Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Artikel 28.3 (2e afbeelding op deze pagina) schrijft voor wat er in de bewerkersovereenkomst dient te zijn opgenomen. Het hebben van een goede verwerkersovereenkomst maakt onderdeel uit van de door de verwerkingsverantwoordelijke te treffen organisatorische maatregelen. Komt er geen verwerkersovereenkomst tot stand die voldoet aan de eisen die de AVG daaraan stelt, dan voldoe je niet aan de AVG en ben je strafbaar als je de persoonsgegevens verwerkt. 

Deze vraag is al eerder gesteld. De AVG verlangt dat je uitsluitend een beroep doet op verwerkers die afdoende garanties bieden en dat de verwerking geregeld wordt in een overeenkomst waarin een aantal waarborgen zijn opgenomen. Die waarborgen zullen ook de basis zijn waarop betrokkenen hun toestemming hebben gegeven. Zonder die waarborgen kun je dus niet voldoen aan de AVG en verliest de verkregen toestemming  zijn geldigheid. Onder die condities is het aanbieden van data niet verantwoord. Een organisatie kan jou contractueel niet verplichten om de wet te overtreden.

Als verwerkingsverantwoordelijke heb je vastgesteld op welke wijze je persoonsgegevens wilt verwerken. Voor dat doel heb je een overeenkomst gesloten met de EPD leverancier gesloten om die verwerking vorm te geven. Anders gesteld: de EPD leverancier stelt je in staat om persoonsgegevens te verwerken. Op de leverancier rusten dus de verplichtingen als verwerker. 

Nee. Een verwerkersovereenkomst sluit je met een persoon of organisatie die ten behoeve van jou (als de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Daarvan is geen sprake. De WGBO (Wet Geneeskundige Behandelingsovereenkomst) ziet toe op de samenwerking met iedere professional die een behandelrelatie heeft met de betreffende patiënt. De AVG verandert daar niets aan.

Ja dat is de Wet Cliëntenrechten bij elektronische verwerking van gegevens in de zorg. In die wet worden de rechten van de patiënt en de plichten van de zorgverlener genoemd. (zie dit document en in het bijzonder de matrices). De in het document aangegeven termijn waarop de patiënt kan beschikken over een elektronische versie van zijn gegevens (2020) strookt niet met artikel 20 van de AVG die op 25-05-2018 van kracht wordt. Omdat in geval de verordening boven de wet gaat is snel duidelijkheid gewenst en aanleiding voor overleg op diverse niveau’s.

De wet Cliëntenrechten bij elektronische verwerking van gegevens van gegevens treedt op 1 juli 2017 in werking. Enkele wettelijke bepalingen zijn daarvan uitgezonderd: de bepalingen die patiënten het recht geven op elektronische inzage en elektronisch afschrift en het recht gespeci ceerd toestemming te geven. Deze wettelijke bepalingen treden op 1 juli 2020 in werking. Zorgverleners krijgen dus nog even de tijd om aan die specifieke wettelijke bepalingen te voldoen. zie voor een verdere toelichting rijksoverheid.nl

Stel vast wie de verwerkingsverantwoordelijke is (dus de opdrachtgever voor de verwerker). Als je dat zelf bent dien je te beschikken over een overeenkomst. De AVG stelt voorwaarden aan de inhoud van een dergelijke overeenkomst. Als die overeenkomst ontbreekt en/of sprake is van een min of meer gedwongen opdrachtgeverschap ga dan na hoe die tot stand gekomen is. Leg alles (dus ook de communicatie met betrokken instanties) zo zorgvuldig mogelijk vast in het kader van artikel 30 van de AVG (verwerkingen in kaart brengen) en het tot stand brengen van het ISMS. Zonder het door jou gewenste inzicht ben je niet in staat / kan niet van je worden verlangd om de verantwoordelijkheid te nemen die je cliënten/patiënten van je (moeten kunnen) verwachten.

Als die wens tot aanpassing het gevolg is van je risicoanalyse en de door jou als noodzakelijk gekwalificeerde maatregelen om aantoonbaar aan de AVG te voldoen, maakt dan schriftelijk (of via een bericht) aan de leverancier duidelijk waarom je wilt dat de overeenkomst wordt aangepast. Het kan geen kwaad om te verwijzen naar artikel 28  van de AVG. Verlang van de verwerker ook een schriftelijke reactie waarin hij uiteenzet waarom hij niet wil of kan voldoen aan je verzoek. Als je in de reactie aanleiding ziet tot nadere stappen, leg dat dan in je documentatie die onderdeel is van je informatiebeveiligingsplan vast. Leg in relatie tot artikel 28.3 ook vast welke vervolgstappen je overweegt.

Ja die is er. Actiz, GGZ Nederland, NFU, NVZ en VGN verenigd in de Brancheorganisaties Zorg (BoZ) hebben een standaard modelverwerkersovereenkomst ontwikkeld.

Als je doelt op leveranciers die een rol vervullen bij de verwerking van persoonsgegevens is het antwoord JA. Die overeenkomst is nodig om je in staat te stellen aantoonbaar te voldoen aan de AVG. De AVG gaat in artikel 28.4 zelfs expliciet in op de inhoud van de overeen te komen afspraken.

Jazeker. Voor een verwerker gelden dezelfde plichten als voor een verwerkingsverantwoordelijke.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport