Onderaanneming en privacy: een aantal aandachtspunten

Silke van Dijk

Advocaat
Spreek een specialist

Er zijn veel onderaannemers actief in de zorg. Dit zijn zorgorganisaties of solisten die worden ingeschakeld door een andere zorgaanbieder (de hoofdaannemer), opdat deze zorgaanbieder feitelijk de zorg aan de cliënt kan verlenen. Onderaannemers sluiten zelf geen overeenkomst met de zorgfinancier (bijvoorbeeld een zorgverzekeraar of zorgkantoor) en sluiten evenmin een overeenkomst met de patiënt. Onderaannemers hebben alleen een overeenkomst met de hoofdaannemer. De hoofdaannemer sluit vervolgens de overeenkomsten met de zorgfinanciers en patiënten. In dergelijke onderaannemingsconstructies is het belangrijk diverse aspecten te regelen met het oog op de privacy van patiënten. In dit artikel bespreken wij de aandachtspunten in geval van onderaanneming ten aanzien van het privacyrecht.

Met welke partij heb ik te maken?

In de Algemene verordening gegevensbescherming (“AVG”) wordt een onderscheid gemaakt tussen verwerkingsverantwoordelijke, verwerker en intern beheer. Afhankelijk van de rol die een zorgaanbieder vertolkt, brengt dit ook verschillende aandachtspunten met zich.

De verwerkingsverantwoordelijke bepaalt zelf het doel en de middelen van de verwerking van de persoonsgegevens. De hoofdaannemer is altijd een verwerkingsverantwoordelijke. Als verwerker verwerk je de persoonsgegevens in opdracht van een andere organisatie en is het doel van je werkzaamheden dan ook het verwerken van de persoonsgegevens. In de praktijk zal een zorgverlener vrijwel nooit als verwerker worden aangemerkt. Deze wordt vaak ingeschakeld om zorg te verlenen en niet om gegevens te verwerken. Dat bij de zorgverlening ook gegevens worden verwerkt, is onvermijdelijk, maar is een bijkomstigheid.

Er kan ook sprake zijn van intern beheer. In dat geval heeft de zorgorganisatie de verwerking van persoonsgegevens in intern beheer. Er is dan sprake van een hiërarchische relatie, zoals bijvoorbeeld met een werknemer. Een zzp’er die werkt op basis van een overeenkomst van opdracht zal doorgaans ook onder het eigen beheer vallen.

Afhankelijk van de omstandigheden van het geval is er in de situatie van een onderaannemer sprake van (gezamenlijk of afzonderlijk) verwerkingsverantwoordelijke(n) of intern beheer. 

Welke AVG-documenten zijn verplicht?

De AVG schrijft een aantal verplichte documenten voor. Aan de hand van de activiteiten van de zorgaanbieder, kan worden bepaald of een document verplicht is voor die specifieke zorgaanbieder. Doorgaans zijn de documenten verplicht voor de meeste zorgaanbieders, omdat er in de zorg wordt gewerkt met medische gegevens. Dit zijn bijzondere persoonsgegevens in de zin van de AVG, waar extra voorzichtig mee moet worden omgegaan. Dit geldt ook voor onderaannemers, indien je als onderaannemers zelf eindverantwoordelijk bent voor het leveren van zorg. Het gaat om de volgende documenten:

  • Privacyverklaring;
  • Privacybeleid;
  • Verwerkingsregister;
  • Verwerkersovereenkomst (voor zover de onderaannemer ook verwerkers inschakelt);
  • Datalekregister

In dit artikel gaan wij verder in op de inhoud van deze documenten. 

Welke afspraken moeten er worden gemaakt tussen een hoofd- en onderaannemer?

Het is raadzaam om afspraken omtrent bepaalde privacyaspecten vast te leggen. Normaliter worden afspraken tussen een verwerkingsverantwoordelijke en de verwerker in een verwerkersovereenkomst vastgelegd. Echter, in het geval van een hoofd- en onderaannemer zal over het algemeen geen sprake zijn van een verwerker, maar eerder van zelfstandige of gezamenlijke verwerkingsverantwoordelijken. Ook in dat geval is het echter goed om afspraken te maken en deze vast te leggen in (bijvoorbeeld) een samenwerkingsovereenkomst. Indien er sprake is van intern beheer zal er doorgaans geen samenwerkingsovereenkomst worden gesloten, maar zal het gaan om bijvoorbeeld een arbeidsovereenkomst of overeenkomst van opdracht. Ook daarin is het natuurlijk belangrijk afspraken met elkaar te maken over geheimhouding.

