BESLISBOOM VERWERKERSOVEREENKOMST

Vergelijkbare documenten
BESLISBOOM VERWERKERSOVEREENKOMST

BESLISBOOM VERWERKERSOVEREENKOMST

FACTSHEET VERWERKINGSREGISTER

Chodsky Pes Club Nederland

De AVG, wat moet ik ermee?

Privacy statement Nederlandse Triage Standaard

FACTSHEET BIJZONDERE PERSOONSGEGEVENS

REGLEMENT TAKEN EN BEVOEGDHEDEN FUNCTIONARIS GEGEVENSBESCHERMING

Toelichting op de Algemene Verordening Gegevensbescherming

Privacyverklaring. SafeTec Interim

Verwerkingsovereenkomst Bijlage bij Algemene Voorwaarden Thumbs Up VOF

Privacyreglement Spoor3 BV

VERWERKEN VAN PERSOONSGEGEVENS

VERWERKERSOVEREENKOMST

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Privacyverklaring MeerWaarde

Privacybeleid Promat BVBA

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Privacyverklaring. WZG Arendonk. Datum laatst aangepast: 18 juni 2018

1. Definities De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

Sophios Standaard Verwerkersovereenkomst

Privacyverklaring. Goldie. Datum laatste goedkeuring directie:

EXQUISE NEXT GENERATION

Privacyverklaring. Carre Mode. Datum laatst aangepast: 16 mei 2018

Privacyverklaring Areal

Ambtelijk secretaris AVG-proof. mr. drs. Stefan Jansen 18 mei 2018

Privacyverklaring. Datum laatst aangepast: 18/04/2019

Privacyverklaring. Jan Van Aelst. Datum laatst aangepast: 17 mei 2018

Verwerkersovereenkomst Tussen DataSpeed en <bedrijf>

VERWERKERSOVEREENKOMST KRYB

2. In deze overeenkomst (de Verwerkersovereenkomst) wordt onder de volgende begrippen verstaan:

Privacyverklaring. Ask Lily. Datum laatst aangepast: 1 maart Datum laatste goedkeuring directie:

Bijlage Gegevensverwerking. Artikel 1 - Definities

Privacyverklaring. La Source. Datum laatste goedkeuring directie:

Privacy Policy/reglement Logopediepraktijk Bakel

Voorwaarden voor Gegevensverwerking Versie 1.0

Privacyverklaring voor medewerkers en vrijwilligers

Verwerkersovereenkomst Per maart 2018 éénmalige versie

Checklist Verwerkersovereenkomst

Privacyverklaring. Macolines. Datum laatst aangepast: 16 mei 2018

Privacyverklaring. Datum laatst aangepast: 4 mei 2018

Privacyverklaring. Thals vzw. Datum laatst aangepast: 4 februari 2019

PRIVACYBELEID BESCHERMING VAN PERSOONSGEGEVENS

Presentatie ten behoeve van stichtingen en verenigingen. mogelijk gemaakt door Stichting De Slinger en Servicepunt Vrijwilligerswerk

1. Verplichtingen. 2. Subverwerkers

Privacyverklaring. Datum laatst aangepast: Datum laatste goedkeuring directie:

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

Algemene verordening gegevensbescherming

Privacyverklaring. Macobo. Datum laatst aangepast: 16 mei 2018

Privacyverklaring. Datum laatst aangepast: Datum laatste goedkeuring directie:

PRIVACYREGLEMENT Beweeg Bewust

Pluform Privacyreglement Versie 9, 23 april 2018

PRIVACYREGLEMENT. Praktijk oefentherapie Mensendieck Waddinxveen. Inleiding

VERWERKERSOVEREENKOMST

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Verwerkersovereenkomst ARVODI-2016 Contractnummer:

PRIVACYREGLEMENT. Logopediepraktijk Putten & Garderen en cliënten

Verwerkersovereenkomst

Phytalis-Verwerkersovereenkomst

Privacyverklaring Loonexpert Nederland

PRIVACYREGLEMENT. In dit privacyreglement wordt aan onderstaande begrippen de navolgende betekenis gegeven:

PRIVACY POLICY. Logopedie Flevoland

PRIVACYREGLEMENT. Jolien Glas Oefentherapie

Privacyverklaring Therapeuten VVET

Privacystatement. (Gerelateerd aan de Verordening (EU) 2016/679 van 27 april 2016)

Verwerkersovereenkomst. Notulen Software. een handelsnaam van DUODEKA Coöperatie U.A.

