Een verplichting die voortvloeit uit de GDPR: een zorgverlener moet nu een "overzicht van (gegevens van) behandelingsactiviteiten" bijhouden. Hij neemt daarin de ‘onderaannemers’ over naar wie hij doorverwijst om tussen te komen bij elk van zijn behandelingen. Hij wordt verondersteld om hun garanties op gegevensbescherming te checken en om de samenwerking contractueel te formaliseren.
Het vormingsproject e-gezondheid Wallonië publiceert een verzameling praktische GDPR-factsheets die artsen helpen om de regels te volgen. De laatste sheet bevat voorzorgsmaatregelen voor de onderaannemers die persoonsgegevens verwerken voor de "verantwoordelijke", in dit geval de arts.
Onderaannemers zijn de emd-leverancier, mail- of e-agendaproviders, beheerders van gegevens gehost in de cloud, helpdesks…, kortom een lijst van e-health Wallonië. Anderzijds zijn niet opgenomen: verkopers of verhuurders van hardware aan artsen. Een serviceprovider die van bovenaf werd opgedrongen (bijvoorbeeld MyCareNet) wordt beschouwd als behandelingsverantwoordelijke; de dokter is alleen de eindgebruiker.
De arts moet elke onderaannemer identificeren en zijn rol nauwkeurig kwalificeren. Er moet voor worden gezorgd dat deze uitvoerder voldoet aan de eisen van de GDPR, zelfs als hem zaken worden opgelegd over beveiligingsbeleid van informatiesystemen (anonimiseren of pseudonimiseren van gegevens, codering van gegevensoverdrachten, back-ups, toegangsbeheer, traceerbaarheid , bescherming tegen indringers ...)
De onderaannemingsrelatie moet op papier worden uitgeschreven in een contract met verplichte passages. Sommige zijn algemeen (bijvoorbeeld de aard van de verwerkte gegevens en hun doel), andere geven de verplichtingen van de onderaannemer weer (gegevensverwerking in overeenstemming met de instructies, tekenen van vertrouwelijkheidsverbintenissen met het personeel, niet uitbesteden zonder voorafgaande toestemming van de arts, met hem samenwerken als een patiënt een van zijn rechten wil uitoefenen zoals raadplegen of rechtzetten van zijn gegevens enz.)
Artsen zouden er goed aan doen om hun huidige contracten te (her)bekijken in het licht van deze regels. Bij schending voorziet artikel 82 van de GDPR een gezamenlijke hoofdelijke aansprakelijkheid van de arts en zijn onderaannemer, zegt e-health Wallonië.
> Lees ook: gdpr-aanlooppakket bij het vas