Contact

  • Bel 0172 503 250
  • Routebeschrijving
Bezig met zoeken...
3 februari 2020

De cloud voor zorginstellingen deel 2: contractuele afspraken

Indien u als zorginstelling ervoor kiest om je data in de cloud op te slaan, worden er persoonsgegevens verwerkt. Dit wordt gedaan door de cloudprovider. Om risico’s af te dekken is het verstandig om van tevoren contractuele afspraken te maken. Dit doet u om de persoonsgegevens van uw cliënten te beschermen, maar ook om uw eigen organisatie te beschermen.

In onze serie ‘De cloud voor zorginstellingen’ geven we inzicht in hoe zorginstellingen moeten omgaan met privacykwesties bij de verhuizing van hun data naar de cloud. Dit is deel 2. In deel 1 hebben we besproken waar u op moet letten bij het kiezen van een cloudprovider.

Verwerkersovereenkomst

Hoeveel ‘verantwoordelijkheid’ een cloudprovider draagt voor de verwerking van de persoonsgegevens verschilt per dienst. In beginsel verwerkt de cloudprovider de persoonsgegevens enkel voor de doeleinden van haar klanten, bijvoorbeeld een zorginstelling. De klant is dan ‘verwerkingsverantwoordelijke’ en de cloudprovider ‘verwerker’, in de zin van de AVG. Het is verplicht om op grond van de AVG met de verwerker een verwerkersovereenkomst te sluiten. In een verwerkersovereenkomst worden afspraken gemaakt over de gegevensverwerking en worden de verplichtingen van de verwerker en de verwerkingsverantwoordelijke vastgelegd, zoals de verdeling van aansprakelijkheid.

Contractuele waarborgen

Naast de verwerkersovereenkomst, wordt er tussen de zorginstelling en de cloudprovider een contract gesloten. Veel cloudproviders geven afnemers niet de mogelijkheid om aanpassingen in het contract te doen en bieden een standaardcontract aan. Het is van belang om in ieder geval rekening te houden met de aansprakelijkheid van partijen, geheimhouding van de persoonsgegevens, het melden van datalekken en beveiligingsinbreuken, de levering van de clouddiensten en audits, data-overdracht en het inhuren van sub-verwerkers.

Continuïteit

Indien de levering van de clouddiensten wordt stopgezet kan het voorkomen dat persoonsgegevens niet meer toegankelijk zijn voor de zorginstelling. Denk hierbij aan een faillissement, maar ook aan de opschorting van de overeenkomst. Voor zorginstellingen is het cruciaal om een goede continuïteitsregeling te treffen met de cloudprovider. Dit betekent dat er concrete afspraken worden gemaakt in het kader van de continuïteit en de toegang tot de data. Denk bijvoorbeeld aan bepalingen in de verwerkersovereenkomst over het uitsluiten of het beperken van het opschortingsrecht, het verlengen van de opzegtermijn en een audit-recht in combinatie met praktische waarborgen.

Conclusie

Al bij de keuze van een cloudprovider door zorginstellingen speelt privacy een rol. Omdat er bijzondere persoonsgegevens verwerkt zullen worden is een risicoanalyse onontkoombaar. Lees meer over de zorg in de cloud in deel 1 van deze blogserie. In deel 3 zullen we het gaan hebben over veiligheidsmaatregelen die zorginstellingen zelf kunnen treffen.

Conclusie

Heeft u vragen over privacy of over verwerkersovereenkomsten? Neem dan contact op met mr. Nathalie van der Zande via mail n.vanderzande@lgga.nl of telefoonnummer 0172-503250.

Wilt u in de toekomst op de hoogte worden gesteld van onze artikelen en gratis kennissessies? Schrijf u dan hier in voor onze driemaandelijkse nieuwsbrief.