In de zorgsector is het verwerken van persoonsgegevens een dagelijkse bezigheid. Of het nu gaat om medische dossiers, declaratiegegevens of gegevens van werknemers, zorgaanbieders hebben te maken met strikte regelgeving omtrent de bescherming van deze gegevens. Het is met het oog op deze regelgeving essentieel te begrijpen en te kunnen duiden welke rol een zorgorganisatie heeft. Dat heeft namelijk invloed op de verantwoordelijkheden, rechten en verplichtingen die rusten op een bepaalde organisatie. Indien de rollen niet (goed) worden geduid, bestaat het risico dat gegevens onrechtmatig worden verwerkt of dat bepaalde verplichtingen niet (kunnen) worden nageleefd. In dit artikel gaan wij in op de verschillende rollen die partijen kunnen innemen en de verschillen daartussen.
Welke rollen zijn er?
Er zijn verschillende rollen waarin zorgorganisaties kunnen handelen. Twee cruciale rollen die hierbij een belangrijke rol spelen, zijn die van verwerkingsverantwoordelijke en verwerker. Deze rollen zijn vastgelegd in de Algemene Verordening Gegevensbescherming (hierna: “AVG”) en bepalen wie welke verantwoordelijkheden heeft bij de verwerking van persoonsgegevens.
- Verwerkingsverantwoordelijke (artikel 4 lid 7 AVG)
Een verwerkingsverantwoordelijke is de partij die bepaalt waarom en hoe persoonsgegevens worden verwerkt. In de context van de zorg betekent dit vaak dat de zorgaanbieder (bijvoorbeeld een ziekenhuis of thuiszorgorganisatie) als verwerkingsverantwoordelijke optreedt wanneer zij persoonsgegevens van patiënten verkrijgt, bewaart, gebruikt en mogelijk ook deelt. Er zijn verschillende soorten verwerkingsverantwoordelijken. Dat is, nu in de zorg veel verschillende (samenwerkings)constructies worden gebruikt, belangrijk om te duiden.
Gezamenlijk verwerkingsverantwoordelijke
In sommige gevallen kunnen twee of meer partijen gezamenlijk verwerkingsverantwoordelijke zijn. Dat is geregeld in artikel 26 AVG. Dit is het geval als beide partijen gezamenlijk bepalen welke gegevens worden verzameld, waarom ze worden verzameld (met welk doel), en hoe de verwerking plaatsvindt.
In de zorgsector kan dit bijvoorbeeld het geval zijn wanneer meerdere zorgaanbieders samenwerken in een netwerk om patiëntinformatie uit te wisselen voor betere zorgcoördinatie of anderszins samenwerken. In zulke samenwerkingen is het veel voorkomend dat beide partijen iets (mede) bepalen over hoe de verwerking plaatsvindt (bijvoorbeeld met welke systemen en hoe(lang) de gegevens worden bewaard) en met welk doel.
Het kan soms lastig te duiden zijn of en wanneer sprake is van gezamenlijk verwerkingsverantwoordelijkheid. Er is op dit vlak ook de nodige jurisprudentie. Het Hof van Justitie van de EU (hierna: “het Hof”) heeft in verschillende arresten verduidelijkt wanneer sprake is van gezamenlijke verwerkingsverantwoordelijkheid. In de zaak Fashion ID (C-40/17) oordeelde het Hof dat een partij slechts gezamenlijk verantwoordelijk is voor de verwerking van persoonsgegevens indien zij zelfstandig voldoet aan de definitie van ‘verwerkingsverantwoordelijke’ in de zin van de AVG. Daarnaast benadrukte het Hof dat gezamenlijke verantwoordelijkheid niet noodzakelijkerwijs betekent dat iedere betrokken partij toegang heeft tot de persoonsgegevens (bijvoorbeeld een medisch dossier); het gaat om gezamenlijke deelname aan het vaststellen van het doel en de middelen van de verwerking. In de zaak IAB Europe (C-604/22) werd verder verduidelijkt dat gezamenlijke verwerkingsverantwoordelijkheid niet vereist dat partijen een formele overeenkomst hebben, maar dat er wel sprake moet zijn van gezamenlijke deelname aan het vaststellen van het doel en de middelen van de verwerking.
Ter illustratie hebben wij hieronder een tweetal voorbeelden genoemd waarin sprake is van gezamenlijk verwerkingsverantwoordelijken:
- Ziekenhuis en Medisch Specialistisch Bedrijf (MSB): Het ziekenhuis en het MSB bepalen samen het doel en de middelen voor de verwerking van patiëntgegevens, bijvoorbeeld bij het gebruik van een gezamenlijk elektronisch patiëntendossier (EPD).
- Huisartsenpost en Huisartsen: Tijdens avond-, nacht- en weekenduren (ANW-uren) werken huisartsenposten en huisartsen samen bij het verlenen van zorg. Ze moeten gezamenlijk bepalen hoe patiëntgegevens worden gedeeld en verwerkt, bijvoorbeeld bij het terugrapporteren van zorg aan de huisarts na een bezoek aan de huisartsenpost.
Zelfstandig verwerkingsverantwoordelijke
Het is ook mogelijk dat meerdere partijen als zelfstandig verwerkingsverantwoordelijken optreden. Dat is het geval als iedere partij zelf (onafhankelijk van elkaar) bepaalt welke gegevens zij verzamelt, waarom zij die gegevens verzamelt, en hoe die gegevens worden verwerkt. Er is in die situatie dus geen gedeelde verantwoordelijkheid voor het bepalen van het doel of de middelen van de verwerking.