Verwerkersovereenkomst Tussen ipasregistratie.nl [DataSpeed] en <schoolinstelling>

PRIVACYREGLEMENT. Oefentherapie Montferland

PRIVACYVERKLARING. 1. Inleiding

Privacy reglement. Pagina 1 van 9

PRIVACYREGLEMENT. Praktijk voor oefentherapie Mensendieck en persoonlijke groei

Protocol Cameratoezicht

Verwerkersovereenkomst INTRAMED ONLINE

Privacyreglement. MONDIAAL logopedie Socratesstraat BX Rotterdam Tel

Camerabeleid ten behoeve van fysieke bewaking. 2. Doel toepassing camera s voor fysieke beveiliging

Verwerkersovereenkomst Orka

Privacy Statement Sa4-zorg

Voorbeeld Verwerkersovereenkomst

In dit privacyreglement wordt aan onderstaande begrippen de navolgende betekenis gegeven: de gegevens die betrekking hebben op een persoon

In deze privacyverklaring wordt aan onderstaande begrippen de navolgende betekenis gegeven:

Privacyverklaring VEKMO

Privacyreglement. Van der Horst & Starke Iepenstraat BR Kampen. 1 Privacyreglement Van der Horst Starke

PRIVACYVERKLARING 1. WERKINGSSFEER

PRIVACY POLICY

Privacyverklaring Administratiekantoor Van Mierlo B.V.

Privacy Ad Boumans

logopedie praktijk Lage Zwaluwe,

PRIVACYREGLEMENT. Praktijk voor Logopedie en Dyslexie Raemakers

PRIVACYVERKLARING. Welkom!

Privacy Policy ETS. TRANSPORTS M. COLLIGNON

Verwerkersovereenkomst Beyuna Beyuna Independent Sales Representative

PRIVACY POLICY. Hierna volgen enkele definities van termen die doorheen dit document zullen worden gebruikt.

Privacyverklaring VVET

MODEL Verwerkersovereenkomst voor de R.-K. parochies van de R.-K. Kerkprovincie in Nederland.

Verwerkingsovereenkomst Bunnig & Partners accountants + adviseurs B.V.

Privacybeleid RitAssist Nederland B.V.

5.1 Inzage van gegevens U heeft recht op inzage van uw persoonsgegevens en een kopie daarvan te ontvangen.

PRIVACYREGLEMENT. Meander Medisch Centrum

de Algemene Verordening Gegevensbescherming (AVG); Uitvoeringswet Algemene Verordening Gegevensbescherming.

PRIVACYREGLEMENT AVAQ GROEP. Allround Security Company B.V., Allround Security Company B.V.B.A. en Vidocq B.V. maken onderdeel uit van AVAQ B.V.

Transcriptie:

BESLISBOOM VERWERKERSOVEREENKOMST Vooraf: Uit de beslisboom blijkt wanr wel en wanr geen verwerkersovereenkomst nodig is. Wanr geen verwerkersovereenkomst nodig is maar wel persoonsgegevens worden verwerkt, dan moet een veilige omgang met patiëntgegevens in andere afspraken zijn opgenomen. Die afspraken (overeenkomsten) worden ook in de beslisboom en de toelichtingen vermeld. Een aantal van de gebruikte termen verdienen hierbij een nadere toelichting: Persoonsgegevens. Dit gaat over gegevens die herleidbaar zijn tot individuele personen. Dit zijn natuurlijk patiëntgegevens, maar bijvoorbeeld ook persolsgegevens en gegevens over aangesloten huisartsen. Verwerking van persoonsgegevens. Verwerken omvat alle activiteiten op het gebied van het beheren en gebruiken van persoonsgegevens, U moet denken aan activiteiten zoals: vastleggen, verzamelen, ordenen, opslaan, verstrekken, structureren, afschermen etc. Verwerker. De partij die, in opdracht van een verantwoordelijke, persoonsgegevens verwerkt. De verantwoordelijke bepaalt het doel en de middelen van de verwerking. Ketenpartner. Andere zorgorganisatie of zorgverlener die zorg verleent in samenhang met de zorg die de u zelf verleent en waarbij sprake is van een zekere mate van continuïteit van activiteiten. Ketenpartners hebben hun eigen verantwoordelijkheid voor door hen geleverde zorg. Gegevensuitwisseling. (Herleidbare) persoonsgegevens kunnen worden uitgewisseld met ketenpartners of medewerkers in relatie tot de behandeling van een patiënt, voor de eigen bedrijfsvoering, maar ook voor andere doeleinden zoals onderzoek.

