In een recent onderzoek heeft de Autoriteit Persoonsgegevens (‘AP’) geconstateerd dat verschillende ziekenhuizen geen goede afspraken hebben gemaakt met een bedrijf dat namens de betreffende ziekenhuizen patiëntendossiers heeft gedigitaliseerd, en derhalve in strijd met de Wet bescherming persoonsgegevens (‘Wbp’) hebben gehandeld.
Het Belgische bedrijf iGuana houdt zich bezig met ‘archiving’ en ‘electronic document managing’ en heeft in opdracht van enkele ziekenhuizen in Nederland patiëntendossiers gedigitaliseerd. Vanzelfsprekend bevatten patiëntendossiers van ziekenhuizen persoonsgegevens, aangezien hierin zowel algemene gegevens als medische gegevens zijn opgenomen die herleidbaar zijn tot natuurlijke personen. Dit laatste type persoonsgegevens wordt in dat kader zelfs als bijzondere persoonsgegevens aangemerkt.
De ziekenhuizen zijn verantwoordelijke in de zin van de Wbp en iGuana bewerker, aangezien de ziekenhuizen formeel-juridisch gezien degene zijn die het doel en de middelen van de verwerking vaststelt, en iGuana de persoonsgegevens in opdracht van de ziekenhuizen verwerkt. Verder verdient opmerking dat op grond van artikel 13 Wbp hoge eisen worden gesteld aan technische en organisatorische maatregelen die de verantwoordelijke dient te treffen om bijzondere persoonsgegevens te beveiligen en om enige vorm van onrechtmatige verwerking te voorkomen. De ziekenhuizen dienen op grond van de Wbp tevens bewerkersovereenkomsten te sluiten met iGuana.
De betreffende ziekenhuizen nemen het echter niet zo nauw met de Wbp. Zo had één ziekenhuis helemaal geen bewerkersovereenkomst gesloten, en hadden twee andere ziekenhuizen bewerkersovereenkomsten gesloten die niet voldeden aan de Wbp. Zo ontbraken er details over de duur van de opslag en de beveiliging van de gegevens, of was er niet expliciet een plicht tot geheimhouding opgenomen. Gezien de bijzondere aard van de persoonsgegevens en het feit dat ziekenhuizen vaak met persoonsgegevens uit dossiers werken, is dit een kwalijke zaak te noemen. Juist van ziekenhuizen mag immers worden verwacht dat zij zeer correct omgaan met privacyregelgeving.
Voor de volledigheid vermeldt de AP nog de minimumvereisten waaraan bewerkersovereenkomsten dienen te voldoen:
- De verplichtingen moeten over en weer duidelijk zijn vastgelegd in de overeenkomst. Het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en beveiligingsmaatregelen moeten er bijvoorbeeld gedetailleerd in zijn opgenomen.
- In de overeenkomst moet staan hoe de verantwoordelijke kan toezien op de naleving van de waarborgen.
- De overeenkomst moet een geheimhoudingsplicht bevatten voor de bewerker en zijn personeel.
- Als er sprake is van subbewerkerschap, moeten ook daarover bepalingen in de overeenkomst worden opgenomen.