- Verwerker (artikel 4 lid 8 AVG)
Een verwerker is een partij die persoonsgegevens verwerkt namens de verwerkingsverantwoordelijke. In de zorg kan dit bijvoorbeeld een IT-leverancier zijn die systemen beheert waarin patiëntgegevens worden opgeslagen of een externe administrateur die patiëntgegevens verwerkt voor facturatiedoeleinden. De verwerker wordt ingeschakeld met het primaire doel om gegevens te verwerken. Let wel, het gaat dus niet om een partij die wordt ingeschakeld met een andere opdracht (bijvoorbeeld zorg verlenen), waarbij het verwerken van persoonsgegevens een bijkomstigheid is. In de zorg komt veelvuldig de gedachte voor dat bijvoorbeeld bij onderaanneming sprake is van een verwerker. Nu een onderaannemer vaak wordt ingeschakeld met als doel het verlenen van zorg (en niet het verwerken van persoonsgegevens), gaat het daar niet om een verwerker. In dit artikel zijn wij ingegaan op onderaanneming.
Welke verantwoordelijkheden gelden er?
Afhankelijk van de rol waarin een partij opereert, kan worden bepaald wat de verantwoordelijkheden zijn en welke afspraken moeten worden gemaakt.
1. Zelfstandig Verwerkingsverantwoordelijken
Wanneer er sprake is van zelfstandig verwerkingsverantwoordelijken, betekent dit dat elke partij zelf verantwoordelijk is voor de verwerking van de persoonsgegevens die onder hun controle staan. In dit geval heeft elke partij de volledige verantwoordelijkheid voor de verwerking van persoonsgegevens, inclusief het naleven van de verplichtingen die voortkomen uit de AVG, zoals het uitvoeren van DPIA’s, het afhandelen van verzoeken van betrokkenen en het opstellen van documenten. Voor zover afzonderlijk verwerkingsverantwoordelijken samen werken (en gegevens uitwisselen) is het uiteraard wel belangrijk om elkaar goed te informeren en afspraken te maken over de rollen en verantwoordelijkheden. Dit kan in de vorm van een schriftelijke (samenwerkings)overeenkomst, maar is op basis van de AVG geen verplichting.
2. Gezamenlijke Verwerkingsverantwoordelijken
In het geval van gezamenlijke verwerkingsverantwoordelijken zijn beide partijen verantwoordelijk voor de naleving van de AVG, maar is het goed om afspraken met elkaar te maken, omdat de specifieke verantwoordelijkheden in een overeenkomst kunnen worden verdeeld. Beide partijen hebben belang bij het maken van afspraken, omdat zij beide verantwoordelijk zijn en vanuit die rol beide zouden kunnen worden aangesproken voor een schending van de AVG.Ingevolge artikel 26 AVG zijn gezamenlijk verwerkingsverantwoordelijken zelfs verplicht om afspraken vast te leggen. Dat gebeurt doorgaans in een Data Transfer Agreement (DTA). In de overeenkomst dient onder meer het volgende te worden geregeld:
– het doel en de middelen van de verwerking;
– hoe de rechten van de betrokkenen kunnen worden uitgeoefend en wie verantwoordelijk is voor communicatie met betrokkenen en de AP;
– wie verantwoordelijk is voor specifieke taken, zoals het bijhouden van documenten (een verwerkingsregister) of het uitvoeren van DPIA’s;
– hoe wordt gehandeld in geval van een datalek;
– welk beveiligingsniveau wordt gehanteerd.
Afspraken hoeven niet schriftelijk vastgelegd indien uit wetgeving reeds volgt waarvoor beide partijen verantwoordelijk zijn.
3. Verwerker
De verwerker heeft geen controle over het doel of de middelen van de verwerking; dit wordt volledig bepaald door de verwerkingsverantwoordelijke. De verwerker mag de gegevens alleen verwerken op basis van de instructies van de verwerkingsverantwoordelijke. Dit moet uitdrukkelijk worden vastgelegd in een schriftelijke overeenkomst, te weten de verwerkersovereenkomst. Hierin worden de verplichtingen en verantwoordelijkheden van beide partijen vastgelegd.
Een verwerkingsverantwoordelijke heeft belang bij het maken van (juiste) afspraken. Dit omdat de (eind)verantwoordelijkheid bij de verwerkingsverantwoordelijke ligt. Denk aan afspraken over beveiliging, de inzet van subverwerkers, het melden van een datalek en (het meehelpen bij) de naleving van bepaalde verplichtingen, zoals het uitvoeren van DPIA’s en het reageren op verzoeken van betrokkenen. Ook moet worden ingegaan op de procedures over het beëindigen van de verwerking en het verwijderen of teruggeven van de gegevens.
Tot slot
In dit artikel zijn wij ingegaan op de verschillende rollen die partijen, zo ook zorgaanbieders, kunnen innemen. Dit is een belangrijk onderwerp, omdat het de basis legt voor hoe organisaties omgaan met persoonsgegevens en wat hun juridische verantwoordelijkheden zijn. Het is van belang om (i) te kijken welke rol een partij heeft om zo te kunnen bepalen (ii) welke verantwoordelijkheden er zijn en welke afspraken moeten worden gemaakt.
