POSTADRES TEL
AAN
Postbus 93374, 2509 AJ Den Haag
070 - 381 13 00
FAX
070 - 381 13 01
Bedrijf A
BEZOEKADRES
E-MAIL
Prins Clauslaan 20
[email protected]
INTERNET
DATUM ONS KENMERK
www.cbpweb.nl
14 oktober 2002 z2000-1250
CONTACTPERSOON
UW BRIEF VAN UW KENMERK
ONDERWERP
uitwisseling gegevens via internet zorgportaal Bij brief van 19 september 2002 heeft u gereageerd op de voorlopige bevindingen ten aanzien van de verwerkingsdiensten van A die het College bescherming persoonsgegevens (CBP) u bij brief van 22 augustus jl. heeft toegestuurd. De voorlopige bevindingen van het CBP waren gebaseerd op de met A gevoerde gesprekken en bijbehorende stukken van 2 november 2000, 21 februari 2002, 9 april 2002 en de antwoorden die u bij brief van 5 juli jl. heeft gegeven op de zes aanvullende vragen die het CBP u bij memo van 11 april jl. heeft gesteld. In uw laatste brief heeft u op een aantal punten een nadere toelichting gegeven. Tevens stelt u X te hebben ingeschakeld om een privacyaudit uit te voeren, waarvan het definitieve rapport nog aan het CBP zal worden voorgelegd. Ook overigens heeft u de aanbevelingen van het CBP overgenomen. Het CBP ziet hierin aanleiding om tot afronding van de zaak te komen. Dit is dan ook de eindbrief van het CBP in deze zaak. 1. Feiten In dit deel komen de feiten aan de orde die door A via gesprekken en documenten zijn verstrekt. Het CBP betrekt daarbij met name de volgende documenten die A heeft overgelegd: 1) de modelovereenkomst ziekenhuizen 2) de modelovereenkomst zorgverzekeraars 3) de overeenkomst inzake exploitatie zorgportaal tussen A en B; 4) door A ingevulde concept-meldingsformulieren voor de verzekeraar en het ziekenhuis; 5) A Zorgportaal Privacypolicy (versie 2.3.); 6) A Zorgportaal Beveiliging (versie 3.0); 7) de Vektis-standaard. A stelt zich ten doel om efficiënte berichtenuitwisseling mogelijk te maken tussen zorgverleners en zorgverzekeraars via een landelijke elektronische berichtencentrale, zonder verdere nevendoelen. A wil daartoe zo spoedig mogelijk als bewerker via internet berichten met persoonsgegevens van patiënten/cliënten gaan uitwisselen tussen het ziekenhuis en de verzekeraar bij wijze van proef. Op termijn is het plan dit uit te breiden naar alle Nederlandse ziekenhuizen, tandartsen, fysiotherapeuten en huisartsen enerzijds en verzekeraars anderzijds. Aan de hand van de antwoorden van A op de aanvullende vragen van het CBP worden hier in zes onderdelen de overige feiten opgesomd.
BIJLAGEN BLAD
1
DATUM ONS KENMERK
14 oktober 2002 z2000-1250
Ad 1) Datamodel Alle persoonsgegevens die voor declaratieafwikkeling worden verwerkt tussen zorgaanbieders en zorgverzekeraars zijn (al dan niet tijdelijk) opgeslagen in één centrale database. Het gaat daarbij onder meer om gezondheidsgegevens. Gezondheidsgegevens zijn alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen. A heeft er voor gekozen zich aan te sluiten bij de zogenaamde Vektis-standaard van de zorgverzekeraars. Via doelomschrijvingen, modelovereenkomsten en het meldingsformulier van de verantwoordelijken (zorgaanbieders en zorgverzekeraars) die A als bewerker hebben ingeschakeld, zijn de voorwaarden aangegeven voor de wijze waarop deze persoonsgegevens dienen te worden verwerkt en is de bevoegdheidsverdeling geregeld. In het meldingsformulier is vastgelegd dat het personeel onder leiding van A in ieder geval geen toegang heeft tot de gegevens. Gebruik van de Vektis-standaard brengt met zich mee dat er meer gegevens worden verzameld dan noodzakelijk is voor het doel van A. A zou daardoor meer met deze gegevens kunnen doen dan noodzakelijk is gelet op haar doel. A is daartoe echter niet bevoegd. Dergelijk gebruik van gegevens zou bovendien onrechtmatig zijn. Vandaar dat het CBP A in zijn vorige brief heeft aanbevolen haar systeem zodanig in te richten dat met de verkregen gegevens niet meer kan worden gedaan dan noodzakelijk is voor het huidige doel van A. In reactie hierop heeft A gesteld dat zij het systeem thans zo heeft ingericht dat het systeem alleen gebruikt kan worden voor het huidige doel van A. De verantwoordelijken (ziekenhuizen/verzekeraars ) hebben volgens A slechts toegang tot hun eigen gegevens, terwijl de medewerkers van A geen toegang hebben tot de gegevens. Uitzondering hierop zijn drie ICT medewerkers die voor het beheer en onderhoud toegang hebben tot alle onderdelen. Zij mogen de gegevens alleen benaderen in opdracht van de verantwoordelijken voor het oplossen van problemen. De onderaannemers zoals de ICT bedrijven hebben geen toegang tot de gegevens. A stelt dat de gegevens na de verwerking permanent worden verwijderd. Mocht een klant specifiek willen dat A de berichten nog enige tijd bewaart, dan zal zij dit in de overeenkomst met de klant vastleggen. Een langere bewaartijd dan twee maanden zal door A niet worden geaccommodeerd. Voor toekomstige functionaliteiten zegt A toe dat een evaluatie en heroverweging zal plaatsvinden ten aanzien van de positie van A als bewerker of verantwoordelijke. A zal hierover tijdig overleg voeren met het CBP. In de nieuwe model-overeenkomsten heeft A daarom opgenomen dat de opdrachtgevers aan de wettelijke en contractuele verplichtingen dienen te voldoen en is een vrijwaring ten behoeve van A opgenomen voor aanspraken van derden terzake. Ad II) Bewerkerscontract en rolverdeling A heeft haar contracten conform het commentaar van het CBP aangepast. Model- overeenkomsten met zorgverleners en zorgverzekeraars zijn inmiddels opgesteld en als bijlage aan het CBP verstrekt. Uit de contracten en de model-overeenkomsten blijkt dat A bewerker is. Overeenkomstig het commentaar van het CBP is in het contract de bepaling verwijderd dat A in opdracht steekproeven kan verrichten. De Privacy Policy is herschreven. Het CBP heeft deze eveneens als bijlage ontvangen. Hierin wordt nu verwezen naar de ingeschakelde derden. Het Privacy Reglement waarnaar in de oude Privacy Policy werd verwezen is vervallen.