BESLISBOOM VERWERKERSOVEREENKOMST START U overweegt om een overeenkomst te sluiten of afspraken te maken met een partij en u denkt dat u een verwerkerovereenkomst moet afsluiten. 1 Is sprake van persoonsgegevens? De derde partij geldt niet als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie Toelichting I hoe u kunt vaststellen of het gaat om persoonsgegevens. 2 Zijn het geanonimiseerde persoonsgegevens? Als zeker is dat geen enkel persoon uit het oorspronkelijke bestand herkend kan worden, is sprake van anonimiseren. 3 Gaat het om uitwisselen informatie met ketenpartners? Deze partij geldt niet als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie Toelichting II wat u moet doen om te voldoen aan wet- en regelgeving bij het uitwisselen van gegevens met andere partijen. 4 Levert u gegevens tbv onderzoek? 4a Wordt het onderzoek in uw opdracht uitgevoerd? De partij waaraan u levert geldt niet als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie Toelichting III hoe u kunt vaststellen of u voldoet aan wet- en regelge-ving bij het leveren van patiëntgegevens aan partijen ten behoeve van onderzoek. 5 Worden verwerkactiviteiten uitgevoerd door mensen die onder uw toezicht werken? Deze personen gelden niet als verwerker, u hoeft geen verwerkersovereenkomst af te sluiten. Zie Toelichting IV Voorbeelden: Een partij komt eenmalig hardware installeren. Een partij ontwikkelt voor u software, installeren en onderhouden doet u zelf of een andere partij. 6 Lijkt de dienst/product op een van de voorbeelden uit de kolom hiernaast? Deze partij geldt niet als verwerker, u hoeft voor deze diensten geen verwerkersovereenkomst af te sluiten. Zie Toelichting V EINDE In de betekenis van de AVG geldt deze partij als verwerker, namelijk een partij die in opdracht van u persoonsgegevens verwerkt. Kijk ook naar de definities van verwerker en verwerking.

Uit het schema blijkt dat voor de volgende partijen een verwerkersovereenkomst nodig is: De beheerder van het systeem waarin u patiëntdossier heeft opgeslagen, zoals de leverancier van het HIS, KIS of HAPIS. De leverancier heeft dan toegang tot patiëntgegevens en geldt zodoende als verwerker. Het administratiekantoor dat de salarisadministratie voor u verzorgt en hiertoe gegevens van werknemers moet verwerken. Dienstverleners die uw declaratie verzorgen en hiertoe gegevens van patiënten verwerken. Dienstverleners die rapportages maken en hiervoor toegang hebben tot de gegevens van patiënten of medewerkers. De beheerder van de telefonie omgeving, waarin gesprekken kunnen worden opgenomen. In BIJLAGE: VOORBEELDEN is een meer uitgebreide lijst van veel voorkomende voorbeelden opgenomen. TOELICHTING I: PERSOONSGEGEVENS Persoonsgegevens zijn gegevens die herleidbaar zijn tot een individu. In elk geval zijn dat gegevens zoals: namen, adressen, telefoonnummers. Maar ook als u een bestand heeft waaruit dit soort gegevens zijn gewist, kan er nog steeds sprake zijn van persoonsgegevens. Een voorbeeld: u heeft een lijst patiënten met gegevens over bezoek en roken. U verwijdert voornaam, achternaam, adres, het mailadres uit de lijst en houdt alleen over: 1. hoe vaak elke patiënt in de laatste maand bij u op het spreekuur is geweest en 2. Of de patiënt wel of niet rookt. Het zal niet moeilijk zijn om een deel van de patiënten uit deze gegevens toch te kunnen identificeren, voor iemand die de patiënt kent. De gegevens worden hierom beschouwd als persoonsgegevens. DOEN: Kritisch zijn op anonimiseren. Het is erg moeilijk om bestanden zover uit te kleden dat ze echt niet meer tot de personen herleid kunnen worden. TOELICHTING II: KETENPARTNERS Ketenpartners, zoals ziekenhuizen, andere huisartsen etc zijn geen verwerkers. Deze partijen zijn, net als u, verwerkersverantwoordelijken. Dat betekent dat u geen verwerkersovereenkomst hoeft af te sluiten met deze partijen. DOEN: U moet weten met welke partijen u wel of niet persoonsgegevens mag uitwisselen. U moet ook zorgen dat uw medewerkers, huisartsen in opleiding etc. weten aan welke partijen ze welke informatie mogen geven. Dit kan bijvoorbeeld in een gedragscode opgetekend worden.

