BEWERKERSOVEREENKOMST Om aan de eisen te kunnen voldoen die gesteld zijn in de wet- en regelgeving op het gebied van de privacy, is het van groot belang dat de te treffen technische en organisatorische oplossingen zodanig vertrouwen geven dat de risico’s voldoende beperkt zijn. Het is daarom zinvol dat op het gebied van de uitwisseling van data de bedrijfsjurist, de privacyfunctionaris en de ICT-afdeling met elkaar nauw samenwerken. Het waarborgen van privacy is niet uitsluitend een taak die bij de bedrijfsjurist ligt, maar dient een punt van aandacht voor de hele organisatie te zijn. Om de veiligheidsrisico’s in kaart te kunnen brengen, is een ’privacy impact assessment’ (PIA) nodig. Er is sprake van ’bewerkingen’ wanneer persoonsgegevens bijvoorbeeld worden: • verzameld en opgeslagen; • bewaard, bijgewerkt en gewijzigd; • gedeeld met andere partijen; • opgevraagd en geraadpleegd; • gekoppeld aan andere databestanden; • vernietigd. DOELOMSCHRIJVING De doelomschrijving in de bewerkersovereenkomst beperkt de mogelijkheden van bewerkingen van de data. Het is dan ook verstandig om dit in een zo vroeg mogelijk stadium te bepalen. Dit is een verplichte voorwaarde. Er dient te worden omschreven wat er met de data mag en dient te gebeuren. Indien meerdere partijen recht hebben op bijvoorbeeld toegang tot de data, dient dit in de doelomschrijving te zijn opgenomen. Indien de database ten behoeve van onderzoek wordt gegenereerd, is het verstandig om de mogelijkheden van (toekomstig) gebruik nauw met de betrokken onderzoekers te bespreken. Het gebruik van de database wordt beperkt door de specifieke doelstelling. Het zijn immers ook de patiënten die aan de geformuleerde doelstelling hun toestemming verlenen. LIJST MET DATA Hoewel dit geen wettelijk voorschrift is, is het raadzaam om aan een bewerkers24 BEVEILIGING In het geval van de beveiliging van de data zou ervan uit moeten worden gegaan overeenkomst de lijst met exacte data toe te voegen. Zeker bij het gebruik van een eHealth-app via een mobiel apparaat, H E DE kan veel data door de ICT-dienstverlener worden verzameld. Bijvoorbeeld over de wijze van gebruik, hoelang en op welk moment van de dag wordt gebruikt en welke pagina’s van een app worden geraadpleegd. In dat traject kan de ICTdienstverlener ook eigen commerciële belangen hebben. De data van een eHealth-app vertegenwoordigen (ook) een commerciële waarde voor andere partijen. Het is daarom verstandig om (in de licentieovereenkomst) afspraken te maken over de mogelijkheden van het plaatsen van advertenties. Door het toevoegen van de lijst met te verwerken data, worden de rechten op de beschikbare data transparanter en onderwerp van gesprek tussen partijen. dat de ICT-dienstverlener aantoont welke maatregelen worden getroffen in het kader van de veiligheid van de data. De PIA is daarvoor een handig instrument. Het is daarbij te adviseren dat de beschreven maatregelen worden getoetst, bij voorkeur door een derde partij. In veel gevallen hebben ICT-dienstverleners een derde partij al een audit laten uitvoeren en zij zijn dan vaak ook al in het bezit van een onafhankelijk rapport. Dit rapport zou als bijlage van de bewerkersovereenkomst kunnen worden opgenomen. Daarbij kan worden opgenomen dat ieder jaar een dergelijke audit wordt uitgevoerd en er de verplichting is de getroffen maatregelen te handhaven of te verbeteren. Een checklist kan helpen bij het geven van juridisch advies waar het gaat om de verzameling en bewerking van (big) data door een eHealth-app. CHECKLIST 1. Welke data wordt er verzameld? Geef een overzicht van alle datavelden. 2. Met welk doel worden de data verzameld? 3. Wie zijn de partijen die bij de verzameling zijn betrokken en welke rol ver-vullen zij? 4. Op welke locatie worden de app en de data beheerd? 5. Op welke wijze worden de data verzameld? Geef daarbij de datastroom weer. 6. In het geval dat de wijze een nieuw te ontwikkelen app betreft, hoe wordt die ontwikkeld en welke partijen zijn daarbij betrokken? Wie levert de software? Wie beheert de data? Wie levert de tekst? Wie hebben de afbeeldingen gemaakt? 7. Hoe ontvangt de zorgverlener de data die met behulp van de app worden gegenereerd? Hoe kunnen de data aan het Elektronisch Patiëntendossier worden toegevoegd? 8. Welke andere partijen hebben toegang tot de data? Wie besluit of derden toegang tot de data kunnen krijgen? 9. Over welke functionaliteiten dient de app te beschikken? 10. Hoe en door wie worden potentiële gebruikers, zoals patiënten, benaderd? 11. Wie betaalt waarvoor? 12. Wat is de uitkomst van de privacy impact assessment? dat de ICT-dienstverlener de specialist is met betrekking tot de mogelijkheden van beveiliging. Het is daar om te adviseren
25 Online Touch Home