Autoriteit Persoonsgegevens laat haar zienswijze op eisen van vewerkersovereenkomst blijken

De Autoriteit Persoonsgegevens heeft in een persbericht de minimumeisen die aan een vewerkersovereenkomst worden gesteld opgefrist. Dat doet zij naar aanleiding van een onderzoek naar de vewerkersovereenkomsten tussen drie ziekenhuizen en het Belgische digitalisatiebedrijf iGuana.

Een van de ziekenhuizen had geen vewerkersovereenkomst en de andere twee voldeden niet aan alle eisen. Organisaties lopen, als verantwoordelijke, het risico op een hoge boete indien zij geen (correcte) vewerkersovereenkomst hebben.

De vewerkersovereenkomst is wettelijk verplicht en moet worden opgesteld tussen de verantwoordelijke voor de gegevensverwerking (in dit geval het ziekenhuis) en de bewerker (iGuana). In de overeenkomst moeten voor de vewerker verplichtingen worden opgenomen over bijvoorbeeld de beveiliging van de gegevens.

Tevens wordt erin opgenomen dat de vewerker de gegevens slechts mag verwerken voor de doeleinden die zijn bepaald door de verantwoordelijke. Naast dat het wettelijk verplicht is heeft de vewerkersovereenkomst ook veel nut, omdat de aansprakelijkheid over en weer wordt geregeld.

iGuana is een bedrijf dat in opdracht van de ziekenhuizen medische dossiers digitaliseert. Een ziekenhuis, de verantwoordelijke voor de medische gegevens, mag deze verwerking wettelijk gezien uitbesteden aan een andere organisatie, de vewerker.

Volgens de Wet bescherming persoonsgegevens moet het ziekenhuis dan wel een vewerkersovereenkomst sluiten met de bewerker (in dit geval iGuana). Na onderzoek bleek dat één ziekenhuis helemaal geen vewerkersovereenkomst had opgesteld en dat de andere twee niet voldeden aan de eisen. Zo was niet expliciet een geheimhoudingsplicht opgenomen en ontbraken details over de duur van de opslag en de beveiliging van gegevens.

De AP frist naar aanleiding van het voorgaande het geheugen van iedereen op met het volgende lijstje minimumeisen:

  • “De overeenkomst moet specifiek gaan over de gegevensverwerking door de bewerker.
  • De verplichtingen moeten over en weer duidelijk zijn vastgelegd in de overeenkomst. Het soort gegevens, de doeleinden van de verwerking, de duur van de opslag en beveiligingsmaatregelen moeten er bijvoorbeeld gedetailleerd in zijn opgenomen.
  • In de overeenkomst moet staan hoe de verantwoordelijke kan toezien op de naleving van de waarborgen.
  • De overeenkomst moet een geheimhoudingsplicht bevatten voor de vewerker en zijn personeel.
  • Als er sprake is van subbewerkerschap, moeten ook daarover bepalingen in de overeenkomst worden opgenomen.”

Veel is er niet veranderd, maar het is nu duidelijk geworden dat er volgens de toezichthouder altijd een aparte vewerkersovereenkomst moet zijn. De overeenkomst mag dus geen onderdeel zijn van een andere overeenkomst, zoals de Service Level Agreement (SLA). Bovendien was hiervoor niet duidelijk dat de verplichtingen zo gedetailleerd moesten worden opgenomen.

Al met al is het prettig dat de Autoriteit Persoonsgegevens na drie jaar haar zienswijze op de eisen die aan de vewerkersovereenkomst worden gesteld heeft opgehelderd, omdat er zo voor bedrijven meer duidelijkheid ontstaat over waar de toezichthouder op let. Het blijft echter de zienswijze van de Autorteit. Een rechter kan en mag altijd anders oordelen.