  1. Dossiervoering

Er dienen afspraken worden gemaakt omtrent de dossiervoering. In veel gevallen blijft de hoofdaannemer verantwoordelijk voor het zorgdossier. Werkt de onderaannemer in de medische dossiers van de hoofdaannemer of houd de onderaannemer een eigen (sub)dossier van de patiënten bij? Indien de onderaannemer zelfstandig medische dossiers bijhoudt, komen hier ook andere verplichtingen bij kijken, zoals het in acht nemen van de wettelijke bewaartermijn. Daarnaast dienen dossiers goed beveiligd te zijn en dienen hiervoor voldoende technische en organisatorische maatregelen te worden genomen.

Afhankelijk van het besluit omtrent de dossiervoering zullen ook punt 3 en 5 hieronder al dan niet van belang zijn.

  1. Geheimhouding

Zorgverleners – en dus ook onderaannemers – zijn gebonden aan het medisch beroepsgeheim. Daarnaast kan het goed zijn om geheimhouding ten aanzien van de samenwerkingsrelatie af te spreken. Het is raadzaam om expliciet in de overeenkomst afspraken op te nemen omtrent geheimhouding en wat er gebeurt als een van de partijen in strijd met de geheimhouding handelt.

  1. Autorisatiebeleid

Indien er door de onderaannemer in de medische dossiers van de hoofdaannemer wordt gewerkt, dient het autorisatiebeleid goed te worden ingeregeld. De hoofdaannemer blijft meestal verantwoordelijk voor het beheer van de toegangsrechten tot centrale systemen, zoals het EPD. Immers mag niet iedere medewerker zomaar toegang verkrijgen tot de medische dossiers van alle patiënten. Ook is het raadzaam om de logging en de technische beveiliging goed te regelen. Dit laatste kan bijvoorbeeld door tweefactor-authenticatie. Ook de onderaannemer dient passende technische en organisatorische maatregelen te nemen, die in lijn zijn met de normen van de hoofdaannemer.

  1. Datalek

Een verwerkingsverantwoordelijke is verplicht om een datalek te melden bij de Autoriteit Persoonsgegevens (“AP”). Indien er twee verwerkingsverantwoordelijken zijn, is het goed om afspraken te maken wie – indien er sprake is van een datalek – daarvan melding te doen bij de AP. Daarnaast dient er ook te worden opgenomen dat het datalek bij de andere verwerkingsverantwoordelijke gemeld dient te worden. Dit om te voorkomen dat geen van beide partijen een datalek meldt, en een van beide partijen of zelfs beide, daarvoor kunnen worden beboet.

  1. Uitvoeren rechten patiënten

Ook dienen er afspraken gemaakt te worden, indien een patiënt zijn/haar rechten wil uitoefenen zoals het recht op inzage of verwijdering. Het moet voor de patiënten, maar ook voor de hoofd- en onderaannemer duidelijk zijn wie het aanspreekpunt voor de patiënten is. Daarnaast is het goed om op te nemen dat de hoofd- en onderaannemer verplicht zijn om binnen een afgesproken termijn mee te werken aan het verzoek van de cliënt, zodat de wettelijke termijnen in acht worden genomen.

Tot slot

Onderaannemers in de zorgsector hebben een belangrijke verantwoordelijkheid op het gebied van privacy. Het is van belang om dit goed vast te leggen in een overeenkomst met de hoofdaannemer. Door de juiste organisatorische en technische maatregelen te treffen, kan een onderaannemer voldoen aan zijn privacyverplichtingen en bijdragen aan goede en veilige zorg.

Specialisten over dit onderwerp

Demi van Rossenberg

Advocaat 030-2393388 Lees meer

Silke van Dijk

Advocaat 030-2393387 Lees meer

Gerelateerde items

Studiekosten terugvragen van werknemers: mag dat nog?

Wat als je als werkgever hebt betaald voor een opleiding van een werknemer, en die werknemer vertrekt kort daarna? Kun je dan de kosten terugvragen? Sinds eind 2022 is de wet hierover veranderd, en sinds begin 2025 is er ook een advies van de advocaat-generaal op dit punt. In dit artikel leggen we uit wat […]

Lees meer

Kennisseminar: Zorginkoopbeleid Wlz

Ontdek het inkoopbeleid 2026 binnen de Wlz! Ons jaarlijkse webinar over het contracteren in de Wet langdurige zorg (Wlz). Dit keer voor het jaar 2026. Als advocatenkantoor gespecialiseerd in de zorgsector, bieden wij u een analyse van het inkoopbeleid van de zorgkantoren. Dit webinar helpt u om uw organisatie voor te bereiden op het contracteren […]

Lees meer

Winstnormering onder de Wibz: meer pleisters, maar stopt het bloeden of verergert het juist?

