Geplaatst op: 22 september 2020

Waarom kiest OZOverbindzorg niet voor een standaard verwerkersovereenkomst zoals bijvoorbeeld die van de BOZ?


Binnen de AVG wordt de rol van verwerken beschreven. Een verwerker is een partij die in uitdrukkelijke opdracht van een verwerkingsverantwoordelijke alleen maar verwerkingen met persoonsgegevens verricht op basis van het doel van die verantwoordelijke.

De verwerker heeft nooit een eigen doel, heeft eigenlijk ook nooit contact met de natuurlijke persoon en levert in veel gevallen vooral de digitale ondersteuning voor die verantwoordelijke partij. Een huisarts wil bijvoorbeeld graag een digitale omgeving waarin de patiëntgegevens kunnen worden opgeslagen; een digitaal dossier. De huisarts kan dat meestal niet zelf bouwen, laat staan onderhouden en daarvoor moet je dan een leverancier inschakelen. Die leverancier werkt dus altijd op de achtergrond en op instructie van de huisarts, terwijl de patiënt helemaal niet weet dat die leverancier bestaat. In die digitale omgeving kan aan de basis ook alleen de huisarts zelf gegevens over de patiënt plaatsen. Het is in ieder geval niet gebruikelijk dat een patiënt zegt ”nou ik ga eens even mijn medisch dossier bijwerken in het systeem van de huisarts”, de huisarts is hierbij bij uitstek in regie en de verwerkingsverantwoordelijke.

Om die situatie juridisch te regelen, de situatie waarin de huisarts helemaal zelf het doel bepaalt en bepaalt bij welke verwerker die digitale omgeving wordt ingekocht en waarbij de leverancier dus alleen die omgeving en het onderhoud daarop levert, is de BOZ overeenkomst heel geschikt.

Ook bij OZOverbindzorg zullen er in beginsel situaties denkbaar zijn die erg lijken op bovenstaande situatie. In het merendeel van de gevallen is dat echter niet zo. Er is bijvoorbeeld een gemeente die accounts beschikbaar stelt voor een burger, bijvoorbeeld omdat die burger een ondersteuningsvraag heeft. Die burger krijgt daarmee direct contact met OZOverbindzorg: men moet ook akkoord gaan met de gebruiksvoorwaarden van OZOverbindzorg. Als die burger dan vragen of klachten heeft, dan kan OZOverbindzorg ook direct worden benaderd. De gemeente komt nooit op de hoogte van een vraag of klacht want OZOverbindzorg handelt die in principe zelf af. Er worden daarbij ook gegevens verwerkt die de gemeente niet heeft, bijvoorbeeld omdat die burger ook nog diabeet is en meetwaarden doorgeeft aan zijn huisarts. Als de gemeente dat niet weet, is het niet transparant om hen daarvoor wel als verantwoordelijk aan te merken.

Of stel nu dat een huisarts een account aanmaakt voor een patiënt en diegene zelf zijn netwerk laat vullen. Die patiënt gaat naar huis en doet dat netjes en nodigt de mantelzorger uit op het platform, maar ook de buurvrouw, de voorzitter van de biljartclub en een medewerker van de bibliotheek.

De huisarts weet helemaal niet welke mensen er allemaal op dat platform zitten. Stel nu dat één van hen zich misdraagt op het platform: is die huisarts dan als verantwoordelijke aan te wijzen omdat die het account geïnitieerd heeft? Of stel nu, die patiënt krijgt binnen een week ruzie met de huisarts en gooit deze van het account af: de client is immers in regie. Óf de behandeling bij een ggz instelling of een traject bij de gemeente is beëindigd: dan stapt die instelling of gemeente uit het account.

Die partijen zijn dan niet als verantwoordelijke aan te merken. Dit is een gevolg van het feit dat OZOverbindzorg gekozen heeft voor de regie bij de client.

Juridisch houdt dit in, dat er ánders dan in de meeste gevallen gekeken moet worden naar de verwerkingsverantwoordelijkheid. Als een client zelf de toegang tot zijn account voor de initiatief nemende organisatie sluit kan het logisch klinken om die client vanaf dat moment zélf verantwoordelijk te maken voor wat er gebeurt in het account.

Maar de AVG sluit die mogelijkheid uitdrukkelijk uit: de natuurlijke persoon heeft geen plichten, alleen maar rechten in de AVG.

Dan kun je vervolgens kiezen om de organisaties die toevallig overblijven in het account verwerkingsverantwoordelijke te maken. Echter die organisaties hebben geen oorsprong met de client en weten ook niet wie er nog meer is aangesloten of wat er is gebeurd voordat zij erbij kwamen. De meest zuivere en logische oplossing is om te kiezen voor die organisatie die er áltijd bij is en bij blijft: OZOverbindzorg. OZOverbindzorg kan niet worden uitgesloten van het account, het stelt het account namelijk beschikbaar. OZOverbindzorg erkend hiermee dan ook de verzwaarde plicht van verwerkingsverantwoordelijke.