Verantwoordingsplicht

Om relevante vragen en antwoorden te kunnen delen en zo bij te dragen aan het bewustzijn, is in 2018 deze site ingericht. Voor een verdere toelichting over de achtergrond verwijs ik graag naar deze pagina. Je kunt vragen aan me kwijt via 0653197362, via Sillo (https://app.siilo.com/qr/b6ffda6d) of een mailtje naar fg@robstadt.nl. Ik probeer ze binnen 2 dagen te beantwoorden. Incidenteel tref je een zelfde vraag (en antwoord) onder AVG BewustKlik hier voor meer inhoudelijke achtergrondinformatie over de AVG.

Vragen en antwoorden over mijn plichten als verwerkingsverantwoordelijke

 of

Plichten

Update AP 13-02 met nadere toelichting

Jazeker heeft dat consequenties. Zowel voor jullie als voor de verwerker waarmee je een overeenkomst hebt. De vraag is ook gesteld aan de Autoriteit Persoonsgegevens. De AP heeft toegezegd begin 2019 meer duidelijkheid te zullen verschaffen. Op de site van de AVG Helpdesk Zorg Welzijn & Sport zijn een aantal vragen en antwoorden toegevoegd. https://www.avghelpdeskzorg.nl/onderwerpen/brexit

Artikel 28.3 (2e afbeelding op deze pagina) schrijft voor wat er in de bewerkersovereenkomst dient te zijn opgenomen. Het hebben van een goede verwerkersovereenkomst maakt onderdeel uit van de door de verwerkingsverantwoordelijke te treffen organisatorische maatregelen. Komt er geen verwerkersovereenkomst tot stand die voldoet aan de eisen die de AVG daaraan stelt, dan voldoe je niet aan de AVG en ben je strafbaar als je de persoonsgegevens verwerkt. 

Kun je je, als verwerkingsverantwoordelijke niet vinden in de inhoud van een verwerkersovereenkomst die je door een verwerker wordt aangeboden, ga dan niet akkoord. De AVG verwacht van een verwerkingsverantwoordelijke dat die de regie neemt. Dat kan door zelf het initiatief te nemen en gebruik te maken van de inmiddels zorg breed geaccepteerde modelovereenkomst. Als de beoogd verwerker zich niet kan vinden in de inhoud, is het zaak om de, met de verwerker gevoerde correspondentie goed vast te leggen (zie ook deze FAQ). Misschien is het ook goed om je te realiseren dat bij iedere verwerking sprake dient te zijn van rechtmatigheid en een verwerkingsverantwoordelijke die doel en middelen van de verwerking bepaalt. Dit ook in relatie tot de ruimte c.q. bewegingsvrijheid van een verwerker. De verantwoordelijke geeft antwoord op de vragen: welke gegevens worden verwerkt, hoe die worden verwerkt; wie er toegang tot die gegevens heeft en hoe lang ze worden bewaard (c.q. wanneer ze worden verwijderd). Als je zelf op al die vragen geen antwoord kunt geven of geen bepalende rol hebt, kun je de rol van verwerkingsverantwoordelijke niet vervullen en ligt die bij een ander. Zie ook deze FAQ op de site AVG helpdesk voor de Zorg

Deze vraag is al eerder gesteld. De AVG verlangt dat je uitsluitend een beroep doet op verwerkers die afdoende garanties bieden en dat de verwerking geregeld wordt in een overeenkomst waarin een aantal waarborgen zijn opgenomen. Die waarborgen zullen ook de basis zijn waarop betrokkenen hun toestemming hebben gegeven. Zonder die waarborgen kun je dus niet voldoen aan de AVG en verliest de verkregen toestemming  zijn geldigheid. Onder die condities is het aanbieden van data niet verantwoord. Een organisatie kan jou contractueel niet verplichten om de wet te overtreden.

Als verwerkingsverantwoordelijke heb je vastgesteld op welke wijze je persoonsgegevens wilt verwerken. Voor dat doel heb je een overeenkomst gesloten met de EPD leverancier gesloten om die verwerking vorm te geven. Anders gesteld: de EPD leverancier stelt je in staat om persoonsgegevens te verwerken. Op de leverancier rusten dus de verplichtingen als verwerker. 

Nee. Het is niet nodig om een verwerkersovereenkomst met een zorgverzekeraar te sluiten. Het wettelijk kader dat toeziet op de interacties met een zorgverzekeraar is de Zorgverzekeringswet.

Kernwoord(en): Verwerkersovereenkomst

Dat hangt af van de opdracht. Maar daar zal de accountant je ook over kunnen informeren. Als hij de salarisadministratie verzorgt, vervult hij die rol als verwerker en moet je dus inderdaad een verwerkersovereenkomst te sluiten.  Meer informatie tref je op de site van de Koninklijke Nederlandse Beroepsorganisatie van Accountants

Nee. Een verwerkersovereenkomst sluit je met een persoon of organisatie die ten behoeve van jou (als de verwerkingsverantwoordelijke) persoonsgegevens verwerkt. Daarvan is geen sprake. De WGBO (Wet Geneeskundige Behandelingsovereenkomst) ziet toe op de samenwerking met iedere professional die een behandelrelatie heeft met de betreffende patiënt. De AVG verandert daar niets aan.

Stel vast wie de verwerkingsverantwoordelijke is (dus de opdrachtgever voor de verwerker). Als je dat zelf bent dien je te beschikken over een overeenkomst. De AVG stelt voorwaarden aan de inhoud van een dergelijke overeenkomst. Als die overeenkomst ontbreekt en/of sprake is van een min of meer gedwongen opdrachtgeverschap ga dan na hoe die tot stand gekomen is. Leg alles (dus ook de communicatie met betrokken instanties) zo zorgvuldig mogelijk vast in het kader van artikel 30 van de AVG (verwerkingen in kaart brengen) en het tot stand brengen van het ISMS. Zonder het door jou gewenste inzicht ben je niet in staat / kan niet van je worden verlangd om de verantwoordelijkheid te nemen die je cliënten/patiënten van je (moeten kunnen) verwachten.

Als die wens tot aanpassing het gevolg is van je risicoanalyse en de door jou als noodzakelijk gekwalificeerde maatregelen om aantoonbaar aan de AVG te voldoen, maakt dan schriftelijk (of via een bericht) aan de leverancier duidelijk waarom je wilt dat de overeenkomst wordt aangepast. Het kan geen kwaad om te verwijzen naar artikel 28  van de AVG. Verlang van de verwerker ook een schriftelijke reactie waarin hij uiteenzet waarom hij niet wil of kan voldoen aan je verzoek. Als je in de reactie aanleiding ziet tot nadere stappen, leg dat dan in je documentatie die onderdeel is van je informatiebeveiligingsplan vast. Leg in relatie tot artikel 28.3 ook vast welke vervolgstappen je overweegt.

Ja die is er. Actiz, GGZ Nederland, NFU, NVZ en VGN verenigd in de Brancheorganisaties Zorg (BoZ) hebben een standaard modelverwerkersovereenkomst ontwikkeld.

Als je doelt op leveranciers die een rol vervullen bij de verwerking van persoonsgegevens is het antwoord JA. Die overeenkomst is nodig om je in staat te stellen aantoonbaar te voldoen aan de AVG. De AVG gaat in artikel 28.4 zelfs expliciet in op de inhoud van de overeen te komen afspraken.

Jazeker. Voor een verwerker gelden dezelfde plichten als voor een verwerkingsverantwoordelijke.

Neem ook een kijkje op de site van de AVG Helpdesk Zorg Welzijn & Sport