BLAD
2
DATUM ONS KENMERK
14 oktober 2002 z2000-1250
Verder is nu de Privacy Policy als bijlage aan de overeenkomsten met de zorgverleners en zorgverzekeraars toegevoegd, waardoor deze een integraal onderdeel van de desbetreffende model-overeenkomsten vormt. In de nieuwe model-contracten is opgenomen dat A gerechtigd is derden in te schakelen. De herschreven Privacy Policy beoogt de rol van in te schakelen derden te definiëren en toe te lichten. Daarbij geldt dat A met de door haar in te schakelen derden overeenkomsten sluit waarin duidelijk wordt vastgelegd welke taken de derde voor A verricht. Ten aanzien van in te schakelen derden heeft A toegelicht dat wat betreft Y onderhandelingen worden gevoerd. Y beheert netwerken voor huisartsen en beheert diensten voor verzekeraars. De bedoeling is dat indien een verantwoordelijke A opdracht geeft om via Y berichten te ontvangen of versturen, A deze opdracht zal uitvoeren. Wat betreft een factoringbedrijf worden op dit moment nog onderhandelingen gevoerd over de te verrichten dienstverlening. In de thans beoogde samenwerking geldt het factoringbedrijf als aanleveraar van nota's van de bij haar aangesloten zorgverleners. Zij verschilt in die positie niet van die van de ziekenhuizen. Ad III) Rechtmatige grondslag A acht artikel 8, onder b WBP (noodzakelijk voor de uitvoering van de verzekerings- of de behandelingsovereenkomst) de rechtmatige grondslag voor de gegevensverwerkingen waar A als bewerker bij betrokken is. Dit betekent onder meer dat cliënten geen recht op verzet hebben overeenkomstig artikel 40 WBP. Bovendien zijn voor de verantwoordelijken de bepalingen in artikel 21, eerste lid, onder a en b WBP in verbinding met artikel 23 WBP van belang. In haar reactie geeft A verder nog aan dat indien zij zich zou gaan voornemen om de aard van de dienstverlening van A zodanig te wijzigen dat A van bewerker verantwoordelijke zou worden, A daartoe in tijdig overleg zal treden met het CBP . Ad IV) Beveiliging Met betrekking tot het transporteren van data zijn voorzieningen getroffen ter waarborging van confidentialiteit, authenticiteit en integriteit. De server bij een ICT bedrijf staat in een zwaar beveiligde omgeving. Verder wordt gewerkt met een 'virtual private database'. Het CBP heeft in haar eerdere brief A aanbevolen de database zo in te richten dat -kort gezegd -niets anders kan dan is toegestaan. In haar reactie geeft A aan dat zij voortdurend de beveiliging met de ICT bedrijven zal evalueren om onbevoegde toegang redelijkerwijze uit te sluiten. Ad V) Melden bij het CBP A heeft op grond van de aanwijzingen van het CBP de meldingsformulieren aangepast. A geeft aan begrepen te hebben dat de verzekeraar inmiddels een Functionaris voor de Gegevensbescherming (FG) in de zin van artikel 62 WBP heeft aangesteld, waardoor een separate melding ten aanzien van A niet noodzakelijk is. Het ziekenhuis heeft de melding in behandeling. Ad VI) Toezicht In de nieuwe model-overeenkomsten is uitdrukkelijk opgenomen dat het toezicht op naleving van de WBP door A onder de verantwoordelijkheid van de verantwoordelijke valt. A zal ten behoeve van dit toezicht tenminste 1 maal per jaar een privacy-audit laten verrichten door X (of een vergelijkbare onafhankelijke derde). Daarnaast heeft de verantwoordelijke het recht om, op eigen kosten en na overleg met A, op eigen initiatief een privacy-audit te laten verrichten.
BLAD
3
DATUM ONS KENMERK
14 oktober 2002 z2000-1250
2. Wettelijk toetsingskader Bij de feiten is gebleken dat A voor de positie van bewerker heeft gekozen. Deze positie brengt met zich mee dat voldaan zal moeten worden aan het navolgende wettelijke toetsingskader . Overeenkomstig artikel 1, onder e, WBP is een bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag onderworpen te zijn. Overeenkomstig artikel 1, onder d, WBP is de verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De bewerker verwerkt gegevens overeenkomstig de instructies van de verantwoordelijke en onder diens (uitdrukkelijke) verantwoordelijkheid. De verantwoordelijke die gegevens buiten zijn rechtstreeks gezag verwerkt wil hebben, is op grond van artikel 14, tweede lid, WBP verplicht een overeenkomst met de bewerker aan te gaan. Daarnaast beperkt de bewerker zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enzovoorts. Zou hij immers deze zeggenschap wel verwerven, dan dient hij als verantwoordelijke te worden aangemerkt. A heeft er belang bij dat haar opdrachtgevers kunnen garanderen dat zij de persoonsgegevens rechtmatig verwerken in hun relatie met A aangezien A mede-aansprakelijk is. Op de consequenties hiervan komt het CBP zo dadelijk terug. In dat verband mogen bijvoorbeeld zorgaanbieders (zoals het ziekenhuis) op grond van artikel 9, vierde lid, WBP geen persoonsgegevens verwerken als het medisch beroepsgeheim (zie bijvoorbeeld 7:457 BW) daaraan in de weg staat. Aannemende dat het medisch beroepsgeheim in casu geen belemmering vormt, dient A zich te realiseren dat er in ieder geval gezondheidsgegevens worden verwerkt waarvoor overeenkomstig artikel 16 in verbinding met artikel 21 WBP een specifieke ontheffing noodzakelijk is. Zorgaanbieders en zorgverzekeraars zullen een ontheffing hebben op grond van artikel 21, eerste lid, onder a, en eerste lid, onder b WBP. Deze bepalingen luiden als volgt: Artikel 21 1. Het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door: a. hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is; b. verzekeraars als bedoeld in artikel 1, eerste lid, onder h, van de Wet toezicht verzekeringsbedrijf 1993, verzekeraars als bedoeld in artikel 1, onder c, van de Wet toezicht natura-uitvaartverzekeringsbedrijf en tussenpersonen en sub-agenten als bedoeld in artikel 1, onder b en c, van de Wet assurantiebemiddelingsbedrijf, voor zover dat noodzakelijk is voor: 1°. de beoordeling van het door verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt of
BLAD
4
DATUM ONS KENMERK
14 oktober 2002 z2000-1250
2°. de uitvoering van de verzekeringsovereenkomst. Aannemende dat van een dergelijke ontheffing sprake is, zijn de algemene bepalingen van de WBP van toepassing. Dit betekent onder andere dat de persoonsgegevens voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel worden verzameld en bovendien niet langer dan noodzakelijk worden bewaard. Daarnaast is een rechtmatige grondslag vereist. Uit de feiten is reeds gebleken dat A artikel 8, onder b, WBP aanhaalt als rechtmatige grondslag. Bovendien dienen de verantwoordelijken samen met A te zorgen, dat zij voldoen aan de beveiligingsvereisten op grond van artikel 13 WBP en het beveiligingsadvies van het CBP. Het beveiligingsadvies schrijft onder andere voor dat gezondheidsgegevens slechts on-line verzonden mogen worden als er sprake is van een goede versleuteling. A heeft als bewerker geen meldingsplicht bij het CBP. De verantwoordelijken waar A diensten voor uitvoert, hebben in beginsel wel een meldingsplicht. In casu geldt de meldingsplicht voor het ziekenhuis en de verzekeraar. Indien een functionaris gegevensbescherming (FG) in de zin van artikel 62 WBP wordt aangesteld, wordt de melding gedaan bij deze PG. Overeenkomstig artikel 63 lid 3 WBP dient deze FG dan wel gemeld te worden bij het CBP . Overigens zijn voor het vervolgtraject de tandartsen, huisartsen etcetera waarschijnlijk vrijgesteld van melding, mits zij aan de voorwaarden voldoen van artikel 16 Vrijstellingsbesluit. Niet of onjuist melden bij het CBP kan overeenkomstig artikel 66 WBP tot een bestuurlijke boete leiden voor de verantwoordelijke, en onrechtmatige verwerkingen in het algemeen kunnen zowel bij de verantwoordelijken als de bewerker(s) leiden tot bestuursdwang of last onder dwangsom (artikel 65 WBP). Bovendien kan overeenkomstig de artikelen 49 en 50 WBP A als bewerker medeaansprakelijk worden gesteld indien iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens de WBP gegeven voorschriften. Dit kan leiden tot het moeten betalen van schadevergoeding of tot een rechterlijk verbod van bepaalde handelingen, dan wel een bevel om bepaalde gevolgen ongedaan te maken. 3. Bevindingen Ad I) Datamodel Het CBP is positief over het feit dat A, overeenkomstig de aanbevelingen van het CBP , haar systeem thans zo heeft ingericht dat het systeem redelijkerwijs alleen gebruikt kan worden voor het huidige doel van A. Ook is het CBP positief over de door A gestelde maximum bewaartermijn. Wel moet opgemerkt worden dat naar mate de bewaartermijn toeneemt (zelfs bij de gestelde maximum periode van twee maanden) en de schaal van de dienstverlening toeneemt, er een situatie kan ontstaan waarin de genoemde grondslagen in de WBP (artikel 8, onder b, en artikel 21, eerste lid, onder a en b, in verbinding met artikel 23 WBP) zodanig problematisch worden dat het CBP daar niet meer mee akkoord zal kunnen gaan. De tijdelijk opgeslagen gegevens mogen op grond van de genoemde grondslagen niet leiden tot patiëntenregisters met meer dan een zeer beperkte strekking. Ook toekomstige activiteiten van A mogen niet leiden tot dergelijke patiëntenregisters. In dat verband is de toezegging van A van belang dat met het CBP tijdig overleg zal worden gevoerd bij toekomstige functionaliteiten, evaluatie en heroverweging van de positie van A.
BLAD
5
DATUM ONS KENMERK
14 oktober 2002 z2000-1250
Ad II) Bewerkerscontract en rolverdeling A heeft haar contracten conform het commentaar van het CBP aangepast en de gevraagde toelichtingen gegeven. De modelovereenkomsten (bewerkerscontracten) en de rolverdeling leveren geen strijd op met de geldende wettelijke bepalingen. Ad III) Rechtmatige grondslag De rechtmatige grondslag voor de gegevensverwerkingen waar A als bewerker bij betrokken is, is inderdaad artikel 8, onder b WBP (noodzakelijk voor de uitvoering van de verzekerings- of de behandelingsovereenkomst). Dit betekent onder meer dat cliënten geen recht op verzet hebben overeenkomstig artikel 40 WBP. Bovendien zijn voor de verantwoordelijken de bepalingen in artikel 21, eerste lid, onder a en b, WBP in verbinding met artikel 23 WBP van belang. Het CBP heeft met genoegen kennis genomen van het feit dat indien de aard van de dienstverlening van A zodanig wijzigt dat zij van bewerker verantwoordelijke zou worden, A daartoe in tijdig overleg met het CBP de benodigde stappen zal ondernemen om te zorgen dat in overeenstemming met de WBP wordt gehandeld. Ad IV) Beveiliging De toevoer en afvoer van gegevens is overeenkomstig het beveiligingsadvies van het CBP goed versleuteld en beveiligd, terwijl de server bij het ICT bedrijf in een zwaar beveiligde omgeving staat. Ook de genoemde 'virtual private database' acht het CBP geschikt, mits deze technisch en procedureel goed wordt ingericht. Toegang tot de opgeslagen data door onbevoegde derden is bij de genoemde 'virtual private database' redelijkerwijs uitgesloten. Ad V) Melden bij het CBP Aan het CBP is tot op heden niet gemeld dat de verzekeraar inmiddels een functionaris voor de gegevensbescherming (FG) in de zin van artikel 62 WBP heeft aangesteld. Van het ziekenhuis heeft het CBP tot op heden ook nog geen melding ontvangen. Beide punten verdienen nog aandacht. Ad VI) Toezicht Het CBP heeft met genoegen kennis genomen van het feit dat de aanbevelingen ten aanzien van het toezicht door A zijn overgenomen en dat A ten behoeve van dit toezicht tenminste 1 maal per jaar een privacy-audit zal laten verrichten door een onafhankelijke derde. Een afschrift van deze brief zal worden gezonden naar het ziekenhuis en de verzekeraar. Ik hoop u hiermee voldoende te hebben geïnformeerd. Hoogachtend,
Peter Hustinx Voorzitter
BLAD
6