2016/01/25: Ziekenhuis Isala, gedetineerden en patiëntendossiers

Gisteren verscheen in het NOS nieuws een bericht over ziekenhuis Isala in Zwolle. Volgens dit bericht en de reactie van het ziekenhuis is het volgende gebeurd:

  • Isala heeft in 2012 een aantal patiëntendossiers gedigitaliseerd. De daarwerkelijke werkzaamheden zijn uitbesteed aan bedrijf Allgeier (nu iGuana). Isala heeft daarbij contractueel vastgelegd dat alle betrokken personen een geheimhoudingsplicht hebben, en dat gegevens niet met derden gedeeld mogen worden.
  • Voor het digitaliseren van de dossiers was het voor iGuana noodzakelijk om de nietjes uit de dossiers te verwijderen. iGuana deed zaken met de gevangenis in Leuven (België) en het is mogelijk dat deze routine-werkzaamheid door gedetineerden uit de gevangenis in Leuven uitgevoerd is. Anders geformuleerd: mogelijk zijn gevoelige persoonsgegevens in handen van gedetineerden gekomen.
  • Volgens Isala en iGuana zijn er geen wetten overtreden, mede omdat er een contractuele geheimhoudingsverplichting vastgelegd was, omdat het verboden was om inhoudelijk kennis te nemen van de dossiers, en omdat het verboden was om gegevens met derden te delen.
  • Dat neemt niet weg dat Isala "onaangenaam verrast" was dat patiëntendossiers buiten hun medeweten door een derde partij (de Leuvense gevangenis) bewerkt zijn. Als Isala daarvan op de hoogte geweest zou zijn, was er mogelijk een andere keuze gemaakt voor de digitalisering van de dossiers.

De vraag of hier volgens de wet gehandeld is, sla ik hier over - dat is een onderwerp voor een andere bijdrage. Wat mij wel bijzonder opvalt, en waar ik hier aandacht aan wil besteden, is dat Isala klaarblijkelijk van de hele gang van zaken niet op de hoogte was, en daardoor dus "onaangenaam verrast" was. Waarom is dit zo opvallend?

Laten we even de situatie juridisch bekijken:

  • Er zijn hier persoonsgegevens verwerkt in de zin van de Wbp.
  • Isala is zonder twijfel voor deze verwerking verantwoordelijke in de zin van de Wbp.
  • iGuana is evenzo zonder twijfel bewerker in de zin van de Wbp.
  • Isala en iGuana zijn volgens de Wbp verplicht om een overeenkomst af te sluiten waarin de verplichtingen met betrekking tot de Wbp vastgelegd worden (artikel 14 Wbp).  Dit is blijkbaar ook gebeurd. In de rest van dit verhaal zal ik deze overeenkomst als bewerkersovereenkomst aanduiden.
  • Gezien de statements van Isala en iGuana kan ervan uitgegaan worden dat iGuana geen contractbreuk gepleegd heeft met betrekking tot deze overeenkomst.
  • De vraag is dus: hoe goed waren de in de bewerkersovereenkomst vastgelegde afspraken tussen Isala en iGuana?

Er zijn geen gedetailleerde wettelijke voorschriften over de inhoud van een bewerkersovereenkomst (in tegenstelling overigens tot Duits recht). Wel zijn er richtsnoeren van de Autoriteit Persoonsgegevens (de opvolger van het College Bescherming Persoonsgegevens) - zie vooral ook paragraaf 4.2 van deze richtsnoeren. Deze richtsnoeren zijn gepubliceerd in 2013 - dus na de opdracht aan iGuana - maar de principes waren al in 2012 van toepassing:

  • Zeer belangrijk in een bewerkersovereenkomst is dat er goede afspraken gemaakt worden over de inzet van onderaannemers (sub-bewerkers). Vooral is van belang of een bewerker onderaannemers (sub-bewerkers) mag inschakelen, en onder welke voorwaarden. Ik beveel altijd aan dat de verantwoordelijke toestemming moet geven voordat een bewerker een onderaannemer kan inschakelen, en neem altijd passende clausules op in mijn bewerkersovereenkomsten. Tenslotte is de verantwoordelijke degene die verplicht is om ervoor te zorgen dat alle werkzaamheden van de (sub-)bewerkers gebeuren in overeenstemming met de Wbp. Op zijn minst moet een verantwoordelijke altijd op de hoogte zijn van de identiteit van alle (sub-)bewerkers. Hoe kan een verantwoordelijke anders aan zijn wettelijke verplichtingen voldoen?
  • Evenzo belangrijk is het om vast te leggen dat de verantwoordelijke respectievelijk opdrachtgever het recht heeft om audits uit te voeren bij de bewerker en sub-bewerkers. Ook dit volgt direct uit de wettelijke verplichtingen van de verantwoordelijke. En ook dit is een standaard aanbeveling en clausule voor mij.
  • Tenslotte is het belangrijk om ook daadwerkelijk audits uit te voeren bij (sub-)bewerkers, om dezelfde redenen. Dit wordt ook in de richtsnoeren van de Autoriteit Persoonsgegevens genoemd - zie paragraaf 4.3. En ook dit is een standaard aanbeveling mijnerzijds.

Uit het verhaal blijkt dat deze principes niet gevolgd kunnen zijn.

Ten eerste: als Isala nu verrast is over de hele gang van zaken, dan kan het niet anders dan dat de overeenkomst tussen Isala en iGuana geen goede regeling voor sub-bewerkers bevatte, in strijd met de boven beschreven principes. Als dit wel het geval geweest was, dan had iGuana de inzet van de Belgische gedetineerden aan Isala meegedeeld, en had Isala niet verrast kunnen zijn.

Ten tweede: een deugdelijke audit had direct duidelijk gemaakt dat iGuana Belgische gedetineerden als sub-bewerkers inschakelde. Ook hier geldt: het kan niet anders dan dat er geen audits uitgevoerd zijn - anders had Isala niet verrast kunnen zijn.

Conclusie: de overeenkomst tussen Isala en iGuana moet enkele essentiële clausules gemist hebben, en er kunnen geen audits uitgevoerd zijn op de verwerking van de patiëntendossiers. Resultaat: een hoop commotie in de persmedia. Dit onderstreept weer eens het belang van juridisch waterdichte bewerkersovereenkomsten voor alle verwerkingen van persoonsgegevens onder de Wbp, en van goed uitgevoerde audits op deze verwerkingen. Een bewerkersovereenkomst met enkel een geheimhoudingsverplichting en geen follow-up is niet voldoende!

Dit weblog wordt geschreven door Dr. Martin Beckmann LLM. Voor onnauwkeurigheden, feitelijke onjuistheden, andere correcties, of vragen, kunt u contact met hem opnemen via m.beckmann@beckmann-consult.be of via de contactgegevens op deze pagina.



© 2013 - 2016 Adviesbureau Beckmann B.V., Eurode-Park 1 - 62, 6461 KB Kerkrade, Nederland
KvK / Dutch Chamber of Commerce: 53767373 | Statutaire Zetel / Registered Office: Heerlen
BTW nummer / VAT ID: NL 8510.09.323.B.01
Data Center picture © Gregory Maxwell, distributed under the GNU Free Documentation License v1.2
All other pictures © Dr. Martin Beckmann LLM

Wij gebruiken de WURFL software om een optimale weergave op mobiele apparaten te garanderen.
In overeenstemming met de licentievoorwaarden kunt u deze software hier downloaden.