TOELICHTING III: ONDERZOEK EN ANALYSES U geeft opdracht aan een partij om een analyse uit te voeren op uw bestanden met persoonsgegevens of om een onderzoek uit te voeren. In dat geval geldt deze partij als verwerker, waarmee u een verwerkersovereenkomst moet afsluiten. Het onderscheidend criterium is dat de partij die u heeft ingehuurd, geen eigen doel heeft met de analyse of het onderzoek. Echter als deze partij onder eigen verantwoordelijkheid onderzoek uitvoert (bijvoorbeeld een farmaceutisch bedrijf of universiteit), dan geldt deze partij niet als verwerker. U hoeft geen verwerkersovereenkomst te sluiten met deze partij. DOEN: Wanr het gaat om onderzoek moet u expliciet toestemming hebben van betrokkenen. Deze toestemming moet zijn vastgelegd. U moet de betrokkene gelegenheid geven om toestemming in te trekken. Wanr het gaat om analyses ter ondersteuning van kwaliteitsbeleid of bedrijfsvoering is toestemming niet nodig. TOELICHTING IV: MEDEWERKERS U geldt als verwerkingsverantwoordelijke en uw medewerkers, al dan niet in vaste dienst, vallen onder uw verantwoordelijkheid en zijn geen verwerkers. Ook ZZP ers en tijdelijke krachten die op detacheringsbasis bij u werken zijn geen verwerkers. Hoewel een uitzondering hierop kan zijn de ZZP er die zelf bepaalt hoe hij/zij voor u een bepaalde opdracht uitvoert. In dat geval lijkt de ZZP er op een bedrijf. DOEN: U moet zorgen dat u voldoende heeft gedaan om ervoor te zorgen dat deze mensen betrouwbaar zijn (bijvoorbeeld door middel van screening), de regels kennen, een geheimhoudingsverklaring hebben getekend etc. Ook moet u regelmatig controleren of iedereen zich houdt aan de regels. TOELICHTING V: DIENSTVERLENERS De termen verwerker en verwerken wekken de suggestie dat een verwerker actief iets doet met de persoonsgegevens. Echter ook een bedrijf dat de servers verhuurt, waarop u de bestanden met persoonsgegevens bewaart, geldt als verwerker. Met deze partij moet u een verwerkersovereenkomst sluiten. Deze partij speelt in uw opdracht een rol bij het verzamelen, vastleggen, wissen etc. van de persoonsgegevens. Als een partij echt geen toegang kan hebben tot de persoonsgegevens en geen van de activiteiten uitvoert die zijn genoemd in de definitie van verwerken hieronder, is een verwerkersovereenkomst niet nodig. Praktische voorbeelden hiervan zijn: Een partij die eenmalig op uw locatie hardware komt installeren.

Een partij die in uw opdracht software ontwikkelt en u heeft het installeren van de ontwikkelde software uitbesteed aan weer een andere partij. In dat geval geldt alleen de laatst genoemde partij als verwerker.

BIJLAGE: VOORBEELDEN In de onderstaande tabel staan veel voorkomende voorbeelden van partijen waarmee afspraken worden gemaakt. Mogelijk gelden deze partijen als verwerker, waarvoor een verwerkersovereenkomst nodig is. Omdat individuele gevallen kunnen afwijken, is de reden toegelicht waarom wel of geen verwerkersovereenkomst nodig is. In de eerste kolom staat degene die verantwoordelijk is voor de persoonsgegevens, oftewel vanuit welk perspectief de vraag is benaderd. VERANTWOORDELIJKE AFSPRAKEN MET VERWERKERS- OVEREENKOMST NODIG? REDEN Gezondheidscentrum of Zorggroep Huisartsenpost De huisartsenpost heeft een zelfstandige verantwoordelijkheid voor de behandeling van de patiënt en zodoende voor de verwerking van de patientgegevens. Zie ook: Toelichting II: ketenpartners Toestemming van de patiënt voor het beschikbaar stellen van gegevens is wel nodig. Zorgverzekeraar Voor het declaratieverkeer geldt een ander wettelijk kader (Zorgverzekeringswet). Een verwerkersovereenkomst is niet nodig. Huisartsen praktijk De huisartsenpraktijk heeft een zelfstandige verantwoordelijkheid voor de behandeling van de patiënt en zodoende voor de verwerking van de patientgegevens. Zie ook: Toelichting II: ketenpartners Zorggroep Ketenpartners, zoals diëtisten, De ketenpartners hebben een zelfstandige verantwoordelijkheid voor de behandeling van de patiënt en zodoende voor de verwerking van de patientgegevens. InEen

