Worden in uw zorgorganisatie persoonsgegevens verwerkt door een externe partij, bijvoorbeeld Nedap, VECOZO of SDB Groep? Om te voldoen aan de Algemene verordening gegevensbescherming (AVG) moet u met al deze partijen afspraken maken over de verwerking van deze gegevens. Vervolgens legt u de gemaakte afspraken schriftelijk vast in een verwerkersovereenkomst.
Kunt u na een datalek géén verwerkersovereenkomst overleggen? Dan overtreedt u de AVG en kan de Autoriteit Persoonsgegevens (AP) u een boete opleggen.
Wat moet er volgens de AVG in een verwerkersovereenkomst staan?
Een goede verwerkersovereenkomst bestaat volgens de AVG standaard uit de volgende onderdelen.
- Het doel van de verwerking: waarom verzamelt u persoonsgegevens?
- De manier waarop en met welke middelen de data worden verzameld.
- De locatie van de data: is dat binnen of buiten de EU/EER?
- Afspraken over subverwerkers, denk bijvoorbeeld aan de hostingpartij van Nedap, VECOZO of SDB Groep.
- Beveiligingsmaatregelen: met welke middelen houdt u de gegevens van patiënten, cliënten en medewerkers veilig?
- De duur van de verwerking (vaak is dat tot wederopzegging van het contract).
- Afspraken over audits.
- Afspraken over aansprakelijkheid: wie is verantwoordelijk in het geval van een datalek, en wie vergoedt eventuele schade?
Eventueel kunnen deze onderdelen worden aangevuld specifiek voor uw zorgorganisatie, bijvoorbeeld met afspraken over geheimhouding. Ook wordt in de overeenkomst vastgelegd wat er met de gegevens gebeurt als u de samenwerking met een bepaalde verwerker opzegt.
Informatie
Benieuwd wat Moja Rada voor uw organisatie kan betekenen?
Vraag vrijblijvend informatie aan