AVG.

Indien naar aanleiding van evaluaties en/of reacties uit het veld verbeteringen wenselijk of noodzakelijk zijn zal een volgende versie begin 2019 worden opgesteld.

Disclaimer

De BoZ heeft aan het opstellen van dit model de nodige zorg besteed. Desondanks is het mogelijk dat het model onvolledig is of onjuistheden bevat. De BoZ aanvaardt geen enkele aansprakelijkheid voor schade, direct of indirect veroorzaakt door de inhoud of het gebruik van dit model.

Referenties

Download het nu ( PDF - 4 pagina - 452.68 KB )

GERELATEERDE DOCUMENTEN

Privacy statement. Wat zijn persoonsgegevens? Waarvoor verwerken we persoonsgegevens?

U heeft bovendien het recht om uw persoonsgegevens te laten verwijderen als uw persoonsgegevens onrechtmatig zijn verwerkt, niet langer nodig zijn voor het doel waarvoor ze

1. Verzamelen en verwerken van persoonsgegevens

Als je bijvoorbeeld aangeeft dat je gegevens niet meer kloppen, onrechtmatig of niet meer nodig zijn, dan mag Progressief Altena deze gegevens niet meer gebruiken. recht om bezwaar

Verantwoordelijk voor het verwerken van uw persoonsgegevens is:

hebben alleen personen toegang tot uw persoonsgegevens die deze gelet op hun functie nodig hebben en zijn onze medewerkers verplicht tot vertrouwelijkheid en mogen zij uw

Verwerkersovereenkomst Designbase VOF. Artikel 1. Doeleinden van verwerking. Artikel 2. Verplichtingen Verwerker

1.2 Verwerker zal in opdracht van Verwerkingsverantwoordelijke enkel de (bijzondere) persoonsgegevens verwerken die in het kader van deze Verwerkersovereenkomst

Welke persoonsgegevens verwerken wij?

niet direct invloed heeft op de omgang met jouw persoonsgegevens door andere partijen, hebben wij wel ons uiterste best gedaan om ervoor te zorgen dat deze partijen conform

Introductie Sigma Personeelsdiensten als verwerker Privacy Officer Welke persoonsgegevens verwerken wij?

Sigma Personeelsdiensten verwerkt ook persoonsgegevens als wij hier wettelijk toe verplicht zijn, zoals gegevens die wij nodig hebben voor onze belastingaangifte en controle van onze

Persoonsgegevens die we verwerken

AKOM Ankla Oldenzaal BV verkoopt jouw gegevens niet aan derden en zal deze uitsluitend verstrekken indien dit nodig is voor de uitvoering van onze overeenkomst met jou of om

Wet bescherming persoonsgegevens (Wbp) Verwerkersovereenkomst van de gemeente Leiderdorp met de (nader in te vullen) verwerker.

Verklaren te zijn overeengekomen een verwerkersovereenkomst als bedoeld in artikel 14, tweede lid, van de Wbp en artikel 28, tweede lid, van de Algemene Verordening