fysiotherapeuten, psychologen, etc. Het is wel belangrijk om spelregels af te spreken hoe je binnen de zorggroep omgaat met persoonsgegevens. Zie ook: Toelichting II: ketenpartners Regionaal Data Centrum De RDC s voeren opdrachten uit ter ondersteuning van het kwaliteitsbeleid of de bedrijfsvoering. Wanr zij ook activiteiten uitvoeren die buiten de primaire doelstelling van de verwerking van gegevens vallen, dan is ook toestemming van de patiënt nodig. HIS, KIS, HAPIS leverancier Wanr leveranciers/dienstverleners toegang kunnen krijgen tot persoonsgegevens is een verwerkersovereenkomst nodig. Wanr zij geen enkele verwerking uitvoeren (bijvoorbeeld ook niet opslaan ), dan is een verwerkersovereenkomst niet nodig. Software of hardware leverancier Wanr een leverancier alleen de software of hardware levert, maar geen verwerking van persoonsgegevens uitvoert, dan is een verwerkersovereenkomst niet nodig. Zelf management platform leverancier Een zelfmanagement platform slaat persoonsgegevens op, bijvoorbeeld inloggegevens. Wanr u dit platform aan de patiënt aanbiedt, dan verwerken zij persoonsgegevens onder uw verantwoordelijkheid en is een verwerkersovereenkomst nodig. Indien het platform onder de verantwoordelijkheid van een ketenpartner word aangeboden, dan is een verwerkersovereenkomst met u niet nodig. InEen

De ketenpartner zal dan de verwerkersovereenkomst afsluiten. Zie ook: Toelichting II: ketenpartners InEen, bv Benchmark Ketenzorg, Benchmark Huisartsen-posten of Zelfevaluatie InEen vraagt geen persoonsgegevens op, maar alleen geaggregeerde gegevens, die niet tot individuen herleidbaar zijn. Zie ook: Toelichting I: persoonsgegevens Inspectie Gezondheids- zorg en Jeugd Voor de toezichtfunctie van de IGZ geldt een ander wettelijk kader. Een verwerkersovereenkomst is niet nodig. Autoriteit Persoons-gegevens De AP vraagt geen persoonsgegevens op. Een verwerkersovereenkomst is niet nodig. Nederlandse Zorgautoriteit Voor de toezichtfunctie van de NZa geldt een ander wettelijk kader. Een verwerkersovereenkomst is niet nodig. NIVEL Zorgregistraties Het NIVEL verwerkt privacy-gevoelige informatie, zoals informatie over leeftijd en diagnose, in opdracht van huisartsenpraktijken en -posten. Het NIVEL sluit hiervoor een verwerkersovereenkomst af. Zie ook: Toelichting III: onderzoek Universiteit Een universiteit doet zelfstandig onderzoek, niet in opdracht van u. Om persoonsgegevens te delen heeft u toestemming nodig. Zie ook: Toelichting III: onderzoek InEen

Salaris administratie kantoor Wanr u uw salarisadministratie heeft uitbesteed dan is een verwerkersovereenkomst met deze partij nodig. Salaris administratie software leverancier Wanr u uw salarisadministratie in eigen beheer voert (eventueel met een ingehuurde salarisadministrateur) en de software leverancier geen toegang tot gegevens kan krijgen (de software is lokaal geinstalleerd), dan is een verwerkersovereenkomst niet nodig. Betreft het een webapplicatie, dan is een verwerkersovereenkomst wel nodig. De software leverancier verwerkt dan wel persoonsgegevens. Website beheerder, intranet beheerder of hosting partij Wanr persoonsgegevens worden verwerkt, dan is een verwerkersregister noodzakelijk. Dit is bijvoorbeeld het geval wanr gebruik wordt gemaakt van een online invulformulier, een mogelijkheid tot aanmelding van een afspraak of een andere invoermogelijkheid waar persoonsgegevens kunnen worden ingevoerd. InEen

BIJLAGE: DEFINITIES Persoonsgegevens: (definitie AVG) persoonsgegevens : alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ( de betrokkene ); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Verwerking: (definitie AVG) verwerking : een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback