Zorgaanbieders moeten digitaliseren patiëntdossiers goed regelen

Een zorgaanbieder mag de verwerking van medische gegevens, bijvoorbeeld het inscannen van medische dossiers, uitbesteden aan een andere organisatie. Maar een zorgaanbieder moet dat wel goed regelen. Zo moet de zorgaanbieder volgens de Wet bescherming persoonsgegevens (Wbp) een bewerkersoverkomst sluiten met de organisatie (de bewerker) die de dienst levert.

De Autoriteit Persoonsgegevens (AP) heeft recent geconstateerd dat drie ziekenhuizen geen goede afspraken hadden gemaakt met een bedrijf dat namens het ziekenhuis patiëntgegevens verwerkte. De AP stelde vast dat één ziekenhuis geen bewerkersovereenkomst met het scanbedrijf had gesloten. Twee andere ziekenhuizen hadden wel bewerkersovereenkomsten gesloten, maar deze voldeden niet aan alle wettelijke eisen. Zo ontbraken er details over de duur van de opslag en de beveiliging van de gegevens of was er niet expliciet een plicht tot geheimhouding opgenomen. Dit is in strijd met de Wbp. De toezichthouder heeft de ziekenhuizen een korte termijn gesteld om alsnog een bewerkersovereenkomst te sluiten die voldoet aan de wettelijke vereisten. De AP zal dit hierna controleren.

Een bewerkersovereenkomst moet aan een aantal minimumvereisten voldoen. Zo moeten de verplichtingen over en weer duidelijk zijn vastgelegd. Het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en de getroffen beveiligingsmaatregelen moeten gedetailleerd zijn omschreven. Verder moet zijn geregeld hoe de verantwoordelijke kan toezien op de naleving van de privacywaarborgen.

Lexsigma helpt zorgaanbieders graag om een bewerkersovereenkomst op te stellen of te checken. Neem gerust contact op met:
(+31) 020 - 8940700
(+31) 06 - 52456079