Nieuwe regels over winstuitkeringen Eerder schreven wij al over het wetsvoorstel Wet integere bedrijfsvoering zorg- en jeugdhulpaanbieders (Wibz), dat eind januari 2025 naar de Tweede Kamer is gestuurd. Onderdeel van het wetsvoorstel is een modernisering van de regels over winstuitkeringen in de zorg. Terwijl er een (IZA-)afspraak is om de regeldruk te verlagen en regels […]

Lees meer

Juridische risico’s: 5 aandachtspunten voor mondzorgprofessionals

Het voeren van een mondzorgpraktijk is meer dan een tandheelkundige aangelegenheid. Naast kwalitatieve zorgverlening krijgt de tandarts of andere bestuurder als ondernemer te maken met een breed scala aan juridische verplichtingen. Het niet voldoen aan de verplichtingen kan de reputatie én de financiële continuïteit van de mondzorgprofessional en de praktijk raken. In dit artikel gaan […]

Lees meer

Het verzoek om medische informatie in het kader van letselschade: wat mag een arts verstrekken?

Artsen ontvangen geregeld verzoeken om medische informatie in het kader van een letselschadeclaim. Dergelijke verzoeken zijn niet altijd afkomstig van de patiënt zelf, maar van diens advocaat, andere rechtsbijstandsverlener of een medisch adviseur van een verzekeraar. Mag of moet deze informatie worden verstrekt? En mogen hiervoor kosten in rekening worden gebracht? Beroepsgeheim en algemene regels […]

Lees meer

Kennisseminar: Privacy in de zorg

Privacy is een (continu) hot topic in de zorg. Zorginstellingen komen daar dagelijks mee in aanraking. In dit webinar wordt ingegaan op een aantal relevante privacy rechtelijke onderwerpen. Zo gaan we in op de rechten van betrokkenen, zowel op grond van de Algemene Verordening Gegevensbescherming (AVG), als de Wet op de geneeskundige behandelingsovereenkomst. Daarnaast wordt […]

Lees meer

Waarop ligt de focus van de Autoriteit Persoonsgegevens (AP), toezichthouder op privacy in de zorg?

Beveiligingsmaatregelen, het (blijven) updaten van privacy documenten en het uitvoeren van DPIA’s, allemaal privacy gerelateerde onderwerpen waar zorgaanbieders zich mee bezig dienen te houden, maar – zo leert de praktijk – iets wat toch al snel ‘onderaan het lijstje komt’. Dat terwijl de Autoriteit Persoonsgegevens (hierna: “AP”) toeziet op naleving van privacy wet- en regelgeving, […]

Lees meer

Onderaanneming en privacy: een aantal aandachtspunten

Er zijn veel onderaannemers actief in de zorg. Dit zijn zorgorganisaties of solisten die worden ingeschakeld door een andere zorgaanbieder (de hoofdaannemer), opdat deze zorgaanbieder feitelijk de zorg aan de cliënt kan verlenen. Onderaannemers sluiten zelf geen overeenkomst met de zorgfinancier (bijvoorbeeld een zorgverzekeraar of zorgkantoor) en sluiten evenmin een overeenkomst met de patiënt. Onderaannemers […]

Lees meer

Kennisseminar: Medische aansprakelijkheid

Letselschade: Wanneer is een zorgaanbieder aansprakelijk? Waar mensen werken, worden fouten gemaakt. Dat gebeurt tijdens het werk op kantoor, maar extra schrijnend zijn de gevallen waarin dingen fout gaan in de zorg. Dat kan namelijk leiden tot letselschade bij patiënten en dat willen zorgverleners kosten wat het kost voorkomen. Zorgverleners hebben immers als doel mensen […]

Lees meer

Het recht op inzage: verschillen tussen de AVG en de WGBO

Het recht op inzage (en/of afschrift van gegevens) is een fundamenteel recht voor patiënten, maar is niet uitsluitend in één specifieke wet vastgelegd. Overkoepelend is er de Algemene verordening gegevensbescherming (“AVG”) die de betrokkene het recht op inzage geeft in de persoonsgegevens die een organisatie – ook wel de verwerkingsverantwoordelijke – van hem/haar verwerkt. Daarnaast […]

Lees meer

Algemeen

Kennis voor zorgaanbieders

Contact

  • Volg ons:
Linkedin-in Youtube Spotify Facebook