Rollen in de zorg: ben jij verwerker of verwerkingsverantwoordelijke?

In de zorgsector is het dagelijks verwerken van persoonsgegevens vanzelfsprekend. Of het nu gaat om medische dossiers, declaratiegegevens of gegevens van medewerkers, zorgaanbieders moeten voldoen aan strikte regels rondom gegevensbescherming. Het is daarom cruciaal te begrijpen welke rol een organisatie binnen dit kader vervult. Die rol bepaalt immers de verantwoordelijkheden, rechten en verplichtingen van de organisatie. Als de rollen niet duidelijk worden vastgesteld, kan dat leiden tot onrechtmatige verwerking van gegevens of het niet naleven van wettelijke verplichtingen. In dit artikel bespreken we de verschillende rollen en de bijbehorende verschillen.

Welke rollen bestaan er?

Zorgorganisaties kunnen verschillende rollen hebben bij de verwerking van persoonsgegevens. Twee van de belangrijkste zijn die van verwerkingsverantwoordelijke en verwerker. Deze rollen zijn vastgelegd in de Algemene Verordening Gegevensbescherming (AVG) en bepalen wie verantwoordelijk is voor welke aspecten van de verwerking.

Verwerkingsverantwoordelijke (artikel 4 lid 7 AVG)

De verwerkingsverantwoordelijke is de partij die bepaalt waarom en hoe persoonsgegevens worden verwerkt. In de zorg betekent dit vaak dat de zorgaanbieder, zoals een ziekenhuis of thuiszorgorganisatie, als verwerkingsverantwoordelijke optreedt bij het verkrijgen, opslaan, gebruiken en soms delen van patiëntgegevens. Binnen de zorg bestaan verschillende typen verwerkingsverantwoordelijken, wat relevant is gezien de vele samenwerkingsconstructies die tegenwoordig voorkomen.

Gezamenlijk verwerkingsverantwoordelijke

Soms bepalen twee of meer partijen gezamenlijk de doelen en middelen van de verwerking. Dit wordt geregeld in artikel 26 AVG. Voorbeelden uit de zorg zijn samenwerkingen in een netwerk van zorgaanbieders om patiëntinformatie uit te wisselen voor betere zorgcoördinatie. Hierbij beslissen de betrokken partijen samen over systemen, bewaartermijnen en het doel van de verwerking.

Het kan lastig zijn te bepalen wanneer sprake is van gezamenlijke verwerkingsverantwoordelijkheid. De jurisprudentie van het Hof van Justitie van de EU (HvJ) biedt hierin richting. Zo oordeelde het Hof in de zaak Fashion ID (C-40/17) dat een partij slechts gezamenlijk verantwoordelijk is als zij zelf voldoet aan de definitie van verwerkingsverantwoordelijke volgens de AVG. Ook benadrukte het Hof dat gezamenlijke verantwoordelijkheid niet betekent dat elke partij toegang moet hebben tot de persoonsgegevens; het gaat om gezamenlijke besluitvorming over doel en middelen van de verwerking. In de zaak IAB Europe (C-604/22) werd verder verduidelijkt dat een formele overeenkomst niet noodzakelijk is, maar dat gezamenlijke besluitvorming over doel en middelen wel aanwezig moet zijn.

Voorbeelden van gezamenlijke verwerkingsverantwoordelijken in de zorg:

• Ziekenhuis en Medisch Specialistisch Bedrijf (MSB): Beiden bepalen samen doel en middelen bij het gebruik van een gezamenlijk EPD.
• Huisartsenpost en huisartsen tijdens ANW-uren: Samen bepalen ze hoe patiëntgegevens worden gedeeld en verwerkt, bijvoorbeeld bij terugrapportage aan de huisarts na een consult.

Zelfstandig verwerkingsverantwoordelijke

Wanneer partijen onafhankelijk van elkaar bepalen welke gegevens ze verzamelen, waarom en hoe, spreken we van zelfstandig verwerkingsverantwoordelijken. In dat geval bestaat er geen gedeelde verantwoordelijkheid voor het vaststellen van doel of middelen van de verwerking.

