De Autoriteit Persoonsgegevens (AP) heeft geconstateerd dat drie ziekenhuizen geen goede afspraken hadden gemaakt met een bedrijf dat namens het ziekenhuis patiëntgegevens verwerkte. Dit is in strijd met de Wet bescherming persoonsgegevens (Wbp). De toezichthouder heeft de ziekenhuizen een korte termijn gesteld om alsnog een bewerkersovereenkomst te sluiten die voldoet aan de wettelijke vereisten. De AP zal dit hierna controleren.
Uitbesteden medische gegevens
Een ziekenhuis mag de verwerking van medische gegevens, bijvoorbeeld het inscannen van medische dossiers, uitbesteden aan een andere organisatie. Het ziekenhuis (de verantwoordelijke) moet volgens de Wbp in dat geval een bewerkersoverkomst sluiten met de organisatie (de bewerker) die de dienst levert.Eisen bewerkersovereenkomst
Een bewerkersovereenkomst moet aan een aantal minimumeisen voldoen:- De overeenkomst moet specifiek gaan over de gegevensverwerking door de bewerker.
- De verplichtingen moeten over en weer duidelijk zijn vastgelegd in de overeenkomst. Het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en beveiligingsmaatregelen moeten er bijvoorbeeld gedetailleerd in zijn opgenomen.
- In de overeenkomst moet staan hoe de verantwoordelijke kan toezien op de naleving van de waarborgen.
- De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel.
- Als er sprake is van subbewerkerschap, moeten ook daarover bepalingen in de overeenkomst worden opgenomen.
