Persoonsgegevens die via mail verstuurd worden. Wachtwoorden die met briefjes op beeldschermen worden gehangen. De stapel dossiers die niet al te moeilijk toegankelijk is voor kwaadwillenden. En niet te vergeten de verloren USB-stick die door anderen gevonden wordt. De meldplicht datalekken is alweer even geleden geïntroduceerd. En toch merken we binnen Thorax nog met regelmaat dat niet iedereen op de juiste manier omgaat met de privacy van bijvoorbeeld cliënten.
Blijf scherp op wat je doet
Er is nogal wat veranderd sinds gemeenten primair verantwoordelijk zijn voor de zorgverlening binnen het sociaal domein. Deze decentralisatie brengt met zich mee dat gemeenten zelf systemen ontwikkelen en integreren. En dat brengt vaak onvoorziene risico’s met zich mee. Dat kan ook niet anders met meer cliëntgegevens in omloop.
Denk aan de bewerkersovereenkomst
Met wie u ook in zee gaat, en laat dat vooral een professionele partner zijn, zorg er in elk geval voor dat u duidelijke afspraken maakt met uw ICT-leverancier. Deze afspraken moeten worden vastgelegd in een bewerkersovereenkomst tussen de verantwoordelijke en bewerker. Hierin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan. Zo beschrijft de Wbp voor dat de verantwoordelijke, als hij persoonsgegevens laat verwerken door een bewerker, ervoor moet zorgen dat de bewerker voldoende technische en organisatorische beveiligingsmaatregelen treft. Die maatregelen moeten krachtig genoeg zijn om verlies en onrechtmatige verwerking van de persoonsgegevens uit te sluiten. Een bewerkersovereenkomst of data processing agreement (DPA) is een begrip uit de privacywetgeving Als een verantwoordelijke persoonsgegevens laat verwerken door een bewerker, een bewerkersovereenkomst tussen beide partijen altijd verplicht.
Privacy naleven juist nu belangrijk
Er is, als gevolg van de decentralisatie ontzettend veel gaande. Er worden nieuwe systemen aangepast en ingericht, en dat brengt nieuwe leveranciers en ICT-oplossingen met zich mee. En uiteraard een enorme groei van de stroom gevoelige informatie die op allerlei manier uitgewisseld wordt. Iedere organisatie die persoonsgegevens laat verwerken moet zijn hostingprovider, softwareleverancier of -dienstverlener altijd vragen om een bewerkersovereenkomst.
Wanneer de IT-leverancier die overeenkomst niet kan overleggen, dan wordt het opstellen ervan, vanuit juridisch oogpunt de verantwoordelijkheid van de verantwoordelijke zelf. U, als gemeente zult dan dus zelf aan de slag moeten met een bewerkersovereenkomst. Juist vanwege alle veranderingen en haken en ogen die dit met zich meebrengt, is het nu extra belangrijk om scherp te zijn op de manier waarop binnen gemeentes de privacywetgeving wordt nageleefd. Omdat voorkomen nog altijd beter is dan genezen..