Verwerker (artikel 4 lid 8 AVG)

Een verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke. In de zorg kan dit bijvoorbeeld een IT-leverancier zijn die systemen beheert waarin patiëntgegevens zijn opgeslagen, of een externe administrateur die gegevens verwerkt voor facturatie. Het primaire doel van de verwerker is de verwerking zelf. Wordt een partij ingeschakeld met een andere taak, zoals het verlenen van zorg, dan is deze geen verwerker, ook als persoonsgegevens worden verwerkt.

Welke verantwoordelijkheden gelden er?

Afhankelijk van de rol van een partij verschillen de verplichtingen en afspraken die gemaakt moeten worden:

1. Zelfstandig verwerkingsverantwoordelijken
   Elke partij is volledig verantwoordelijk voor de verwerking van de persoonsgegevens die zij beheert. Dit omvat onder andere het naleven van AVG-verplichtingen, het uitvoeren van DPIA’s en het afhandelen van verzoeken van betrokkenen. Bij samenwerking of gegevensuitwisseling is het wel belangrijk duidelijke afspraken te maken en elkaar goed te informeren. Hoewel een schriftelijke overeenkomst handig kan zijn, is dit volgens de AVG niet verplicht.
   
2. Gezamenlijke verwerkingsverantwoordelijken
   Beide partijen zijn verantwoordelijk voor naleving van de AVG, maar het is verstandig om afspraken te maken over de verdeling van specifieke taken. Artikel 26 AVG verplicht zelfs tot het vastleggen van afspraken, doorgaans in een Data Transfer Agreement (DTA). Hierin wordt geregeld:
   • het doel en de middelen van de verwerking;
   • hoe de rechten van betrokkenen kunnen worden uitgeoefend en wie contact onderhoudt met betrokkenen en de Autoriteit Persoonsgegevens;
   • wie verantwoordelijk is voor specifieke taken, zoals het bijhouden van een verwerkingsregister of het uitvoeren van DPIA’s;
   • hoe te handelen bij een datalek;
   • het gehanteerde beveiligingsniveau.

Soms zijn schriftelijke afspraken niet nodig als de wet al duidelijk maakt waarvoor beide partijen verantwoordelijk zijn.

3. Verwerker
   De verwerker bepaalt zelf geen doel of middelen; dit wordt volledig bepaald door de verwerkingsverantwoordelijke. De verwerking mag alleen plaatsvinden op basis van instructies van de verwerkingsverantwoordelijke, vastgelegd in een verwerkersovereenkomst. Hierin worden verplichtingen en verantwoordelijkheden van beide partijen duidelijk omschreven.

De verwerkingsverantwoordelijke moet zorgen voor duidelijke afspraken, omdat de eindverantwoordelijkheid bij hem ligt. Denk aan afspraken over beveiliging, inzet van subverwerkers, datalekmeldingen, het uitvoeren van DPIA’s en het reageren op verzoeken van betrokkenen, evenals procedures voor beëindiging van de verwerking en het teruggeven of verwijderen van gegevens.

Tot slot

In dit artikel zijn de verschillende rollen van partijen bij de verwerking van persoonsgegevens, inclusief zorgaanbieders, besproken. Het is van belang te bepalen welke rol een organisatie vervult om zo de verantwoordelijkheden en benodigde afspraken helder te hebben. Dit vormt de basis voor een juiste omgang met persoonsgegevens en de naleving van wettelijke verplichtingen.

Auteur: Eldermans | Geerts
Deze blog is geschreven door Eldermans | Geerts. Een advocatenkantoor dat adviseert aan en optreedt namens zorgprofessionals, zorginstellingen en brancheverenigingen in de zorg. Ze beschikken over uitgebreide deskundigheid en ervaring binnen de zorgsector.