Waarom moeilijk doen als het makkelijk kan?

In de Algemene verordening gegevensbescherming (AVG) wordt gesproken over een Verwerkingsovereenkomst tussen Verantwoordelijke en Verwerker. Dat wil niet zeggen dat er per se een (extra) apart document moet worden gemaakt.

Wat de wetgever wil is dat er op de één of andere manier een relatie tussen deze twee partijen is beschreven. De vorm is vrij. Dit betekent dat de verwerkingsovereenkomst opgenomen kan zijn in een leveranciersovereenkomst, protocol of andere overeenkomst.

Voorkom overkill en onnodige kosten

De zorgsector kent naast de AVG ook nog sectorspecifieke wet- en regelgeving. Daarin is dit verder uitgewerkt. Denk dan vooral aan het beschermen van de privacy van patiënten en cliënten. Oorspronkelijk bedoeld als aanvulling op de Wet bescherming persoonsgegevens (Wbp) en nu aanvullend op de AVG. Hierdoor valt de noodzaak weg om de relatie tussen deze zorgverleners nog eens apart te regelen. Zeker als er ook al richtlijnen zijn waaraan deze zorgverleners zich houden. Dat voorkomt overkill en onnodige kosten.

Protocol als alternatief voor verwerkingsovereenkomst

Zo bestaat er bijvoorbeeld de Richtlijn overdracht medicatiegegevens. Deze is opgesteld door de koepelorganisaties op initiatief van de Rijksoverheid. De zorgverleners zijn daarmee uitgenodigd om dat door te vertalen in hun lokale en regionale situatie door middel van een protocol. Met zo’n protocol vervalt de noodzaak voor een verwerkingsovereenkomst tussen, bijvoorbeeld, zorginstelling en apotheker. 

Ons advies is dat zorginstellingen en zorgverleners die ooit samen een protocol hebben opgesteld en daaraan uitvoering geven, dat document checken en in lijn brengen met de AVG. Bij die check zou dan tevens rekening moeten worden gehouden met zowel de fysieke als de digitale wijze van distribueren van deze gegevens en welk tool hiervoor wordt gebruikt. 

Jaarlijkse protocol check

Het is verstandig om dit protocol jaarlijks  te actualiseren, zeker in de komende jaren. Mogelijk komt er nog een Algemene Maatregel van Bestuur (AMvB) waarin specifieke functionele, technische en organisatorische beveiligingseisen aan elektronische gegevensuitwisseling door zorgaanbieders worden gesteld. Op dit moment is het zo dat de NEN-7500-serie al eisen stelt. We zien dat deze normen nog niet vaak worden aangehaald in een protocol. 

De door Intrakoop aangeboden FG-diensten kunnen je organisatie ook helpen bij deze aan de AVG gelieerde zaken. Wij stellen onze  kennis hiervoor graag beschikbaar aan de leden van Intrakoop.