In de maand april was een groot datalek volop in het nieuws. De krantenkoppen logen er niet om: ‘Wijkteams slordig met privacy gevoelige gegevens’ en ‘Verontrusting na gelekte cliëntgegevens’.

Wat was er aan de hand? In de gemeente Amersfoort zijn de persoonlijke gegevens van bijna 2000 cliënten van wijkteams gelekt. Een ambtenaar heeft een lijst met deze gegevens per ongeluk naar een verkeerd e-mail adres gestuurd. De ambtenaren probeerden vervolgens de fout weg te poetsen en hebben het lek niet gemeld. Gevolg is dat de positie van de verantwoordelijk wethouders wankelt en een miljoenenboete dreigt. Het datalek in Amersfoort is ontstaan doordat meerdere partijen betrokken waren bij de bewerking van persoonsgegevens. Door het ontbreken van afspraken ging het delen van deze gegevens per e-mail. Hierdoor kwamen de gegevens terecht bij een verkeerd e-mailadres. Wilt u de krantenkoppen en grote gevolgen van een datalek voorkomen?

Dat kun je eenvoudig doen door een goede bewerkersovereenkomst voor de zorg op te stellen. In een bewerkersovereenkomst maak je afspraken met derden over de bescherming van persoonsgegevens. Derden zijn partijen die je inschakelt voor de verwerking van persoonsgegevens zoals een ICT-leverancier of hostingpartij. Hierna noemen we ze ‘bewerkers’. Om het belang van een bewerkersovereenkomst te onderstrepen zetten we in dit blog vijf redenen op een rij om nú een overeenkomst te sluiten.

1. Verplichting

Werk je met bewerkers? De Wet bescherming persoonsgegevens schrijft voor dat je een bewerkersovereenkomst sluit met deze partijen. Met het afsluiten van een bewerkersovereenkomst voldoe je dus aan deze wettelijke verplichting. Zorginstellingen worden hier verantwoordelijk voor gehouden.

2. De zorginstelling blijft verantwoordelijk

Wanneer je bewerkers inschakelt, blijf je als zorginstelling verantwoordelijk voor de persoonlijke gegevens. Met name patiëntgegevens vereisen een hoge bescherming. Daarom is het belangrijk hierover goede afspraken te maken met bewerkers van persoonsgegevens waar jij verantwoordelijk voor bent. Dit doe je in een bewerkersovereenkomst.

3. Invloed op beveiligingsmaatregelen

Waarschijnlijk heb je in je eigen zorgorganisatie de beveiligingsmaatregelen op orde. Je moet er toch niet aan denken dat er een datalek ontstaat omdat de andere partij geen beveiligingsmaatregelen heeft getroffen? Je hebt met een bewerkersovereenkomst invloed op de veiligheidsmaatregelen die de bewerker treft. In een bewerkersovereenkomst worden namelijk passende beveiligingsmaatregelen afgesproken waar de bewerker zich aan moet houden.

4. Acties bij een datalek

Ontstaat er onverhoopt een datalek? In een bewerkersovereenkomst heb je afspraken gemaakt over de acties die de bewerker moet ondernemen. Bijvoorbeeld door af te spreken dat je tijdig wordt geïnformeerd als zich een datalek voordoet. Je kunt dan passende maatregelen treffen zoals het melden van het datalek bij de Autoriteit Persoonsgegevens. In de gemeente Amersfoort ontstond de commotie door de wijze waarop met het datalek werd omgegaan.

5. Controle en aansprakelijkheid

In de bewerkersovereenkomst maak je afspraken over de mogelijkheid van tussentijdse controle. Zo krijg je zicht op het naleven van de afspraken. Wanneer de bewerker van de persoonsgegevens zich niet houdt aan de afspraken in de bewerkersovereenkomst, kun je hem daarvoor aansprakelijk stellen.

De bewerkersovereenkomst is onderdeel van de Meldplicht datalekken in de zorg. Deze bestaat sinds 1 januari 2016. Wil je meer weten over de Meldplicht datalekken?
Hierbij tref je de link aan naar onze Whitepaper ‘Meldplicht datalekken in de zorg’.
Een whitepaper over datalekken, voorkom dweilen met de kraan open.