AP eist betere afspraken over digitaliseren patiëntdossiers

De Autoriteit Persoonsgegevens (AP) heeft geconstateerd dat drie ziekenhuizen geen goede afspraken hadden gemaakt met een bedrijf dat namens het ziekenhuis patiëntgegevens verwerkte. Dit is in strijd met de Wet bescherming persoonsgegevens (Wbp). De toezichthouder heeft de ziekenhuizen een korte termijn gesteld om alsnog een bewerkersovereenkomst te sluiten die voldoet aan de wettelijke vereisten. De AP zal dit hierna controleren.

Begin dit jaar kwam in het nieuws dat het Belgische scanbedrijf iGuana in opdracht van ziekenhuizen medische dossiers in een gevangenis scanklaar liet maken, bijvoorbeeld door nietjes te verwijderen. De Autoriteit Persoonsgegevens deed daarop navraag bij enkele ziekenhuizen om vast te stellen of deze ziekenhuizen een bewerkersovereenkomst met het scanbedrijf hadden afgesloten die aan de wettelijke eisen voldoet. De AP stelde vast dat één ziekenhuis geen bewerkersovereenkomst met het scanbedrijf had gesloten. Twee andere ziekenhuizen hadden wel bewerkersovereenkomsten gesloten, maar deze voldeden niet aan alle wettelijke eisen. Zo ontbraken er details over de duur van de opslag en de beveiliging van de gegevens of was er niet expliciet een plicht tot geheimhouding opgenomen.

Een ziekenhuis mag de verwerking van medische gegevens, bijvoorbeeld het inscannen van medische dossiers, uitbesteden aan een andere organisatie. Het ziekenhuis (de verantwoordelijke) moet volgens de Wbp in dat geval een bewerkersoverkomst sluiten met de organisatie (de bewerker) die de dienst levert