Brancheorganisaties Zorg (BoZ) hebben sinds eind 2022 een vernieuwde standaard modelverwerkersovereenkomst, maar veel organisaties zijn hiervan nog niet op de hoogte. Een verwerkersovereenkomst is in de zorgsector nodig wanneer partijen in opdracht van zorginstellingen te maken krijgen met bijzondere persoonsgegevens van cliënten, of wanneer een zorgaanbieder een derde inschakelt die persoonsgegevens verwerkt namens de zorgaanbieder. In de overeenkomst worden afspraken gemaakt om de privacy van cliënten te waarborgen.

Hoe zit het juridisch ook alweer?

De overeenkomst wordt gesloten tussen de verwerkingsverantwoordelijke en de verwerker. In de zorgsector is de verwerkingsverantwoordelijke meestal degene die een zorgovereenkomst heeft met de client en de verantwoordelijkheid heeft over de verwerking van persoonsgegevens. Een verwerker is degene die persoonsgegevens verwerkt uitsluitend ten behoeve van en in de opdracht van de verwerkingsverantwoordelijke. Volgens art. 28 lid 3 AVG zijn beide partijen aansprakelijk als een verwerkersovereenkomst ontbreekt.

Maar wat is het verschil?

In de praktijk is het verschil tussen een verwerkingsverantwoordelijke en de verwerker niet altijd even eenvoudig vast te stellen. Het belangrijkste verschil is dat de verwerkingsverantwoordelijke de controle heeft en beslist over het ‘wat en waarom’, terwijl de verwerker alleen doet wat hen wordt verteld, zonder zelfstandig hierover te beslissen. Denk eraan dat er uitzonderingen zijn op deze regels, bijvoorbeeld in het geval dat de verwerking van persoonsgegevens niet de primaire opdracht is van de verwerker. Dit kan een IT-bedrijf zijn dat verantwoordelijk is voor het onderhoud van computersystemen in een zorginstelling en daarbij toegang krijgt tot persoonsgegevens van cliënten.

Daarnaast kan het soms voorkomen dat er een gezamenlijke verantwoordelijkheid bestaat voor gegevensverwerking, bijvoorbeeld bij ketenzorg of in de samenwerking tussen zorgaanbieder en gemeenten. Dit kan leiden tot een beetje ‘juridisch jongleren’. Er kan dan bijvoorbeeld één verwerkingsverantwoordelijke worden aangewezen die het aanspreekpunt is en (formeel) de beslissingen neemt.

Modelverwerkingsovereenkomst

Een verwerkersovereenkomst opstellen kan ingewikkeld zijn en mag geen afspraken bevatten die in strijd zijn met de AVG. ActiZ, De Nederlandse GGZ, NFU, NVZ en VGN verenigd in de Brancheorganisaties Zorg (BoZ) hebben een vernieuwde standaard modelverwerkersovereenkomst ontwikkeld die vrij te gebruiken is. Check deze hier: https://www.brancheorganisatieszorg.nl/nieuws_list/boz-modelverwerkersovereenkomst-vernieuwd/